まず、Huawei社のファイアウォールデバイスの管理
1、AAAはじめに
AAAは、(認証)、承認(認証)およびアカウンティング(会計)短期のための3つの英語の単語を検証することである、ユーザーのアクセス要求を処理できるサーバプログラムは、主な目的は、ネットワーク・サーバへのユーザアクセスを管理することで、ユーザーがアクセス権を持っていますサービスを提供します。どこで:
検証:ユーザーがネットワークにアクセスすることができます。
認証:ユーザーがアクセス権を持っていることはどのようなサービスが、どのような権限を得ることができます。
- 会計:どのようにネットワークリソースを使用しているユーザーを監査します。
AAAサーバは、通常、一緒に動作するように同じネットワークアクセスコントロール、ゲートウェイサーバー、データベース、およびユーザディレクトリおよびその他の情報です。ネットワークリソースにアクセスするようにネットワークリソースにアクセスするには、まず、ネットワークユーザを認証する必要があります。識別が完了した後に、管理会計、ネットワークリソースへのネットワークリソースへのユーザーアクセス、およびユーザーのアクセスを許可するために、識別プロセスは、ユーザーIDの正当性を検証することです。
ネットワークデバイスのAAA認証は、ローカル認証(ローカル)、リモート認証二つのカテゴリーがあります。ユーザー名とパスワードを作成し、ローカルおよびリモートの認証に検証することにより、ローカル認証は、さまざまなメーカーが機器やAAAサーバの関連付けを必要とし、独自のAAAサーバを、行われます。
Huawei社のファイアウォールは、ローカル認証について今日、ローカルとリモートの両方のコンフィギュレーションをサポートしています。
2、ファイアウォールのHuawei社共通の管理は、次のとおりです。
管理コンソールを介してユーザの帯域幅が設定シナリオ初めて新しい機器を考慮していない、管理をバンドに属しています。
Telnet管理を通じて:それはインバンド管理、簡単な構成で、セキュリティが低い場合、セキュリティが高く、貧しい機器の性能のシーンではありません、主のために、より少ないリソースを占有します。
ウェブ管理を通じて:それは、デバイスを設定するには、初心者のためのより適切なグラフィカル管理に基づいたインバンド管理、です。
- SSH管理を通じ、インターネット経由などの比較的高い需要シナリオの安全性は、リモートでネットワーク機器会社を管理するために、主のために、リソース消費、インバンド管理、設定の複雑さ、高い安全性に属します。
各管理モードの第二に、コンフィギュレーション
限りスーパーターミナル、特定の操作を使用するようにクライアントを接続するための接続コンソールケーブルなどの関連情報を参照してください。管理コンソールモード、言っても過言ではありません。
1、Telnet管理を通じて
機器の設定と管理のためのTelnet経由でログインし、端末を構成することにより、Telnet管理。
(1)準備事前に設定
私はあなたが場所をダウンロードすることができ、私はここで使用される、システム・シミュレータをインポートする必要性にクラウドデバイス(使用するクライアントと仮想マシンの行為を橋渡し)にENSPでファイアウォールをファイアウォールを追加し、ENSPソフトウェアをUSG6000ファイアウォールされて使用しています:https://pan.baidu.com/s/1K8867Y8aPRjP_WuwBaqDhgファイアウォールシステムをダウンロードしてください。
USG6000ファイアウォールは、デフォルトでインタフェースの最小の数(すなわちG0 / 0/0)は、すでに私はこれは新しいG1 / 0/0を使用して、関連する構成とリモコンのIPアドレスの一部を構成し、その設定の多くを省略することができますがありますインタフェースの動作、より包括的な。
(2)ファイアウォールの設定を開始:
コンソールコンソール最初のログイン、パスワード管理に必要な初期設定:
<USG6000V1>system-view #切换到系统视图
[USG6000V1]int g1/0/0 #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24 #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]undo shutdown #激活接口
[USG6000V1-GigabitEthernet1/0/0]quit #保存退出
[USG6000V1]int g1/0/0 #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]service-manage enable #进入到管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit #允许telnet
[USG6000V1-GigabitEthernet1/0/0]quit #保存退出
[USG6000V1]firewall zone trust #进入到trust区域
[USG6000V1-zone-trust]add int g1/0/0 #将G1/0/0加入到trust区域
[USG6000V1-zone-trust]quit #保存退出
[USG6000V1]security-policy #设置安全策略
[USG6000V1-policy-security]rule name allow_telnet #创建安全策略名字为allow_telnet
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust #配置安全策略源区域trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local #配置安全策略目标区域local
[USG6000V1-policy-security-rule-allow_telnet]action permit #允许trust区域访问防火墙本地区域local
[USG6000V1-policy-security-rule-allow_telnet]quit #保存退出
[USG6000V1-policy-security]quit #同上
[USG6000V1]user-interface vty 0 4 #配置vty,允许5个终端使用telnet功能
[USG6000V1-ui-vty0-4]authentication-mode aaa #配置telnet使用AAA身份验证
[USG6000V1-ui-vty0-4]protocol inbound telnet #允许AAA验证telnet
[USG6000V1-ui-vty0-4]quit #保存退出
[USG6000V1]aaa #进入AAA验证
[USG6000V1-aaa]manager-user benet #AAA验证账户是benet
[USG6000V1-aaa-manager-user-benet]password cipher pwd@1234 #AAA验证密码是pwd@1234
[USG6000V1-aaa-manager-user-benet]service-type telnet #AAA给telnet提供验证功能
[USG6000V1-aaa-manager-user-benet]level 15 #设置telnet账户Benet为管理员权限
#“0”是参观级别,啥都做不了;“1”是监控级别,可以查看相关配置;“2”为配置级别,可以配置部分参数;“3-15”是管理级别,拥有最大的权限
[USG6000V1-aaa-manager-user-benet]quit
[USG6000V1-aaa]quitTelnetの構成管理は、ファイアウォールCMD、CRT、ハイパーターミナル等Xshellに接続することができます。次のように:
-
CMD接続:
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet. Login authentication Username:benet #输入刚才创建的账户名 Password: #输入刚才设置密码 The password needs to be changed. Change now? [Y/N]: y #首次登录需要更改密码,Y即可 Please enter old password: #输入旧密码 Please enter new password: #输入新密码 Please confirm new password: #确认新密码 遗失对主机的连接。 #退出重新telnet输入新密码即可 -
CRTコネクタ:
- Xshell接続:
SSH管理の仕方によって2、
そして、TelnetやWeb比較、SSH、より安全な(再受験環境を再構成)、一般的に、デバイスのログを記録するためにTelnetを使用することは推奨されていませんが、ssh経由でログインするデバイスは、のは、SSHログデバイスを設定するには、始めましょう
コンフィギュレーションを開始します。
<USG6000V1>system-view #切换到系统视图
[USG6000V1]int g1/0/0 #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24 #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]service-manage enable #进入到管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit #允许ssh
[USG6000V1-GigabitEthernet1/0/0]quit #保存退出
[USG6000V1]firewall zone trust #进入到trust区域
[USG6000V1-zone-trust]add int g1/0/0 #将G1/0/0接口加入trust区域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy #进入安全策略
[USG6000V1-policy-security]rule name allow_ssh #创建安全策略allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust #定义安全策略源区域为trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local #定义安全策略目标区域为local
[USG6000V1-policy-security-rule-allow_ssh]action permit #允许trust区域访问local区域
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create #设置ssh密钥对,最长2048
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 2048]:2048 #输入
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4 #配置vty,允许5个终端
[USG6000V1-ui-vty0-4]authentication-mode aaa #ssh使用AAA验证
[USG6000V1-ui-vty0-4]protocol inbound ssh #允许ssh使用AAA验证
[USG6000V1-ui-vty0-4]quit
[USG6000V1]ssh user test #创建验证账户test
[USG6000V1]ssh user test authentication-type password #使用密码验证
[USG6000V1]ssh user test service-type stelnet #配置验证服务类型为ssh
[USG6000V1]aaa #进入AAA
[USG6000V1-aaa]manager-user test #AAA验证用户名为test
[USG6000V1-aaa-manager-user-test]password cipher pwd@1234 #AAA验证test账户密码为pwd@1234
[USG6000V1-aaa-manager-user-test]service-type ssh #AAA给ssh提供验证
[USG6000V1-aaa-manager-user-test]level 15 #设置ssh验证账户为管理员
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable #开启ssh次のようにこのようSSH、構成管理、またはCRT Xshell接続テスト:
CRTコネクタ:
これはあなたのパスワード、上記で作成した最初のログインアカウントの入力(テスト)へのインタフェースが変更され、あなたが1234 @パスワードPWDをログオンすることができますが、接続を再時にパスワードを変更するには、「Y」の変更パスワードを入力するように要求しました。
Xshell接続:
ちょうど改訂CRTのログインパスワードは、これを変更する必要はありません。、
3、ウェブ管理を通じて:
コンフィギュレーションを開始します。
<USG6000V1>system-view #切换系统视图
[USG6000V1]int g1/0/0 #进入G1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.10 24 #接口配置IP地址
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit #允许http协议远程
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit #允许https协议远程
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust #进入到trust区域
[USG6000V1-zone-trust]add int GigabitEthernet 1/0/0 #将G1/0/0接口加入trust区域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy #进入安全策略
[USG6000V1-policy-security]rule name allow_web #创建安全策略名字为allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust #策略源区域为trust
[USG6000V1-policy-security-rule-allow_web]destination-zone local #策略目标区域为local
[USG6000V1-policy-security-rule-allow_web]action permit #允许trust区域访问local区域
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable #开启web管理功能
[USG6000V1]aaa #进入AAA配置
[USG6000V1-aaa]manager-user web #配置验证账户名为web
[USG6000V1-aaa-manager-user-web]password #设置AAA验证密码
Enter Password: #输入密码
Confirm Password: #重复输入
[USG6000V1-aaa-manager-user-web]service-type web #允许使用web验证
[USG6000V1-aaa-manager-user-web]level 15 #设置为管理员权限
[USG6000V1-aaa-manager-user-web]quit
[USG6000V1-aaa]quit上記の設定が完了したら、今使用し、ファイアウォールはデフォルトのHTTPSポートは上記設定後、テストにアクセスするためのクライアントを使用して、8443であることでオンになっている、ウェブアクセステストを使用することができますhttps://192.168.100.10:8443ページならばアクセスすることが負荷は、出てくるだけで罰金数回更新されない:
ウェブウェイの管理が行われます!
整个博文看完你会发现,每种方式管理的配置并不复杂,很多地方都是重复命令。
此博文到此结束,感谢阅读!