提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
学习内容:
-
二:防火墙支持多种远程登录模式,目前常用的是WEB登录(防火墙都会有管理口,从管理口进入)、ssh登录、console口登入、telnet登入(一般不推荐),接下来我们一起学习一下防火墙基本策略方式:
-
拓扑图如下:从拓扑图可以看出,我们用电脑的虚拟网卡作为实验网卡跟防火墙连接,这样既可在真机连接防火墙,也可以使用工具配置防火墙。
-
学习内容:
一、WEB登录:USG6000V已经默认有WEB文件了,所以无需问厂商要安装文件
实验目的:使用真机网页登录虚拟机防火墙web
1、启动设备,进去配置界面,防火墙的初级默认账号密码为admin/Admin@123,配置如下:
Username:
Username:admin #输入账号
Password:Admin@123 #输入密码
The password needs to be changed. Change now? [Y/N]: y #确定更改
Please enter old password: Admin@123 #旧密码
Please enter new password: admin@123 #新密码
Please confirm new password:admin@123 #再次确定
Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
* Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. *
* All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************
language-mode Chinese #更改语言模式为中文提示
Change language mode, confirm? [Y/N] y #确定
提示:改变语言模式成功。
sy
sys FW1
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]ip add 10.1.1.3 24 #更改端口地址,管理口缺省地址是192.168.0.1 24
[FW1-GigabitEthernet0/0/0]service-manage all permit #允许管理口任何流量通过
[FW1-GigabitEthernet0/0/0]dis th #查看端口现有配置
2022年08月09日 00:40:18.300
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 10.1.1.3 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
从配置处可以看出已经允许所有流量通过
配置安全策略:
[FW1]security-policy #配置安全域
[FW1-policy-security]rule name WEB #命名为WEB
[FW1-policy-security-rule-WEB]source-zone trust #源区间
[FW1-policy-security-rule-WEB]destination-zone local #目的区间
[FW1-policy-security-rule-WEB]source-address 10.1.1.1 mask 255.255.255.255 #源地址
[FW1-policy-security-rule-WEB]action permit #允许通过
真机测试:使用Ping功能ping防火墙管理口地址10.1.1.3,测试通过!
网页登录:使用网页登录10.1.1.3,出现防火墙WEB页面,输入配置的账号密码:admin/admin@123,即可登录到防火墙配置页面,如需做一些安全策略配置,即可在WEB页面配饰,如图:
二、SSH配置:
实验目的:使用真机CRT工具SSH访问到防火墙FW1
SSH介绍:SSH是一种网络通信协议,可以让两台计算机之间实现加密通信。SSH采用的是服务器-客户端模式,顾名思义,也就是向服务器发出请求的部分(客户端 client)以及接收客户端请求的部分(服务端 service)。
配置如下:
[FW1]rsa local-key-pair create #创建秘钥
The key name will be: FW1_Host
The range of public key size is (2048 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
..+++++
........................++
....++++
...........++
[FW1]user-interface vty 0 4
[FW1-ui-vty0-4]authentication-mode aaa
[FW1-ui-vty0-4]protocol inbound ssh #定义为ssh
[FW1]ssh user ssh #指定ssh为SSH用户
[FW1]ssh user ssh authentication-type password #配置认证方式
[FW1]ssh user ssh service-type stelnet #配置服务类型
[FW1]aaa
[FW1-aaa]manager-user ssh #创建本地用户ssh
[FW1-aaa-manager-user-ssh]password cipher admin@123 #配置密码
[FW1-aaa-manager-user-ssh]service-type ssh #指定服务类型为ssh
[FW1-aaa-manager-user-ssh]level 15 #管理等级为15
[FW1]stelnet server enable #ssh服务开启
真机测试,使用CRT测试是否能连接到FW1:
如图所示:CRT能连接到FW1
总结
- 在USG6000系列防火墙上默认是没有安全策略的,所有流量都是禁止的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域内的报文传递