真机电脑使用 HTTPS 方式登录ensp防火墙USG6000

1、首先安装完成ensp之后，会安装Oracle VM VirtualBox

2、打开VirtualBox软件，点击管理菜单下面的全局设定

3、添加虚拟网卡，可以只添加一个，主要是为了ensp里面的防火墙接口可以和该网卡的地址通信。

注意：添加了虚拟网卡之后，大家需要给这个网卡配置一个地址，地址段需要和ensp里面的防火墙的接口（连接真机的接口）在一个网段，我的电脑配置新的地址后需要重启电脑，不然做完后面的步骤无法成功；如果需要后面才配置地址或者修改已经配置的地址，要重启电脑也没关系，可以把ensp的拓扑配置先保存，然后再重启电脑打开保存的ensp拓扑文件。
真机电脑网卡地址配置位置

4、保存配置，再打开ENSP软件，拖出一朵云和一台USG6000防火墙，双击云

5、添加第一个端口


6、添加另一个端口，该 端口用于连接真机

7、添加端口映射


8、将云和防火墙连接起来，防火墙需要连接云的 绑定类型为UDP的端口，防火墙的接口可以使用ge 0/0/0之外的接口，不过其他接口是空配置，g0/0/0接口有缺省配置，基本上连上线就已经成功了。后面会讲解不同连接需要在防火墙做不同的配置。

9、在防火墙上面进行配置

步骤 1
配置防火墙和真机电脑直连的接口。
如果使用管理口 GigabitEthernet 0/0/0（MGMT）的缺省配置登录设备，无需执行此步骤。 管理口的缺省 IP 地址为 192.168.0.1（需要手动将电脑的虚拟网卡的网络地址更改为和g0/0/0相同的网段，然后重启电脑才能生效，反正我的是需要重启电脑，大家可以尝试重启网卡试试），g0/0/0接口默认已经加入 Trust 区域，并且允许管理员通过HTTPS登录设备。

下面介绍一下不是g0/0/0端口的情况，由于GigabitEthernet 0/0/0缺省有192.168.0.1的地址，所以我就先把GigabitEthernet 0/0/0的地址先删除了，否则其他接口无法配置192.168.0.0/24网段的地址。
1.配置接口信息。
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 192.168.0.1 255.255.255.0 (这个地址要和之前 在电脑上添加的virtual网卡的地址是一个网段)
[FW-GigabitEthernet1/0/3] service-manage enable
[FW-GigabitEthernet1/0/3] service-manage https permit
[FW-GigabitEthernet1/0/3] quit
2. 将接口加入安全区域。
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet1/0/3
[FW-zone-trust] quit
3.这个时候地址配置完成之后，就可以测试防火墙和真机电脑的连通性：
1）首先在防火墙ping真机的ip，我的真机虚拟网卡地址为192.168.0.200，注意一定要把真机的windows防火墙关闭后再测试。
ping -vpn-instance default 192.168.0.200
2）在真机的cmd命令运行窗口中ping防火墙，注意需要在防火墙接口下开启允许ping。
*开启接口允许ping的命令
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] service-manage ping permit
*在电脑cmd里面ping防火墙的接口地址
ping 192.168.0.1
3）如果以上成功了，可以直接使用防火墙中缺省的admin用户进行web访问， 在电脑上打开网络浏览器（火狐浏览器才可以），访问ensp中防火墙的web url地址“https://192.168.0.200:8443”。 3. 在登录界面中输入管理员的用户名：admin 密码：Admin@1234（这个密码是首次打开ensp防火墙要求修改的地址），单击 “登录”，进入 Web 界面。

有的情况下需要使用admin之外的用户去登陆，步骤见下面（（可选操作））
*步骤 2 创建管理员。如果使用缺省的管理员角色，请忽略此步骤。 *

1. 为管理员配置信任主机。
   [FW] acl 2001
   [FW-acl-basic-2001] rule permit source 192.168.0.0 0.0.0.255
   [FW-acl-basic-2001] quit
2. 创建管理员角色。
   [FW] aaa
   [FW-aaa] role service-admin
   [FW-aaa-role-service-admin] description policy_object_network_readwrite_and_other_modules_none
   [FW-aaa-role-service-admin] dashboard none
   [FW-aaa-role-service-admin] monitor none
   [FW-aaa-role-service-admin] system none
   [FW-aaa-role-service-admin] network read-write
   [FW-aaa-role-service-admin] object read-write
   [FW-aaa-role-service-admin] policy read-write [FW-aaa-role-service-admin] quit
3. 创建管理员，并为管理员绑定角色。
   [FW-aaa] manager-user webadmin
   [FW-aaa-manager-user-webadmin] password Enter Password: Confirm Password:
   [FW-aaa-manager-user-webadmin] service-type web
   [FW-aaa-manager-user-webadmin] access-limit 10
   [FW-aaa-manager-user-webadmin] acl-number 2001
   [FW-aaa-manager-user-webadmin] quit
   [FW-aaa] bind manager-user webadmin role service-admin
   [FW-aaa] quit

步骤 3 验证自己创建的管理员登录 Web 界面。（如果使用的缺省用户admin登陆请忽略此步骤）
1.首先在防火墙ping真机的ip，我的真机虚拟网卡地址为192.168.0.200
ping -vpn-instance default 192.168.0.200
2.在真机的命令运行窗口中ping防火墙
ping 192.168.0.1
3.如果以上成功了，可以进行web访问，配置管理员 PC 的 IP 地址为 192.168.0.200/24（如果之前已经配置过了可以忽略）。 2. PC 中打开网络浏览器（火狐浏览器才可以），访问需要登录设备的 IP 地址“https://192.168.0.200:8443”。 3. 在登录界面中输入管理员的用户名“webadmin”和密码“Myadmin@123”，单击 “登录”，进入 Web 界面，管理员配置成功。