華為防火墻的管理方式（Console、Telnet、Web、

一、華為防火墻設備的管理方式

1、AAA介紹

AAA是驗證（Authentication）、授權（Authorization）和記賬（Accounting）三個英文單詞的簡稱，是一個能夠處理用戶訪問請求的服務器程序，主要目的是管理用戶訪問網絡服務器，為具有訪問權的用戶提供服務。其中：

• 驗證：哪些用戶可以訪問網絡服務器。

• 授權：具有訪問權限的用戶可以得到哪些服務，有什么權限。

• 記賬：如何對正在使用網絡資源的用戶進行審計。

AAA服務器通常同網絡訪問控制、網關服務器、數據庫及用戶信息目錄等協同工作。若要訪問網絡資源，首先要進行用戶的入網認證，這樣才能訪問網絡資源。鑒別的過程就是驗證用戶身份的合法性；鑒別完成后，才能對用戶訪問網絡資源進行授權，并對用戶訪問網絡資源進行計費管理。

網絡設備的AAA認證方式有本地身份驗證（local）、遠程身份驗證兩大類。本地身份驗證通過將用戶名和密碼在本地創建并驗證，而遠程身份驗證通過各個廠商自有的AAA服務器來完成，這需要設備和AAA服務器進行關聯。

華為防火墻支持用戶進行本地與遠程配置，今天只介紹本地的身份驗證。

2、華為防火墻常見的管理方式有：

• 通過Console方式管理：屬于帶外管理，不占用戶帶寬，適用于新設備的首次配置場景。

• 通過Telnet方式管理：屬于帶內管理，配置簡單，安全性低，資源占用少，主要適用于安全性不高、設備性能差的場景。

• 通過Web方式管理：屬于帶內管理，可以基于圖形化管理，更適用于新手配置設備。

• 通過SSH方式管理，屬于帶內管理，配置復雜，安全性高，資源占用高，主要適用于對安全性要求比較高的場景，比如通過互聯網遠程管理公司網絡設備。

二、每個管理方式的配置

Console方式的管理，只要連接console線，在客戶端使用超級終端連接即可，具體操作請查閱相關資料，這里就不多說了。

1、通過Telnet方式管理

Telnet管理方式通過配置使終端通過Telnet方式登錄設備，實現對設備的配置和管理。

（1）配置前準備

我使用的是eNSP軟件，在eNSP中添加一臺防火墻，一臺Cloud設備（橋接虛擬機充當客戶端使用）模擬器上的防火墻需要導入系統，我這里使用的是USG6000的防火墻，可以通過下載位置：https://pan.baidu.com/s/1K8867Y8aPRjP_WuwBaqDhg 下載防火墻系統。

USG6000的防火墻，默認編號最小的接口（也就是G0/0/0）已經配置了遠程管理的一些相關配置及IP地址，所以有很多配置是可以省略的，我就用G1/0/0這個全新的接口操作，比較全面。

（2）開始配置防火墻：

首次登錄Console控制臺，按要求配置初始管理密碼：

<USG6000V1>system-view     #切換到系統視圖
[USG6000V1]int g1/0/0          #進入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24    #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]undo shutdown              #激活接口
[USG6000V1-GigabitEthernet1/0/0]quit               #保存退出
[USG6000V1]int g1/0/0                      #進入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]service-manage enable        #進入到管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit    #允許telnet
[USG6000V1-GigabitEthernet1/0/0]quit            #保存退出
[USG6000V1]firewall zone trust              #進入到trust區域
[USG6000V1-zone-trust]add int g1/0/0        #將G1/0/0加入到trust區域
[USG6000V1-zone-trust]quit                   #保存退出
[USG6000V1]security-policy               #設置安全策略
[USG6000V1-policy-security]rule name allow_telnet    #創建安全策略名字為allow_telnet
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust   #配置安全策略源區域trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local  #配置安全策略目標區域local
[USG6000V1-policy-security-rule-allow_telnet]action permit  #允許trust區域訪問防火墻本地區域local
[USG6000V1-policy-security-rule-allow_telnet]quit     #保存退出
[USG6000V1-policy-security]quit           #同上
[USG6000V1]user-interface vty 0 4              #配置vty，允許5個終端使用telnet功能
[USG6000V1-ui-vty0-4]authentication-mode aaa    #配置telnet使用AAA身份驗證
[USG6000V1-ui-vty0-4]protocol inbound telnet         #允許AAA驗證telnet
[USG6000V1-ui-vty0-4]quit             #保存退出
[USG6000V1]aaa                 #進入AAA驗證
[USG6000V1-aaa]manager-user benet           #AAA驗證賬戶是benet
[USG6000V1-aaa-manager-user-benet]password cipher pwd@1234  #AAA驗證密碼是pwd@1234
[USG6000V1-aaa-manager-user-benet]service-type telnet    #AAA給telnet提供驗證功能
[USG6000V1-aaa-manager-user-benet]level 15    #設置telnet賬戶Benet為管理員權限
#“0”是參觀級別，啥都做不了；“1”是監控級別，可以查看相關配置；“2”為配置級別，可以配置部分參數；“3-15”是管理級別，擁有最大的權限
[USG6000V1-aaa-manager-user-benet]quit
[USG6000V1-aaa]quit

Telnet管理方式配置完成，可以通過CMD、CRT、Xshell等超級終端軟件連接該防火墻。如下：

• CMD連接：
  
  

  Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
  Login authentication
  Username:benet            #輸入剛才創建的賬戶名
  Password:                        #輸入剛才設置密碼
  The password needs to be changed. Change now? [Y/N]: y   #首次登錄需要更改密碼，Y即可
  Please enter old password:           #輸入舊密碼
  Please enter new password:           #輸入新密碼
  Please confirm new password:           #確認新密碼
  遺失對主機的連接。              #退出重新telnet輸入新密碼即可

• CRT連接：
  
  

• Xshell連接：
  

2、通過SSH方式管理

和Telnet、Web相比，SSH安全性更高，所以一般不推薦使用Telnet方式登錄設備，而是通過ssh來登錄設備，下面開始配置SSH方式登錄設備（重新搭環境重新配置）

開始配置：

<USG6000V1>system-view    #切換到系統視圖
[USG6000V1]int g1/0/0          #進入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24        #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]service-manage enable        #進入到管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit   #允許ssh
[USG6000V1-GigabitEthernet1/0/0]quit          #保存退出
[USG6000V1]firewall zone trust            #進入到trust區域
[USG6000V1-zone-trust]add int g1/0/0        #將G1/0/0接口加入trust區域
[USG6000V1-zone-trust]quit           
[USG6000V1]security-policy           #進入安全策略
[USG6000V1-policy-security]rule name allow_ssh        #創建安全策略allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust  #定義安全策略源區域為trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local  #定義安全策略目標區域為local
[USG6000V1-policy-security-rule-allow_ssh]action permit  #允許trust區域訪問local區域 
[USG6000V1-policy-security-rule-allow_ssh]quit 
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create          #設置ssh密鑰對，最長2048
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:2048       #輸入
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4        #配置vty，允許5個終端
[USG6000V1-ui-vty0-4]authentication-mode aaa     #ssh使用AAA驗證
[USG6000V1-ui-vty0-4]protocol inbound ssh            #允許ssh使用AAA驗證
[USG6000V1-ui-vty0-4]quit
[USG6000V1]ssh user test              #創建驗證賬戶test
[USG6000V1]ssh user test authentication-type password   #使用密碼驗證
[USG6000V1]ssh user test service-type stelnet         #配置驗證服務類型為ssh
[USG6000V1]aaa              #進入AAA
[USG6000V1-aaa]manager-user test      #AAA驗證用戶名為test
[USG6000V1-aaa-manager-user-test]password cipher pwd@1234    #AAA驗證test賬戶密碼為pwd@1234
[USG6000V1-aaa-manager-user-test]service-type ssh     #AAA給ssh提供驗證
[USG6000V1-aaa-manager-user-test]level 15       #設置ssh驗證賬戶為管理員
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable                 #開啟ssh

SSH方式管理至此配置完成，Xshell或者CRT連接測試，如下：

CRT連接:

這是修改完密碼登錄的界面，第一次登錄輸入上面創建的賬戶（test），密碼pwd@1234登錄即可，提示修改密碼時輸入“Y”修改密碼重新連接即可。

Xshell連接：




剛才CRT登錄修改過密碼，這次就不需要修改了。、

3、通過Web方式管理：

開始配置：

<USG6000V1>system-view       #切換系統視圖
[USG6000V1]int g1/0/0               #進入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24  #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit  #允許http協議遠程
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit  #允許https協議遠程
[USG6000V1-GigabitEthernet1/0/0]quit           
[USG6000V1]firewall zone trust                  #進入到trust區域
[USG6000V1-zone-trust]add int GigabitEthernet 1/0/0       #將G1/0/0接口加入trust區域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy          #進入安全策略
[USG6000V1-policy-security]rule name allow_web      #創建安全策略名字為allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust    #策略源區域為trust
[USG6000V1-policy-security-rule-allow_web]destination-zone local  #策略目標區域為local
[USG6000V1-policy-security-rule-allow_web]action permit    #允許trust區域訪問local區域
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable        #開啟web管理功能
[USG6000V1]aaa       #進入AAA配置
[USG6000V1-aaa]manager-user web       #配置驗證賬戶名為web
[USG6000V1-aaa-manager-user-web]password  #設置AAA驗證密碼
Enter Password:         #輸入密碼
Confirm Password:         #重復輸入
[USG6000V1-aaa-manager-user-web]service-type web   #允許使用web驗證
[USG6000V1-aaa-manager-user-web]level 15         #設置為管理員權限
[USG6000V1-aaa-manager-user-web]quit
[USG6000V1-aaa]quit

經過以上配置，現在即可使用web訪問測試，防火墻默認情況下開啟的https端口為8443，使用客戶端訪問測試，經過上面的配置，應使用 https://192.168.100.10:8443 進行訪問，若網頁加載不出來，多刷新幾次就好了：




Web方式管理就配置完成了。

整個博文看完你會發現，每種方式管理的配置并不復雜，很多地方都是重復命令。

此博文到此結束，感謝閱讀！