本文详细介绍了如何配置华为防火墙进行Web、Telnet和SSH管理,包括设置管理接口IP、开启服务、配置安全策略、加入信任区域、设置身份验证及启动管理服务。此外,还提供了客户机验证步骤,确保远程管理的可行性。
拓扑图
USG6000相关知识:
g/0/0/0:防火墙的网管口,不跑业务数据,仅做网管。
华为防火墙默认账号:admin
默认密码:Admin@123 改:admin@123
修改密码:不更改,不能登录
防火墙的连接:
1、web管理
2、telnet 管理防火墙,现网中不推荐使用
3、ssh管理
4、console口连接,第一此配置时使用。
一、web管理
1、配置防火墙的IP地址,启动接口管理模式,配置为web管理。
[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 169.254.124.187 24 #默认配置ip 192.168.0.1 24
[Fw-GigabitEthernet0/0/0]undo shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable #开启管理接口
[Fw-GigabitEthernet0/0/0]service-manage ping permit #仅允许其他设备ping通防火墙接口,防火墙不可以ping通其他设备。
[Fw-GigabitEthernet0/0/0]service-manage http permit #开启接口的http管理
[Fw-GigabitEthernet0/0/0]service-manage https permit #开启接口的https管理
只需要开启https就可以使用web界面,就可以访问。
[Fw-GigabitEthernet0/0/0] web-manager security enable port 8443 #默认已经配置
开启web管理界面并设置端口,security为设置https
2、将特定的接口加入到信任区域。
[Fw]firewall zone trust
[Fw-zone-trust]add interface GigabitEthernet 0/0/0 #将接口加入到防火墙的信任区域,但防火墙的0/0/0默认时加入到里面的,若是其他接口需要这个命令
3、配置安全策略。
[Fw]security-policy
[Fw-policy-security]rule name allow_web #为安全策略取个名字
[Fw-policy-security-rule-allow_web]source-zone trust #指定条件,源区域
[Fw-policy-security-rule-allow_web]destination-zone local #同上,目标区域
[Fw-policy-security-rule-allow_web]action permit #指定动作
4、配置web身份验证。(这里可以不配新用户,可以使用admin用户直接登录)
[Fw]aaa #进入aaa授权
[Fw-aaa]manager-user web #配置登录防火墙的账户
1)[Fw-aaa-manager-user-web]password cipher huawei@123 #配置账户密码,最好用第二种方式
2)[Fw-aaa-manager-user-web]password
[Fw-aaa-manager-user-web]service-type web #指定用户类型
[Fw-aaa-manager-user-web]level 15 #授予用户权限
5、启动web
[Fw]web-manager security enable #开启https功能
用客户机验证:
打开浏览器输入:
https://169.254.124.186:8443/(这里一定要写上相对应的端口)
二、telnet访问华为防火墙。
1、配置防火墙的IP地址,启动接口管理模式,配置为telnet管理。
[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 169.254.124.187 24
[Fw-GigabitEthernet0/0/0]undo shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable
[Fw-GigabitEthernet0/0/0]service-manage telnet permit
2、配置安全策略。
[Fw]security-policy
[Fw-policy-security]rule name allow_telnet
[Fw-policy-security-rule-allow_telnet]destination-zone local
[Fw-policy-security-rule-allow_telnet]source-zone trust
[Fw-policy-security-rule-allow_telnet]action permit
3、将特定的接口加入到信任区域。
[Fw]firewall zone trust
[Fw-zone-trust]add interface GigabitEthernet 0/0/0
4、配置telnet身份验证。
[Fw]user-interface vty 0 4
[Fw-ui-vty0-4]authentication-mode aaa
[Fw-ui-vty0-4]protocol inbound telnet #允许telnet入站
5、配置aaa认证。
[Fw]aaa
[Fw-aaa]manager-user telnet #配置登录防火墙的账户
[Fw-aaa-manager-user-telnet]password #配置账户密码
[Fw-aaa-manager-user-telnet]service-type telnet #指定用户为telnet用户
[Fw-aaa-manager-user-telnet]level 15 #授予用户权限
6、开启telnet功能。
[Fw]telnet server enable
用客户机验证:
三、 配置ssh访问华为防火墙
1、配置防火墙的IP地址,启动接口管理模式,配置为ssh管理。
[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 169.254.124.187 24
[Fw-GigabitEthernet0/0/0]undo shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable
[Fw-GigabitEthernet0/0/0]service-manage ssh permit
2、配置安全策略。
[Fw]security-policy
[Fw-policy-security]rule name allow_ssh
[Fw-policy-security-rule-allow_ssh]destination-zone local
[Fw-policy-security-rule-allow_ssh]source-zone trust
[Fw-policy-security-rule-allow_ssh]action permit
3、将特定的接口加入到信任区域。
[Fw]firewall zone trust
[Fw-zone-trust]add interface GigabitEthernet 0/0/0
4、配置ssh身份验证和密钥。
[Fw]user-interface vty 0 4 #配置访问连接个数
[Fw-ui-vty0-4]authentication-mode aaa #配置使用aaa认证
[Fw-ui-vty0-4]protocol inbound ssh #允许ssh入站
[Fw]ssh user ssh #配置登陆防火墙的用户
[Fw]ssh user ssh authentication-type password #用户使用密码登录
[Fw]ssh user ssh service-type stelnet #配置服务类型
[Fw]rsa local-key-pair create #创建ssh所需的密钥对
5、配置aaa认证。
[Fw]aaa #进入aaa
[Fw-aaa]manager-user ssh
[Fw-aaa-manager-user-ssh]password #配置登录密码
[Fw-aaa-manager-user-ssh]service-type ssh #用户类型
[Fw-aaa-manager-user-ssh]level 15 #授予用户权限
6、启动ssh
[Fw]stelnet server enable
扫一扫
440
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
