まず、いくつかの管理Huawei社のファイアウォールデバイスの説明:
AAAの概念に関連するファイアウォールデバイスの管理を構成するときに、AAA単に関連の発表はについて書くのは簡単になりますので。
AAAは、ユーザ・アクセス要求サーバプログラムを処理することが可能である、(認証)、承認(認可)及び課金の三つの部分(会計)組成検証され、主な目的は、ネットワーク・サーバへのユーザアクセスを管理することで、サービスユーザーがアクセス権を持っています。どこで:
- 検証:ユーザーがネットワークにアクセスすることができます。
- 認証:ユーザーがアクセス権を持っていることはどのようなサービスが、どのような権限を得ることができます。
- 会計:どのようにネットワークリソースを使用しているユーザーを監査します。
AAAサーバは、通常、一緒に動作するように同じネットワークアクセスコントロール、ゲートウェイサーバー、データベース、およびユーザディレクトリおよびその他の情報です。ネットワークリソースにアクセスするようにネットワークリソースにアクセスするには、まず、ネットワークユーザを認証する必要があります。識別が完了した後に、管理会計、ネットワークリソースへのネットワークリソースへのユーザーアクセス、およびユーザーのアクセスを許可するために、識別プロセスは、ユーザーIDの正当性を検証することです。
。
AAA認証ネットワークデバイスは、各メーカーによって行われたユーザ名とパスワードを作成し、ローカルおよびリモートの認証に検証することにより、ローカル認証、リモート認証二つのカテゴリー、ローカル認証を持っている必要があり、独自のAAAサーバを、持っています協会のための機器およびAAAサーバ。
。
Huawei社のファイアウォールは、次の構成の全てがローカルに認証するように構成され、ローカルとリモートの両方のコンフィギュレーションをサポートしています。
Huawei社の一般的なファイアウォール管理は、次のとおりです。
- 管理コンソールを介して:あなたは、まず、第1の構成では、新たな機器の設定時に何の帯域幅が使用されていない、あなたが直接、次の構成での一つ以上の以下のいくつかの管理を設定、管理をバンドに属していますコンソールが接続されている使用せずにリモート接続、。
- Telnet管理を通じて:それはインバンド管理、簡単な構成で、セキュリティが低い場合、セキュリティが高く、貧しい機器の性能のシーンではありません、主のために、より少ないリソースを占有します。すべてのデータの設定はクリアテキストで送信されるので、ネットワーク環境内で使用することが制限されています。
- Webコンソール経由:それは(も知られているが、それは動作します)デバイスを設定するには、初心者のためのグラフィカルな管理に基づいて、インバンド管理です。
- SSH管理を通じて、より複雑に比べて帯域内管理、コンフィギュレーションに属する、リソースの消費量が高いが、良いニュースは、インターネットなどを介してシーンの高いセキュリティ要件は、リモートでネットワーク機器会社を管理するために、高いセキュリティが主に適していることです。
第二に、様々な経営慣行の設定:
管理コンソールモード限り、接続されたコンソールケーブルは、スーパーの端末の詳細を使用するようにクライアントを接続するには、それをBaiduのしてください、私はここでは書きません。
次のような環境では、非常に簡単です:
インタフェースのUSG6000ファイアウォールのデフォルトの最小の数(通常はG0 / 0/0)は、すでにIPアドレスの関連する設定とリモート管理の一部を構成し、その設定がたくさんあり省略することができますが、するために、それを書き留め、私は設定されていない別の新しいインターフェイスを使用し、G0 / 0/0インターフェイスでそれを使用していない必要な設定を完了します。
1、テレネット管理構成によって:
<USG6000V1>sys # 进入配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 1/0/0 # 进入防火墙接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24 # 配置防火墙接口IP(管理IP)
Oct 25 2019 11:23:06 USG6000V1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet1/0/0 has entered the UP state.
[USG6000V1-GigabitEthernet1/0/0]undo shutdown # 打开接口
Info: Interface GigabitEthernet1/0/0 is not shutdown.
[USG6000V1-GigabitEthernet1/0/0]quit # 退出当前视图
[USG6000V1]telnet server enable # 打开防火墙的 Telnet 功能
[USG6000V1]int g 1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manage enable # 配置接口管理模式
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit # 允许Telnet
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust # 进入到 trust 区域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0 # 将接口1/0/0加入到该区域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy # 配置规则
[USG6000V1-policy-security]rule name allow_telnet # 配置规则,allow_telnet是规则名称
[USG6000V1-policy-security-rule-allow_telnet] # 以下三条配置条件
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust # 源区域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local # 目标区域是防火墙本机
[USG6000V1-policy-security-rule-allow_telnet]action permit # 动作为允许
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]user-interface vty 0 4 # 配置VTY用户接口
[USG6000V1-ui-vty0-4]authentication-mode aaa # 讲VTY接口的验证方式设为aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound telnet # 允许Telnet用户连接到虚拟终端
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa # 进入aaa配置视图
[USG6000V1-aaa]manager-user zhangsan # 配置本地用户zhangsan
[USG6000V1-aaa-manager-user-zhangsan]password cipher pwd@123123 # 配置登录密码,cipher为明文密码,不建议使用,密文可参考web管理
Info: You are advised to config on man-machine mode.
[USG6000V1-aaa-manager-user-zhangsan]
[USG6000V1-aaa-manager-user-zhangsan]service-type telnet # 配置服务类型
[USG6000V1-aaa-manager-user-zhangsan]level 3 # 配置用户权限级别
[USG6000V1-aaa-manager-user-zhangsan]quit
[USG6000V1-aaa]quit
上記の構成後、等がファイアウォールに接続されたXshellハイパーターミナルを使用することができます。次のようにTelnetを使用して、接続するためのコマンド:
。
[E:\~]$ telnet 192.168.1.1
Connecting to 192.168.1.1:23...
Connection established.
The password needs to be changed. Change now? [Y/N]: y # 第一次登陆需要修改密码
Please enter old password: # 填写旧密码
Please enter new password: # 填写新密码
Please confirm new password: # 确认新密码
Info: Receive a message from AAA of cutting user.
Username:zhangsan
Password: # 输入新密码
*************************************************************************
* Copyright (C) 2014-2015 Huawei Technologies Co., Ltd. *
* All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2019-10-25 11:44:32+00:00.
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]
2、Webログの機器を設定します。
<USG6000V1>sys # 进入配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 1/0/0 # 进入防火墙接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24 # 配置防火墙接口IP(管理IP)
[USG6000V1-GigabitEthernet1/0/0]undo shutdown # 打开接口
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit # 允许http管理
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit # 允许https管理
[USG6000V1]firewall zone trust # 进入到 trust 区域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0 # 将接口1/0/0加入到该区域
[USG6000V1]security-policy # 配置规则
[USG6000V1-policy-security]rule name allow_web # 配置规则,allow_web是规则名称
[USG6000V1-policy-security-rule-allow_telnet] # 以下三条配置条件
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust # 源区域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local # 目标区域是防火墙本机
[USG6000V1-policy-security-rule-allow_telnet]action permit # 动作为允许
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable # 开启https功能
[USG6000V1]aaa # 配置aaa
[USG6000V1-aaa]manager-user web # 配置web为本地用户
[USG6000V1-aaa-manager-user-web]password # 密文密码
Enter Password: # 输入密码
Confirm Password: # 确认密码
[USG6000V1-aaa-manager-user-web]service-type web # 指定用户类型
[USG6000V1-aaa-manager-user-web]level 3 # 制定权限级别
[USG6000V1-aaa-manager-user-web]quit
[USG6000V1-aaa]quit
[USG6000V1]
以上のように構成した後、あなたは今、ウェブアクセステストを使用することができ、ファイアウォールがデフォルトのhttpsでオンになっているポートを使用し、上記の構成の後、テストにアクセスするためのクライアントを使用して、8443であるhttps://192.168.1.1:8443アクセス(推奨しますGoogleのブラウザは、)ページのロードが出てこない場合は、理由ENSPシミュレータもうまく数回更新することがあります。
この時点で、やった!
3を、SSHログを設定します。
<USG6000V1>sys # 进入配置视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g 1/0/0 # 进入防火墙接口
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24 # 配置防火墙接口IP(管理IP)
[USG6000V1-GigabitEthernet1/0/0]undo shutdown # 打开接口
[USG6000V1-GigabitEthernet1/0/0]service-manage enable
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit # 允许SSH登录
[USG6000V1]firewall zone trust # 进入到 trust 区域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0 # 将接口1/0/0加入到该区域
[USG6000V1]security-policy # 配置规则
[USG6000V1-policy-security]rule name allow_ssh # 配置规则,allow_ssh是规则名称
[USG6000V1-policy-security-rule-allow_telnet] # 以下三条配置条件
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust # 源区域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local # 目标区域是防火墙本机
[USG6000V1-policy-security-rule-allow_telnet]action permit # 动作为允许
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create # 创建ssh所需要的密钥对
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 2048]: # 输入默认的秘钥长度,直接回车采用默认2048
Generating keys...
.+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
[USG6000V1]
[USG6000V1]ssh user test # 指定 test 为SSH用户
[USG6000V1]ssh user test authentication-type password # 配置认证方式
[USG6000V1]ssh user test service-type stelnet # 配置服务类型
[USG6000V1]aaa # 进入aaa
[USG6000V1-aaa]manager-user test # 指定用户
[USG6000V1-aaa-manager-user-test]password # 配置密码
Enter Password:
Confirm Password:
[USG6000V1-aaa-manager-user-test]
[USG6000V1-aaa-manager-user-test]service-type ssh # 类型为ssh
[USG6000V1-aaa-manager-user-test]level 3 # 权限级别
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable # 开启ssh
このように構成され、Xshell接続を使用して開始します。
。
それぞれの方法はそれぞれ、誰もがそれにどのように依存するかを確認するために、それぞれが独自の利便性を持って、自分の長所を持っています!!!