- 一、華為防火墻設備的幾種管理方式介紹
- 二、各種管理方式的配置
- 1、通過Telnet方式管理
- 2、通過web方式管理
- 3、通過SSH方式管理
一、華為防火墻設備的幾種管理方式介紹
由于在對防火墻設備配置管理方式時,涉及到了AAA這個概念,索性就將AAA的相關介紹簡單寫一下。
AAA是驗證(Authentication)、授權(Authorization)和記賬(Accounting)三個部分組成,是一個能夠處理用戶訪問請求的服務器程序,主要目的是管理用戶訪問網絡服務器,為具有訪問權限的用戶提供服務。其中:
- 驗證:哪些用戶可以訪問網絡服務器。
- 授權:具有訪問權限的用戶可以得到哪些服務,有什么權限。
- 記賬:如何對正在使用網絡資源的用戶進行審計。
- AAA服務器通常同網絡訪問控制、網關服務器、數據庫及用戶信息目錄等協同工作。若要訪問網絡資源,首先要進行用戶的入網認證,這樣才能訪問網絡資源。鑒別的過程就是驗證用戶身份的合法性;鑒別完成后,才能對用戶訪問網絡資源進行授權,并對用戶訪問網絡資源進行計費管理。
- 網絡設備的AAA認證方式有本地身份驗證、遠程身份驗證兩大類,本地身份驗證通過將用戶名和密碼在本地創建并驗證,而遠程身份驗證通過各個廠商自有的AAA服務器來完成,這需要設備和AAA服務器進行關聯。
- 華為防火墻支持用戶進行本地與遠程配置,以下所有配置都將以本地配置來進行身份驗證。
華為防火墻常見的管理方式有:
- 通過Console方式管理:屬于帶外管理,不占用帶寬,適用于新設備的首次配置時使用,在第一次配置時,會配置下面幾個管理方式的其中一個或多個,下次在配置直接遠程連接即可,無須使用Console連接了。
- 通過Telnet方式管理:屬于帶內管理,配置簡單,安全性低,資源占用少,主要適用于安全性不高、設備性能差的場景。因為在配置時所有數據是明文傳輸,所以僅限于內網環境使用。
- 通過web管理方式:屬于帶內管理,可以基于圖形化管理,適用于新手配置設備(但也要熟知其工作原理)。
- 通過SSH方式管理,屬于帶內管理,配置相比較復雜些,資源占用也高,但是欣慰的是安全性極高,主要適用于對安全性要求較高的場景,如通過互聯網遠程管理公司網絡設備。
二、各種管理方式的配置
Console方式的管理,只要連接console線,在客戶端使用超級終端連接即可,具體操作請百度吧,這里就不寫了。
1、通過Telnet方式管理配置
這個的網絡環境沒什么好說的,我這里使用eNSP拉了一臺防火墻,連接上宿主機即可,連接宿主機主要是為了驗證,若需要在eNSP上驗證效果,需要給模擬器上的防火墻導入系統,我這里使用的是USG6000的防火墻,可以下載我提供的防火墻系統文件
防火墻配置如下:
USG6000的防火墻,默認編號最小的接口(一般是G0/0/0)已經配置了遠程管理的一些相關配置及IP地址,所以有很多配置是可以省略的,不過為了完整的將所需的配置寫下來,我不使用它的G0/0/0接口,而使用別的全新沒有配置的接口。
如下:
開始配置:
<USG6000V1>sys <!--進入系統視圖--> [USG6000V1]in g1/0/0 <!--進入該接口--> [USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址--> [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]telnet server enable <!--打開防火墻的Telnet功能--> [USG6000V1]in g1/0/0 <!--進入該接口--> [USG6000V1-GigabitEthernet1/0/0]service-manage enable <!--配置接口管理模式--> [USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit <!--允許Telnet--> [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]firewall zone trust <!--進入trust區域--> [USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區域--> [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]security-policy <!--設置安全策略--> [USG6000V1-policy-security]rule name allow_telnet <!--配置規則,allow_telnet是定義的規則名--> [USG6000V1-policy-security-rule-allow_telnet]source-zone trust <!--指定規則中的源區域為trust--> [USG6000V1-policy-security-rule-allow_telnet]destination-zone local <!--指定目標區域為local--> [USG6000V1-policy-security-rule-allow_telnet]action permit <!--動作是允許--> [USG6000V1]user-interface vty 0 4 <!--進入vty接口--> [USG6000V1-ui-vty0-4]authentication-mode aaa <!--指定驗證方式為AAA--> [USG6000V1-ui-vty0-4]protocol inbound telnet <!--允許Telnet連接虛擬終端--> [USG6000V1-ui-vty0-4]quit [USG6000V1]aaa <!--進入AAA配置--> [USG6000V1-aaa]manager-user lv <!--配置本地用戶“lv”--> [USG6000V1-aaa-manager-user-lv]password <!--設置密碼--> Enter Password: <!--輸入密碼--> Confirm Password: <!--確認密碼--> [USG6000V1-aaa-manager-user-lv]service-type telnet <!--配置服務類型為Telnet--> [USG6000V1-aaa-manager-user-lv]level 3 <!--設置管理級別為3--> [USG6000V1-aaa-manager-user-lv]quit [USG6000V1-aaa]quit
經過上面的配置,即可使用Xshell等超級終端軟件連接該防火墻了。使用Telnet命令即可連接,如下:
[C:~]$ telnet 192.168.1.254 <!--telnet連接防火墻--> Connecting to 192.168.1.254:23... Connection established. To escape to local shell, press 'Ctrl+Alt+]'. Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet. Login authentication Username:lv <!--輸入剛才創建的用戶名--> Password: <!--輸入剛才指定的密碼--> The password needs to be changed. Change now? [Y/N]: y <!--賬號首次登陸需要更改密碼,輸入“y”確定--> Please enter old password: <!--輸入舊密碼--> Please enter new password: <!--新密碼--> Please confirm new password: <!--新密碼--> <!-- 當新密碼輸入完成后,會斷開連接, 再執行一下Telnet命令重新連接,使用新密碼登陸即可 -->
關于管理級別,在之前的博文提到過,“0”是參觀級別,啥都做不了;“1”是監控級別,可以查看相關配置;“2”為配置級別,可以配置部分參數;“3-15”是管理級別,擁有最大的權限
2、配置web方式登錄防火墻配置
注意:以下配置是在全新的防火墻上配置的,該防火墻默認沒有任何配置,上面配置了Telnet的防火墻已經刪除了。
開始配置:
<USG6000V1>sys <!--進入系統視圖--> [USG6000V1]in g1/0/0 <!--進入該接口--> [USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址--> [USG6000V1-GigabitEthernet1/0/0]service-manage https permit <!--允許https管理--> [USG6000V1-GigabitEthernet1/0/0]service-manage http permit <!--允許http管理--> [USG6000V1]firewall zone trust <!--進入trust區域--> [USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區域--> [USG6000V1-zone-trust]quit [USG6000V1]security-policy <!--設置安全策略--> [USG6000V1-policy-security]rule name allow_web <!--配置規則,allow_telnet是定義的規則名--> [USG6000V1-policy-security-rule-allow_web]source-zone trust <!--指定規則中的源區域為trust--> [USG6000V1-policy-security-rule-allow_web]destination-zone local <!--指定目標區域為local--> [USG6000V1-policy-security-rule-allow_web]action permit <!--動作是允許--> [USG6000V1-policy-security-rule-allow_web]quit [USG6000V1-policy-security]quit [USG6000V1]web-manager security enable <!-- 開啟web管理功能,該命令后面可以跟自定義端口號,默認是8443, 如web-manager security enable port 2000,執行security參數,是開啟https功能, 不執行security參數,是開啟http管理。注意不要使https和http的端口號沖突 --> [USG6000V1]aaa <!--進入AAA配置--> [USG6000V1-aaa]manager-user jian <!--配置本地用戶“jian”--> [USG6000V1-aaa-manager-user-jian]password <!--設置密碼--> Enter Password: <!--輸入密碼--> Confirm Password: <!--確認密碼--> [USG6000V1-aaa-manager-user-jian]level 3 <!--設置管理級別為3--> [USG6000V1-aaa-manager-user-jian]quit [USG6000V1-aaa]quit
經過以上配置,現在即可使用web訪問測試,防火墻默認情況下開啟的https端口為8443,使用客戶端訪問測試,經過上面的配置,應使用 https://192.168.1.254:8443 進行訪問(建議使用谷歌瀏覽器,可能是eNSP模擬器的原因,若網頁加載不出來,多刷新幾次就好):
根據提示,輸入相應密碼,更改密碼(用戶首次登陸須更改密碼):
更改新密碼后,使用用戶名及新密碼進行登錄:
登錄后就可以看到下面的管理界面了(加載不出來就多刷新幾次):
配置web方式管理設備至此就完成了。
3、配置SSH方式登錄設備
和Telnet相比,SSH安全性更高,所以一般不推薦使用Telnet方式登錄設備,而是通過ssh來登錄設備,下面開始配置SSH方式登錄設備(注意:防火墻所有配置都沒了,現在又是重新開始配置):
開始配置:
<USG6000V1>sys <!--進入系統視圖--> [USG6000V1]in g1/0/0 <!--進入該接口--> [USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址--> [USG6000V1-GigabitEthernet1/0/0]service-manage enable <!--配置接口管理模式--> [USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit <!--允許SSH--> [USG6000V1-GigabitEthernet1/0/0]quit [USG6000V1]firewall zone trust <!--進入trust區域--> [USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區域--> [USG6000V1-zone-trust]quit [USG6000V1]security-policy <!--設置安全策略--> [USG6000V1-policy-security]rule name allow_ssh <!--配置規則,allow_ssh是定義的規則名--> [USG6000V1-policy-security-rule-allow_ssh]source-zone trust <!--指定規則中的源區域為trust--> [USG6000V1-policy-security-rule-allow_ssh]destination-zone local <!--指定目標區域為local--> [USG6000V1-policy-security-rule-allow_ssh]action permit <!--動作是允許--> [USG6000V1-policy-security-rule-allow_ssh]quit [USG6000V1-policy-security]quit [USG6000V1]rsa local-key-pair create <!--創建密鑰--> The key name will be: USG6000V1_Host The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, it will take a few minutes. Input the bits in the modulus[default = 2048]: <!--設置密鑰的長度,直接回車即可--> Generating keys... ..+++++ ........................++ ....++++ ...........++ [USG6000V1]user-interface vty 0 4 <!--進入vty接口--> [USG6000V1-ui-vty0-4]authentication-mode aaa <!--指定驗證方式為AAA--> [USG6000V1-ui-vty0-4]protocol inbound ssh <!--允許ssh連接虛擬終端--> [USG6000V1-ui-vty0-4]quit [USG6000V1]ssh user zhao <!--創建本地用戶“zhao”--> [USG6000V1]ssh user zhao authentication-type password <!--設置密碼--> [USG6000V1]ssh user zhao service-type stelnet <!--配置服務類型為stelnet--> [USG6000V1]aaa <!--進入AAA配置--> [USG6000V1-aaa]manager-user zhao <!--配置本地用戶“zhao”--> [USG6000V1-aaa-manager-user-zhao]password <!--設置密碼--> Enter Password: <!--輸入密碼--> Confirm Password: <!--確認密碼--> [USG6000V1-aaa-manager-user-zhao]service-type ssh <!--配置服務類型為ssh--> [USG6000V1-aaa-manager-user-zhao]level 3 <!--設置管理級別為3--> [USG6000V1-aaa-manager-user-zhao]quit [USG6000V1-aaa]quit [USG6000V1]stelnet server enable <!--開啟stelnet-->
至此配置完畢,開始使用Xshell連接即可。
執行命令“ssh 192.168.1.254”進行連接,剩下操作看圖吧,不解釋了。
寫在最后:
其實你們仔細看完后,應該不難發現,每種方式管理的配置并不復雜,很多地方都一樣(第三種管理方式的注釋我基本上都是復制前兩種的,稍作改動就行了,所以,別嫌我繁瑣,因為我想在一些新手參考這篇文檔時可以看的更方便些。)
