华为防火墙实现远程管理的方式及配置telnet--web--ssh

1.通过Console线进行管理
这种方式适用于刚购买的新设备,实际环境中,插上Console即可!这里就不再多说了!


华为防火墙实现远程管理的方式及配置telnet--web--ssh_第1张图片

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第2张图片

 

2.通过Telnet方式管理
Telnet管理方式通过配置使终端通过Telnet方式登录设备,实现对设备的配置和管理。其实这种环境拓补只需一个防火墙(版本为USG6000)和Cloud(主要是为了可以桥接到宿主机或虚拟机)即可,实验拓补如下:

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第3张图片

1)首次登录Console控制台时,按要求配置密码,如图

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第4张图片

2)配置防火墙接口IP地址,便于日后管理

system-view 
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable 
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]quit 
 

(3)打开防火墙的Telnet功能

[USG6000V1]telnet server enable 
 

(4)配置防火墙允许远程管理

[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable 
//配置接口管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit 
//允许Telnet
[USG6000V1-GigabitEthernet0/0/0]quit

 (5)将防火墙接口g0/0/0加入安全区域

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g0/0/0
 Error: The interface has been added to trust security zone. 
 //这是正常提示,表示这个接口 已经添加到安全区域中
[USG6000V1-zone-trust]quit
 

(6)将防火墙配置域间包过滤,以保证网络基本通信正常

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_telnet
//配置规则,其中allow_telnet为规则名,可自定义
[USG6000V1-policy-security-rule-allow_telent]source-zone trust 
//匹配条件,源区域是trust区域
[USG6000V1-policy-security-rule-allow_telent]destination-zone local 
//匹配条件,目标区域是local区域
[USG6000V1-policy-security-rule-allow_telent]action permit 
//匹配条件满足后,执行的动作,permit为允许的意思
[USG6000V1-policy-security-rule-allow_telent]quit
[USG6000V1-policy-security]quit
 

 

(7)配置认证模式及本地用户信息

[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
//用户接口验证方式为AAA
[USG6000V1-ui-vty0-4]protocol inbound telnet 
//允许Telnet连接虚拟终端
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj
//配置本地用户lzj
[USG6000V1-aaa-manager-user-lzj]password cipher lzj@1234
//配置用户密码(cipher为密文方式)
Info: You are advised to config on man-machine mode.
//建议使用man-machine方式配置密码
[USG6000V1-aaa-manager-user-lzj]service-type telnet 
//配置服务类型为telnet
[USG6000V1-aaa-manager-user-lzj]level 3
//配置用户权限级别
[USG6000V1-aaa-manager-user-lzj]quit 
[USG6000V1-aaa]quit

 

注意:USG6000系列属于最新版本,配置本地用户名和密码需要使用manager-user命令,之前的版本则使用local-user命令。

(8)客户端测试访问

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第5张图片

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第6张图片

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第7张图片

客户端Telnet访问成功!

3.通过Web方式登录设备
建议在模拟器上重新部署设备,当然也可在Telnet的基础上继续配置Web方式访问!为了简单明了,朋友更加明白配置Web方式,本人重新画实验拓补,实验拓补还是原本的样子,一朵 Cloud模拟真实客户端,一台USG6000防火墙。配置命令如下: 

sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable 
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]service-manage http permit 
[USG6000V1-GigabitEthernet0/0/0]service-manage https permit 
[USG6000V1-GigabitEthernet0/0/0]quit
//打开接口的http和https管理
[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g0/0/0
 Error: The interface has been added to trust security zone. 
 //正常提示,可以忽略
[USG6000V1-zone-trust]quit
//配置接口加入Trust区域
[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust 
[USG6000V1-policy-security-rule-allow_web]destination-zone local
[USG6000V1-policy-security-rule-allow_web]action permit 
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
//如果在Telnet基础上配置Web方式访问,这些安全配置可以忽略
[USG6000V1]web-manager security enable 
//开启https安全访问功能
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj
[USG6000V1-aaa-manager-user-lzj]password

Enter Password:

Confirm Password:
//在这种模式下,配置的密码将不可见,这也是华为推荐的方式
[USG6000V1-aaa-manager-user-lzj]service-type web
//指定服务类型
[USG6000V1-aaa-manager-user-lzj]level 3
//指定权限级别
[USG6000V1-aaa-manager-user-lzj]quit
[USG6000V1-aaa]quit
 

 

注意:
其中“web-manager security enable ”命令后也可以自定义端口,比如:web-manager security enableport 2000,执行security参数,是开启https管理,不加security参数则表示可以开启http管理。绝对不允许https和http管理使用相同的端口,这样配置会导致端口冲突。访问失败!

客户端访问验证
华为防火墙实现远程管理的方式及配置telnet--web--ssh_第8张图片

 

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第9张图片

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第10张图片

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第11张图片

 华为防火墙实现远程管理的方式及配置telnet--web--ssh_第12张图片

客户端通过Web方式访问成功!

4.配置SSH方式登录设备

为了初学者能够看明白,这里还是重新部署设备,实验拓补,跟前两种方式一样!也可在之前的基础继续配置,根据自己能力即可!SSH方式登录设备,配置命令如下

sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info enable 
Info: Information center is disabled.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.1.20 24
[USG6000V1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]service-manage enable            //开启连接
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit      // 允许ssh访问
[USG6000V1-GigabitEthernet0/0/0]quit
//打开接口的ssh管理
[USG6000V1]firewall zone trust                进入安全区,将接口加入安全区
[USG6000V1-zone-trust]add int g0/0/0
 Error: The interface has been added to trust security zone. 
 //正常提示,可以忽略
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy               设置安全策略
[USG6000V1-policy-security]rule name allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local
[USG6000V1-policy-security-rule-allow_ssh]action permit     配置动作
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit    
[USG6000V1]
//配置安全策略,如果在web方式或者Telnet方式之后,这些步骤可以省略
[USG6000V1]rsa local-key-pair create 
//创建SSH所需的密钥对
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
输入默认的密钥长度,默认值为2048             
Input the bits in the modulus[default = 2048]:
Generating keys...
.+++++
........................++
....++++
...........++

[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa             接口验证方式为aaa验证方式
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound ssh             运行ssh连接虚拟终端
[USG6000V1-ui-vty0-4]quit
//并且开启ssh协议访问
[USG6000V1]ssh user test  
//指定test为SSH用户
[USG6000V1]ssh user test authentication-type password
//配置认证方式
[USG6000V1]ssh user test service-type stelnet
//配置服务类型
[USG6000V1]aaa
[USG6000V1-aaa]manager-user test
//创建本地用户test
[USG6000V1-aaa-manager-user-test]password cipher test@1234
Info: You are advised to config on man-machine mode.
//提示建议使用man-machine模式设置密码
[USG6000V1-aaa-manager-user-test]service-type ssh
//指定服务类型为ssh
[USG6000V1-aaa-manager-user-test]level 3
//管理模式为3
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable
//开启SSH服务
 

客户端访问测试:
本人习惯使用xshell,个人习惯,cmd命令框也可以的!

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第13张图片

 华为防火墙实现远程管理的方式及配置telnet--web--ssh_第14张图片华为防火墙实现远程管理的方式及配置telnet--web--ssh_第15张图片

 

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第16张图片

华为防火墙实现远程管理的方式及配置telnet--web--ssh_第17张图片

客户端SSH方式访问成功!

你可能感兴趣的:(华为H3C)