华为设备为(USG6000)的防火墙:配置远程管理防火墙最常见的几种方式。
如图所示:
1.WEB方式:可以基于图形化管理,更适用于新手配置设备。
2.SSH方式:配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,如:通过互联网管理公司网络设备。
3.telnet方式:配置简单,安全性低,更适用于新手配置设备。
一. 配置WEB访问华为防火墙。
- 配置防火墙的IP地址,启动接口管理模式,配置为web管理。
[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 192.168.100.20 24
[Fw-GigabitEthernet0/0/0]undo shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable #开启管理接口
[Fw-GigabitEthernet0/0/0]service-manage http permit #开启接口的http管理
[Fw-GigabitEthernet0/0/0]service-manage https permit #开启接口的https管理
- 将特定的接口加入到信任区域。
[Fw]firewall zone trust
[Fw-zone-trust]add interface GigabitEthernet 0/0/0 #将接口加入到防火墙的信任区域,但防火墙的0/0/0默认时加入到里面的,若是其他接口需要这个命令
- 配置安全策略。
[Fw]security-policy
[Fw-policy-security]rule name allow_web #为安全策略取个名字
[Fw-policy-security-rule-allow_web]source-zone trust #指定条件,源区域
[Fw-policy-security-rule-allow_web]destination-zone local #同上,目标区域
[Fw-policy-security-rule-allow_web]action permit #指定动作
- 配置web身份验证。
[Fw]aaa #进入aaa授权
[Fw-aaa]manager-user web #配置登录防火墙的账户
1)[Fw-aaa-manager-user-web]password cipher pwd@1234 #配置账户密码,最好用第二种方式
2)[Fw-aaa-manager-user-web]password
[Fw-aaa-manager-user-web]service-type web #指定用户类型
[Fw-aaa-manager-user-web]level 15 #授予用户权限
- 启动web
[Fw]web-manager security enable #开启https功能
用客户机验证:
二. 配置ssh访问华为防火墙。
- 配置防火墙的IP地址,启动接口管理模式,配置为ssh管理。
[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 192.168.100.20 24
[Fw-GigabitEthernet0/0/0]undo shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable
[Fw-GigabitEthernet0/0/0]service-manage ssh permit
- 配置安全策略。
[Fw]security-policy
[Fw-policy-security]rule name allow_ssh
[Fw-policy-security-rule-allow_ssh]destination-zone local
[Fw-policy-security-rule-allow_ssh]source-zone trust
[Fw-policy-security-rule-allow_ssh]action permit
- 将特定的接口加入到信任区域。
[Fw]firewall zone trust
[Fw-zone-trust]add interface GigabitEthernet 0/0/0
- 配置ssh身份验证和密钥。
[Fw]user-interface vty 0 4 #配置访问连接个数
[Fw-ui-vty0-4]authentication-mode aaa #配置使用aaa认证
[Fw-ui-vty0-4]protocol inbound ssh #允许ssh入站
[Fw]ssh user ssh #配置登陆防火墙的用户
[Fw]ssh user ssh authentication-type password #用户使用密码登录
[Fw]ssh user ssh service-type stelnet #配置服务类型
[Fw]rsa local-key-pair create #创建ssh所需的密钥对
- 配置aaa认证。
[Fw]aaa #进入aaa
[Fw-aaa]manager-user ssh
[Fw-aaa-manager-user-ssh]password #配置登录密码
[Fw-aaa-manager-user-ssh]service-type ssh #用户类型
[Fw-aaa-manager-user-ssh]level 15 #授予用户权限
- 启动ssh
[Fw]stelnet server enable
用客户机验证:
三. 配置telnet访问华为防火墙。
- 配置防火墙的IP地址,启动接口管理模式,配置为telnet管理。
[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 192.168.100.20 24
[Fw-GigabitEthernet0/0/0]undo shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable
[Fw-GigabitEthernet0/0/0]service-manage telnet permit
- 配置安全策略。
[Fw]security-policy
[Fw-policy-security]rule name allow_telnet
[Fw-policy-security-rule-allow_telnet]destination-zone local
[Fw-policy-security-rule-allow_telnet]source-zone trust
[Fw-policy-security-rule-allow_telnet]action permit
- 将特定的接口加入到信任区域。
[Fw]firewall zone trust
[Fw-zone-trust]add interface GigabitEthernet 0/0/0
- 配置telnet身份验证。
[Fw]user-interface vty 0 4
[Fw-ui-vty0-4]authentication-mode aaa
[Fw-ui-vty0-4]protocol inbound telnet #允许telnet入站
- 配置aaa认证。
[Fw]aaa
[Fw-aaa]manager-user telnet #配置登录防火墙的账户
[Fw-aaa-manager-user-telnet]password #配置账户密码
[Fw-aaa-manager-user-telnet]service-type telnet #指定用户为telnet用户
[Fw-aaa-manager-user-telnet]level 15 #授予用户权限
- 开启telnet功能。
[Fw]telnet server enable
用客户机验证:
