- 一、华为防火墙设备的几种管理方式介绍
- 二、各种管理方式的配置
- 1、通过Telnet方式管理
- 2、通过web方式管理
- 3、通过SSH方式管理
由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下 。
AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提供服务 。其中:
- 验证:哪些用户可以访问网络服务器 。
- 授权:具有访问权限的用户可以得到哪些服务,有什么权限 。
- 记账:如何对正在使用网络资源的用户进行审计 。
- AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作 。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源 。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理 。
- 网络设备的AAA认证方式有本地身份验证、远程身份验证两大类,本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的AAA服务器来完成,这需要设备和AAA服务器进行关联 。
- 华为防火墙支持用户进行本地与远程配置,以下所有配置都将以本地配置来进行身份验证 。
华为防火墙常见的管理方式有:
- 通过Console方式管理:属于带外管理,不占用带宽,适用于新设备的首次配置时使用,在第一次配置时,会配置下面几个管理方式的其中一个或多个,下次在配置直接远程连接即可,无须使用Console连接了 。
- 通过Telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景 。因为在配置时所有数据是明文传输,所以仅限于内网环境使用 。
- 通过web管理方式:属于带内管理,可以基于图形化管理,适用于新手配置设备(但也要熟知其工作原理) 。
- 通过SSH方式管理,属于带内管理,配置相比较复杂些,资源占用也高,但是欣慰的是安全性极高,主要适用于对安全性要求较高的场景,如通过互联网远程管理公司网络设备 。
Console方式的管理,只要连接console线,在客户端使用超级终端连接即可,具体操作请百度吧,这里就不写了 。
1、通过Telnet方式管理配置
这个的网络环境没什么好说的,我这里使用eNSP拉了一台防火墙,连接上宿主机即可,连接宿主机主要是为了验证,若需要在eNSP上验证效果,需要给模拟器上的防火墙导入系统,我这里使用的是USG6000的防火墙,可以下载我提供的防火墙系统文件
防火墙配置如下:
USG6000的防火墙,默认编号最小的接口(一般是G0/0/0)已经配置了远程管理的一些相关配置及IP地址,所以有很多配置是可以省略的,不过为了完整的将所需的配置写下来,我不使用它的G0/0/0接口,而使用别的全新没有配置的接口 。
【华为防火墙的管理方式介绍及配置】如下:
文章插图
开始配置:
<USG6000V1>sys <!--进入系统视图-->[USG6000V1]in g1/0/0 <!--进入该接口-->[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24 <!--给接口配置IP地址-->[USG6000V1-GigabitEthernet1/0/0]quit[USG6000V1]telnet server enable <!--打开防火墙的Telnet功能-->[USG6000V1]in g1/0/0 <!--进入该接口-->[USG6000V1-GigabitEthernet1/0/0]service-manage enable <!--配置接口管理模式-->[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit <!--允许Telnet-->[USG6000V1-GigabitEthernet1/0/0]quit[USG6000V1]firewall zone trust <!--进入trust区域--> [USG6000V1-zone-trust]add in g1/0/0 <!--将g1/0/0加入该区域-->[USG6000V1-GigabitEthernet1/0/0]quit[USG6000V1]security-policy <!--设置安全策略-->[USG6000V1-policy-security]rule name allow_telnet <!--配置规则,allow_telnet是定义的规则名-->[USG6000V1-policy-security-rule-allow_telnet]source-zone trust <!--指定规则中的源区域为trust-->[USG6000V1-policy-security-rule-allow_telnet]destination-zone local <!--指定目标区域为local-->[USG6000V1-policy-security-rule-allow_telnet]action permit <!--动作是允许-->[USG6000V1]user-interface vty 0 4 <!--进入vty接口-->[USG6000V1-ui-vty0-4]authentication-mode aaa <!--指定验证方式为AAA-->[USG6000V1-ui-vty0-4]protocol inbound telnet <!--允许Telnet连接虚拟终端-->[USG6000V1-ui-vty0-4]quit [USG6000V1]aaa <!--进入AAA配置-->[USG6000V1-aaa]manager-user lv <!--配置本地用户“lv”-->[USG6000V1-aaa-manager-user-lv]password <!--设置密码-->Enter Password: <!--输入密码-->Confirm Password: <!--确认密码-->[USG6000V1-aaa-manager-user-lv]service-type telnet <!--配置服务类型为Telnet-->[USG6000V1-aaa-manager-user-lv]level 3 <!--设置管理级别为3-->[USG6000V1-aaa-manager-user-lv]quit[USG6000V1-aaa]quit
推荐阅读
- 长寿的秘诀杯茶
- 从中医角度谈普洱茶的好处
- 想瘦成闪电吗 来喝瘦身茶
- 在windows上通过docker玩转redis的最新特性
- 一款简单的内网穿透工具,无需安装即可使用
- 花茶美容又养生
- JS中轻松遍历对象属性的几种方式
- 茶是最经济实惠的瘦身饮品
- ubuntu默认的root 密码是多少?
- 计算机网络常用的命令行指令