华为防火墙设备管理方式
温馨提示:本章介绍最常用的两种Telnet、SSH方式管理
华为防火墙是AAA(Authentication Authorization Accounting)服务器,它是一种机制,能够处理用户访问请求的服务程序,为具有访问权限的用户提供服务。
验证:Authentication哪些用户可以访问
授权:具有访问权限的用户可以得到哪些服务,有什么权限
记账:对使用网络资源的用户审计
带外管理:Console方式管理,适用于刚买的新设备或者网络故障无法使用其他方式管理,此方式不需要IP地址,通过物理线连接。
带内管理:Telnet、web、SSH方式管理,Telnet安全性低、占用资源少;web图形化界面,适合新手;SSH配置复杂、安全性高、占用资源高,互联网远程管理公司设备。
配置SSH方式管理
注意:默认防火墙接口g0/0/0,IP是192.168.0.1并加入安全区域trust
若使用默认的地址和区域则不用配置此项。首次登录,必须配置一个本地登录密码,默认是admin@123
1、 允许ssh远程管理
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable //启用接口管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit //允许ssh服务流量通过
[USG6000V1-GigabitEthernet0/0/0]quit
查看默认接口地址:
2、启用并配置防火墙域间包过滤安全策略,允许trust区域流量与local区域互相通信
[USG6000V1]security-policy //进入安全策略
[USG6000V1-policy-security]rule name allow_ssh //配置规则,名称为allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local
[USG6000V1-policy-security-rule-allow_ssh]action permit //配置动作
3、 配置认证模式及本地用户信息
[USG6000V1]rsa local-key-pair