华为防火墙实现远程管理的方式及配置详解

您所在的位置：网站首页 › 华为防火墙访问控制 › 华为防火墙实现远程管理的方式及配置详解

华为防火墙实现远程管理的方式及配置详解

2024-07-17 21:59| 来源: 网络整理| 查看: 265

关于网络设备或是服务器，管理人员几乎很少会守着设备进行维护及管理，最普遍、应用最广泛的就是——远程管理。下面简单介绍一下华为防火墙管理的几种方式。

博文大纲：一、华为防火墙常见的管理方式；二、各种管理方式配置详解； 1.通过Console线进行管理； 2.通过Telnet方式管理； 3.通过Web方式登录设备； 4.配置SSH方式登录设备；

一、华为防火墙常见的管理方式

提到管理，必然会涉及到AAA的概念，我们首先来了解一下——AAA。

AAA概述

AAA是验证、授权和记账三个英文单词的简称。是一个能够处理用户访问请求的服务器程序，主要目的是管理用户访问网络服务器，为具有访问权限的用户提供服务。

其中：

验证：哪些用户可以访问网络服务器；授权：具有访问权限的用户可以得到哪些服务，具有什么样的权限；记账：如何对正在使用网络资源的用户进行审计；

AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源，首先要进行用户的入网认证，这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性；鉴别完成后，才能对用户访问网络资源进行授权，并对用户访问网络资源进行计费管理。

网络设备的AAA认证方式有本地验证、远程身份验证两大类。

本地验证就是将用户和密码在本地创建并验证；远程身份验证通过各个厂商自由的AAA服务器来完成，这需要设备和AAA服务器进行关联；

华为防火墙常见的管理方式有：

通过Console方式管理：属于带外管理，不占用带宽，适用于新设备的首次配置场景；通过Telnet方式管理：属于带内管理，配置简单、安全性低、资源占用少，主要适用于安全性不高的场景。比如：公司内部；通过Web方式管理，属于带内管理，可以基于图形化管理，更适用于新手配置设备；通过SSH方式管理：属于带内管理配置复杂、安全性高、资源占用高，主要适用于对安全性要求较高的场景，如通过互联网远程管理公司网络设备；二、各种管理方式配置详解 1.通过Console线进行管理

这种方式适用于刚购买的新设备，实际环境中，插上Console即可！这里就不再多说了！

2.通过Telnet方式管理

Telnet管理方式通过配置使终端通过Telnet方式登录设备，实现对设备的配置和管理。其实这种环境拓补只需一个防火墙（版本为USG6000）和Cloud（主要是为了可以桥接到宿主机或虚拟机）即可，实验拓补如下：

（1）首次登录Console控制台时，按要求配置密码，如图

（2）配置防火墙接口IP地址，便于日后管理 system-view Enter system view, return user view with Ctrl+Z. [USG6000V1]undo info enable Info: Information center is disabled. [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [USG6000V1-GigabitEthernet0/0/0]undo shutdown Info: Interface GigabitEthernet0/0/0 is not shutdown. [USG6000V1-GigabitEthernet0/0/0]quit （3）打开防火墙的Telnet功能 [USG6000V1]telnet server enable （4）配置防火墙允许远程管理 [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]service-manage enable //配置接口管理模式 [USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit //允许Telnet [USG6000V1-GigabitEthernet0/0/0]quit （5）将防火墙接口g0/0/0加入安全区域 [USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g0/0/0 Error: The interface has been added to trust security zone. //这是正常提示，表示这个接口已经添加到安全区域中 [USG6000V1-zone-trust]quit （6）将防火墙配置域间包过滤，以保证网络基本通信正常

因为Telnet流量属于防火墙自身收发，所以需要配置Trust区域到Local区域的安全策略，命令如下：

[USG6000V1]security-policy [USG6000V1-policy-security]rule name allow_telent //配置规则，其中allow_telnet为规则名，可自定义 [USG6000V1-policy-security-rule-allow_telent]source-zone trust //匹配条件，源区域是trust区域 [USG6000V1-policy-security-rule-allow_telent]destination-zone local //匹配条件，目标区域是local区域 [USG6000V1-policy-security-rule-allow_telent]action permit //匹配条件满足后，执行的动作，permit为允许的意思 [USG6000V1-policy-security-rule-allow_telent]quit [USG6000V1-policy-security]quit （7）配置认证模式及本地用户信息 [USG6000V1]user-interface vty 0 4 [USG6000V1-ui-vty0-4]authentication-mode aaa //用户接口验证方式为AAA [USG6000V1-ui-vty0-4]protocol inbound telnet //允许Telnet连接虚拟终端 [USG6000V1-ui-vty0-4]quit [USG6000V1]aaa [USG6000V1-aaa]manager-user lzj //配置本地用户lzj [USG6000V1-aaa-manager-user-lzj]password cipher lzj@1234 //配置用户密码（cipher为密文方式） Info: You are advised to config on man-machine mode. //建议使用man-machine方式配置密码 [USG6000V1-aaa-manager-user-lzj]service-type telnet //配置服务类型为telnet [USG6000V1-aaa-manager-user-lzj]level 3 //配置用户权限级别 [USG6000V1-aaa-manager-user-lzj]quit [USG6000V1-aaa]quit

注意：USG6000系列属于最新版本，配置本地用户名和密码需要使用manager-user命令，之前的版本则使用local-user命令。

（8）客户端测试访问

客户端Telnet访问成功！

3.通过Web方式登录设备

建议在模拟器上重新部署设备，当然也可在Telnet的基础上继续配置Web方式访问！为了简单明了，朋友更加明白配置Web方式，本人重新画实验拓补，实验拓补还是原本的样子，一朵 Cloud模拟真实客户端，一台USG6000防火墙。配置命令如下：

注意：其中“web-manager security enable ”命令后也可以自定义端口，比如：web-manager security enableport 2000，执行security参数，是开启https管理，不加security参数则表示可以开启http管理。绝对不允许https和http管理使用相同的端口，这样配置会导致端口冲突。访问失败！

客户端访问验证：客户端通过Web方式访问成功！

4.配置SSH方式登录设备

为了初学者能够看明白，这里还是重新部署设备，实验拓补，跟前两种方式一样！也可在之前的基础继续配置，根据自己能力即可！SSH方式登录设备，配置命令如下：

sys Enter system view, return user view with Ctrl+Z. [USG6000V1]undo info enable Info: Information center is disabled. [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.20 24 [USG6000V1-GigabitEthernet0/0/0]undo shutdown Info: Interface GigabitEthernet0/0/0 is not shutdown. [USG6000V1-GigabitEthernet0/0/0]service-manage enable [USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit [USG6000V1-GigabitEthernet0/0/0]quit //打开接口的ssh管理 [USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g0/0/0 Error: The interface has been added to trust security zone. //正常提示，可以忽略 [USG6000V1-zone-trust]quit [USG6000V1]security-policy [USG6000V1-policy-security]rule name allow_ssh [USG6000V1-policy-security-rule-allow_ssh]source-zone trust [USG6000V1-policy-security-rule-allow_ssh]destination-zone local [USG6000V1-policy-security-rule-allow_ssh]action permit [USG6000V1-policy-security-rule-allow_ssh]quit [USG6000V1-policy-security]quit [USG6000V1] //配置安全策略，如果在web方式或者Telnet方式之后，这些步骤可以省略 [USG6000V1]rsa local-key-pair create //创建SSH所需的密钥对 The key name will be: USG6000V1_Host The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, it will take a few minutes. 输入默认的密钥长度，默认值为2048 Input the bits in the modulus[default = 2048]: Generating keys... .+++++ ........................++ ....++++ ...........++ [USG6000V1]user-interface vty 0 4 [USG6000V1-ui-vty0-4]authentication-mode aaa Warning: The level of the user-interface(s) will be the default level of AAA use rs, please check whether it is correct. [USG6000V1-ui-vty0-4]protocol inbound ssh [USG6000V1-ui-vty0-4]quit //并且开启ssh协议访问 [USG6000V1]ssh user lzj //指定lzj为SSH用户 [USG6000V1]ssh user lzj authentication-type password //配置认证方式 [USG6000V1]ssh user lzj service-type stelnet //配置服务类型 [USG6000V1]aaa [USG6000V1-aaa]manager-user lzj //创建本地用户lzj [USG6000V1-aaa-manager-user-lzj]password cipher lzj@1234 Info: You are advised to config on man-machine mode. //提示建议使用man-machine模式设置密码 [USG6000V1-aaa-manager-user-lzj]service-type ssh //指定服务类型为ssh [USG6000V1-aaa-manager-user-lzj]level 3 //管理模式为3 [USG6000V1-aaa-manager-user-lzj]quit [USG6000V1-aaa]quit [USG6000V1]stelnet server enable //开启SSH服务

客户端访问测试：本人习惯使用xshell，个人习惯，cmd命令框也可以的！

客户端SSH方式访问成功！

【本文地址】

华为防火墙实现远程管理的方式及配置详解

华为防火墙实现远程管理的方式及配置详解

今日新闻

推荐新闻