一、華爲防火牆管理方式
AAA是驗證(Authentication)、授權(Authorization)和記賬(Accounting)三個部分組成,是一個能夠處理用戶訪問請求的服務器程序,主要目的是管理用戶訪問網絡服務器,爲具有訪問權限的用戶提供服務。
(1)驗證:哪些用戶可以訪問網絡服務器。
(2)授權:具有訪問權限的用戶可以得到哪些服務,有什麼權限。
(3)記賬:如何對正在使用網絡資源的用戶進行審計。
AAA服務器通常同網絡訪問控制、網關服務器、數據庫及用戶信息目錄等協同工作。若要訪問網絡資源,首先要進行用戶的入網認證,這樣才能訪問網絡資源。鑑別的過程就是驗證用戶身份的合法性;鑑別完成後,才能對用戶訪問網絡資源進行授權,並對用戶訪問網絡資源進行計費管理。
網絡設備的AAA認證方式有本地身份驗證、遠程身份驗證兩大類,本地身份驗證通過將用戶名和密碼在本地創建並驗證,而遠程身份驗證通過各個廠商自有的AAA服務器來完成,這需要設備和AAA服務器進行關聯。
華爲防火牆支持用戶進行本地與遠程配置,以下所有配置都將以本地配置來進行身份驗證。
華爲防火牆常見的管理方式有:
通過Console方式管理:屬於帶外管理,不佔用帶寬,適用於新設備的首次配置時使用,在第一次配置時,會配置下面幾個管理方式的其中一個或多個,下次在配置直接遠程連接即可,無須使用Console連接了。
(1)通過Console方式管理:屬於帶外管理,不佔用帶寬,適用於新設備的首次配置時使用,在第一次配置時,會配置下面幾個管理方式的其中一個或多個,下次配置直接遠程連接即可,無須使用Console連接了。
(2)通過web管理方式:屬於帶內管理,可以基於圖形化管理,適用於新手配置設備(但也要熟知其工作原理)。
(3)通過SSH方式管理,屬於帶內管理,配置相比較複雜些,資源佔用也高,但是欣慰的是安全性極高,主要適用於對安全性要求較高的場景,如通過互聯網遠程管理公司網絡設備。
二、各種管理方式的配置
1、通過Telnet方式管理配置
這裏使用eNSP拉了一臺防火牆,連接上宿主機即可,連接宿主機主要是爲了驗證,若需要在eNSP上驗證效果,需要給模擬器上的防火牆導入系統.
防火牆配置如下:
USG6000的防火牆,默認編號最小的接口(一般是G0/0/0)已經配置了遠程管理的一些相關配置及IP地址,所以有很多配置是可以省略的,不過爲了完整的將所需的配置寫下來,沒有使用它的G0/0/0接口,而使用別的全新沒有配置的接口。
如下:
1.png
開始配置:
<USG6000V1>sys <!--進入系統視圖-->
[USG6000V1]in g1/0/0 <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]telnet server enable <!--打開防火牆的Telnet功能-->
[USG6000V1]in g1/0/0 <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]service-manage enable <!--配置接口管理模式-->
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit <!--允許Telnet-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust <!--進入trust區域-->
[USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區域-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]security-policy <!--設置安全策略-->
[USG6000V1-policy-security]rule name allow_telnet <!--配置規則,allow_telnet是定義的規則名-->
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust <!--指定規則中的源區域爲trust-->
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local <!--指定目標區域爲local-->
[USG6000V1-policy-security-rule-allow_telnet]action permit <!--動作是允許-->
[USG6000V1]user-interface vty 0 4 <!--進入vty接口-->
[USG6000V1-ui-vty0-4]authentication-mode aaa <!--指定驗證方式爲AAA-->
[USG6000V1-ui-vty0-4]protocol inbound telnet <!--允許Telnet連接虛擬終端-->
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa <!--進入AAA配置-->
[USG6000V1-aaa]manager-user lv <!--配置本地用戶“lv”-->
[USG6000V1-aaa-manager-user-lv]password <!--設置密碼-->
Enter Password: <!--輸入密碼-->
Confirm Password: <!--確認密碼-->
[USG6000V1-aaa-manager-user-lv]service-type telnet <!--配置服務類型爲Telnet-->
[USG6000V1-aaa-manager-user-lv]level 3 <!--設置管理級別爲3-->
[USG6000V1-aaa-manager-user-lv]quit
[USG6000V1-aaa]quit
經過上面的配置,即可使用Xshell等超級終端軟件連接該防火牆了。使用Telnet命令即可連接,如下:
2.png
[C:\~]$ telnet 192.168.1.254 <!--telnet連接防火牆-->
Connecting to 192.168.1.254:23...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
Login authentication
Username:lv <!--輸入剛纔創建的用戶名-->
Password: <!--輸入剛纔指定的密碼-->
The password needs to be changed. Change now? [Y/N]: y <!--賬號首次登陸需要更改密碼,輸入“y”確定-->
Please enter old password: <!--輸入舊密碼-->
Please enter new password: <!--新密碼-->
Please confirm new password: <!--新密碼-->
<!--當新密碼輸入完成後,會斷開連接,再執行一下Telnet命令重新連接,使用新密碼登陸即可-->
關於管理級別,“0”是參觀級別,啥都做不了;“1”是監控級別,可以查看相關配置;“2”爲配置級別,可以配置部分參數;“3-15”是管理級別,擁有最大的權限。
2、配置web方式登錄防火牆配置
注意:以下配置是在全新的防火牆上配置的,該防火牆默認沒有任何配置,上面配置了Telnet的防火牆已經刪除了。
開始配置:
<USG6000V1>sys <!--進入系統視圖-->
[USG6000V1]in g1/0/0 <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit <!--允許https管理-->
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit <!--允許http管理-->
[USG6000V1]firewall zone trust <!--進入trust區域-->
[USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區域-->
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy <!--設置安全策略-->
[USG6000V1-policy-security]rule name allow_web <!--配置規則,allow_telnet是定義的規則名-->
[USG6000V1-policy-security-rule-allow_web]source-zone trust <!--指定規則中的源區域爲trust-->
[USG6000V1-policy-security-rule-allow_web]destination-zone local <!--指定目標區域爲local-->
[USG6000V1-policy-security-rule-allow_web]action permit <!--動作是允許-->
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable <!--開啓web管理功能,該命令後面可以跟自定義端口號,默認是8443,如web-manager security enable port 2000,執行security參數,是開啓https功能,不執行security參數,是開啓http管理。注意不要使https和http的端口號衝突-->
[USG6000V1]aaa <!--進入AAA配置-->
[USG6000V1-aaa]manager-user jian <!--配置本地用戶“jian”-->
[USG6000V1-aaa-manager-user-jian]password <!--設置密碼-->
Enter Password: <!--輸入密碼-->
Confirm Password: <!--確認密碼-->
[USG6000V1-aaa-manager-user-jian]level 3 <!--設置管理級別爲3-->
[USG6000V1-aaa-manager-user-jian]quit
[USG6000V1-aaa]quit
經過以上配置,現在即可使用web訪問測試,防火牆默認情況下開啓的https端口爲8443,使用客戶端訪問測試,經過上面的配置,應使用 https://192.168.1.254:8443 進行訪問:
3.png
根據提示,輸入相應密碼,更改密碼(用戶首次登陸須更改密碼):
4.png
更改新密碼後,使用用戶名及新密碼進行登錄:
5.png
登錄後就可以看到下面的管理界面了:
6.png
配置web方式管理設備至此就完成了。
3、配置SSH方式登錄設備
和Telnet相比,SSH安全性更高,所以一般不推薦使用Telnet方式登錄設備,而是通過ssh來登錄設備,下面開始配置SSH方式登錄設備(注意:防火牆所有配置都沒了,現在又是重新開始配置):
開始配置:
<USG6000V1>sys <!--進入系統視圖-->
[USG6000V1]in g1/0/0 <!--進入該接口-->
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--給接口配置IP地址-->
[USG6000V1-GigabitEthernet1/0/0]service-manage enable <!--配置接口管理模式-->
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit <!--允許SSH-->
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust <!--進入trust區域-->
[USG6000V1-zone-trust]add in g1/0/0 <!--將g1/0/0加入該區域-->
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy <!--設置安全策略-->
[USG6000V1-policy-security]rule name allow_ssh <!--配置規則,allow_ssh是定義的規則名-->
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust <!--指定規則中的源區域爲trust-->
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local <!--指定目標區域爲local-->
[USG6000V1-policy-security-rule-allow_ssh]action permit <!--動作是允許-->
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create <!--創建密鑰-->
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512, it will take a few minutes.
Input the bits in the modulus[default = 2048]: <!--設置密鑰的長度,直接回車即可-->
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4 <!--進入vty接口-->
[USG6000V1-ui-vty0-4]authentication-mode aaa <!--指定驗證方式爲AAA-->
[USG6000V1-ui-vty0-4]protocol inbound ssh <!--允許ssh連接虛擬終端-->
[USG6000V1-ui-vty0-4]quit
[USG6000V1]ssh user zhao <!--創建本地用戶“zhao”-->
[USG6000V1]ssh user zhao authentication-type password <!--設置密碼-->
[USG6000V1]ssh user zhao service-type stelnet <!--配置服務類型爲stelnet-->
[USG6000V1]aaa <!--進入AAA配置-->
[USG6000V1-aaa]manager-user zhao <!--配置本地用戶“zhao”-->
[USG6000V1-aaa-manager-user-zhao]password <!--設置密碼-->
Enter Password: <!--輸入密碼-->
Confirm Password: <!--確認密碼-->
[USG6000V1-aaa-manager-user-zhao]service-type ssh <!--配置服務類型爲ssh-->
[USG6000V1-aaa-manager-user-zhao]level 3 <!--設置管理級別爲3-->
[USG6000V1-aaa-manager-user-zhao]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable <!--開啓stelnet-->
至此配置完畢,開始使用Xshell連接即可。
執行命令“ssh 192.168.1.254”進行連接,操作如下:
7.png
8.png
9.png
10.png
11.png