Métodos de administración del firewall de Huawei

Others 2020-04-11 15:44:52 views: null

Introducción de AAA

AAA es la abreviatura de las tres palabras en inglés 验证(Autenticación), 授权(Autorización) y 记账(Contabilidad) es un programa de servidor que puede manejar las solicitudes de acceso de los usuarios. El objetivo principal es administrar el acceso de los usuarios al servidor de red y proporcionar servicios a los usuarios con derechos de acceso.

Autenticación: qué usuarios pueden acceder al servidor web.

Autorización: qué servicios y permisos están disponibles para los usuarios con derechos de acceso.

Contabilidad: cómo auditar a los usuarios que utilizan recursos de red.

Hay dos tipos de métodos de autenticación AAA para equipos de red 本地身份验证(Local) 远程身份验证.

Autenticación local por 用户名y 密码crear y verificar un local de
AAA servidor de autenticación remota por varios fabricantes poseen para llevar a cabo esta necesidad 设备y AAA服务器estar apagado.

Huawei Firewall admite a los usuarios para realizar configuraciones locales y remotas, y solo introduce autenticación local.

Métodos comunes de administración del firewall de Huawei

Método de gestión Descripción
conexión de cable de consola Pertenece a la gestión fuera de banda y no ocupa el ancho de banda del usuario. Es adecuado para el primer escenario de configuración de nuevos dispositivos.
conexión telnet Pertenece a la administración en banda, con una configuración simple, baja seguridad y bajo consumo de recursos, y se aplica principalmente a escenarios con baja seguridad y bajo rendimiento del dispositivo.
Inicio de sesión en la interfaz web Perteneciente a la gestión en banda, puede basarse en la gestión gráfica y es más adecuado para dispositivos de configuración novatos.
conexión ssh Pertenece a la gestión en banda, con una configuración compleja, alta seguridad y alto consumo de recursos. Es principalmente adecuado para escenarios con requisitos de alta seguridad, como la gestión remota de equipos de red de la empresa a través de Internet.

Habrá 3 configuraciones detalladas de administración en banda a continuación.

Manejo de telent

A través de la configuración, el terminal Telnetpuede iniciar sesión en el dispositivo a través de la forma de realizar la configuración y administración del dispositivo. El entorno experimental se muestra en la figura a continuación,

Al compilar la topología que se muestra en la figura anterior, eNSPel cliente no puede simular Telnet, SSH y la administración web, por lo que se recomienda conectar el puerto G0 / 0/0 del firewall a una máquina virtual real y usarlo 虚拟机como cliente.

Inserte la descripción de la imagen aquí

Configuración de la nube
Inserte la descripción de la imagen aquí
Además, la cuenta de administración predeterminada para los dispositivos Huawei es adminy la contraseña es Admin@123. Las otras cuentas creadas deben restablecer la contraseña de acuerdo con la solicitud durante la primera sobregrabación.

Please Press ENTER.

An initial password is required for the first login via the console.
Set a password and keep it safe. Otherwise you will not be able to login via the
 console.

Please configure the login password (8-16)
Enter Password:         ##密码是:Admin@123
Confirm Password:       ##重复密码
Warning: The authentication mode was changed to password authentication and the 
user level was changed to 15 on con0 at the first user login.
Warning: There is a risk on the user-interface which you login through. Please c
hange the configuration of the user-interface as soon as possible. 

*************************************************************************
*         Copyright (C) 2014-2015 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************


<USG6000V1>
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]undo info en
Info: Information center is disabled.
[USG6000V1]
  1. Configure la dirección IP de la interfaz IP del firewall y habilite la función telnet
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.100.20 24
[USG6000V1-GigabitEthernet1/0/0]un sh
Info: Interface GigabitEthernet1/0/0 is not shutdown.
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]
[USG6000V1]telnet server enable 
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet
  1. Configure el firewall para permitir la administración remota y agregue la interfaz de firewall g1 / 0/0 a la zona de seguridad.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manage enable 
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit 
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/0
[USG6000V1-zone-trust]q
[USG6000V1]

3) Configure el firewall con filtrado de paquetes entre dominios para garantizar que la comunicación básica de la red sea normal. Debido a que el tráfico Telnet pertenece al firewall en sí, es necesario configurar políticas de seguridad de área Trusta Localárea.

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_telnet
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust 
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local 
[USG6000V1-policy-security-rule-allow_telnet]action permit 
[USG6000V1-policy-security-rule-allow_telnet]q
[USG6000V1-policy-security]q
[USG6000V1]
  1. Configurar el modo de autenticación y la información del usuario local

[USG6000V1]user-interface vty 0 4    //进到用户界面视图
[USG6000V1-ui-vty0-4]authentication-mode aaa  //开启aaa认证模式
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound telnet   //允许 Telnet连接虚拟终端
[USG6000V1-ui-vty0-4]q
[USG6000V1]aaa                              //进到aaa认证模式
[USG6000V1-aaa]manager-user demo           //配置本地用户demo
[USG6000V1-aaa-manager-user-demo]password cipher demo@123  //配置密码
Info: You are advised to config on man-machine mode.
[USG6000V1-aaa-manager-user-demo]service-type telnet  //配置服务类型
Warning: The user access modes include Telnet or FTP, so security risks exist.
[USG6000V1-aaa-manager-user-demo]level 3             //配置用户权限级别
[USG6000V1-aaa-manager-user-demo]q
[USG6000V1-aaa]q
[USG6000V1]

5) Ejecute CRT en el cliente y conéctese al firewall
Inserte la descripción de la imagen aquí

6) Después de conectarse, cambie la contraseña de acuerdo con la solicitud. Después de volver a conectar, puede ingresar a la vista del usuario e iniciar sesión en el dispositivo.
Inserte la descripción de la imagen aquí

gestión web

1) Abra la gestión http y https de la interfaz

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit	//打开接口的http和https管理
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit

2) Agregue la interfaz del cortafuegos g1 / 0/0 a la zona de seguridad, lo cual se hizo anteriormente, pero no se hará aquí
3) Configure la política de seguridad

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust 
[USG6000V1-policy-security-rule-allow_web]destination-zone local
[USG6000V1-policy-security-rule-allow_web]action permit 
[USG6000V1-policy-security-rule-allow_web]q
[USG6000V1-policy-security]q
[USG6000V1]
[USG6000V1]web-manager security enable    //开启web管理策略
Info: Web security-server has been enabled.

4) Modo de autenticación de usuario Aaa

[USG6000V1]aaa
[USG6000V1-aaa]manager-user demo
[USG6000V1-aaa-manager-user-demo]service-type web
[USG6000V1-aaa-manager-user-demo]level 3
[USG6000V1-aaa-manager-user-demo]q
[USG6000V1-aaa]q
[USG6000V1]

Nota:

  • El comando de habilitación de seguridad del administrador web también se puede seguir 自定义端口, como el puerto de habilitación de seguridad del administrador web 2000.
  • Ejecute parámetros de seguridad para habilitar la httpsadministración, como la habilitación de seguridad del administrador web; no ejecute parámetros de seguridad para habilitar la httpadministración, como: habilitación de administración web.
  • No está permitido usar el mismo puerto para la administración de https y http, dicha configuración causará conflictos de puertos.

5) El puerto https abierto por defecto en el firewall es 8443: Visite https://192.168.100.20:8443 en el navegador E del cliente para abrir la interfaz de autenticación.

Inserte la descripción de la imagen aquí
Debido a que la contraseña de demostración se cambió durante telnet, inicie sesión con la nueva contraseña
Inserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquí

Configure SSH para iniciar sesión en el dispositivo

En comparación con Telnet, SSH es más seguro, pero más complicado que Telnet. Los siguientes son los pasos para configurar la administración de SSH.

1) Ingrese a la interfaz, permita la conexión ssh y únase a la zona de confianza (se ha hecho telnet)

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit 
[USG6000V1-GigabitEthernet1/0/0]q

2) Configurar la política de seguridad

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust 
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local
[USG6000V1-policy-security-rule-allow_ssh]action permit 
[USG6000V1-policy-security-rule-allow_ssh]q
[USG6000V1-policy-security]q
[USG6000V1]

3) Cree el par de claves requerido para SSH

[USG6000V1]rsa local-key-pair create   //创建SSH所需的密钥对
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
.+++++
........................++
....++++
...........++

[USG6000V1]

4) Especifique la autenticación aaa y cree usuarios de autenticación ssh

[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]q
[USG6000V1]ssh user lzj                                //指定lzj为ssh用户
Info: Succeeded in adding a new SSH user.
[USG6000V1]ssh user lzj authentication-type password   //配置认证方式
[USG6000V1]ssh user lzj service-type stelnet           //配置服务类型     
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lzj                        //创建本地用户lzj
[USG6000V1-aaa-manager-user-lzj]password cipher Lzja@123  //指定密码
Info: You are advised to config on man-machine mode.
[USG6000V1-aaa-manager-user-lzj]service-type ssh
[USG6000V1-aaa-manager-user-lzj]level 3
[USG6000V1-aaa-manager-user-lzj]q
[USG6000V1-aaa]q
[USG6000V1]
[USG6000V1]stelnet server enable
Info: Succeeded in starting the Stelnet server.
[USG6000V1]

5) Conecte el software CRT al cortafuegos en el cliente, aparece el siguiente cuadro, haga clic en "Aceptar y guardar".

Inserte la descripción de la imagen aquí
Aparecerá un nuevo cuadro de inicio de sesión, ingrese el usuario y la contraseña. La primera vez que inicie sesión, se le pedirá que cambie la contraseña. Después del cambio, cerrará 新密码sesión automáticamente y usará el inicio de sesión.
Inserte la descripción de la imagen aquí

下一篇:防火墙的NAT策略

@ 李子 矜
36 artículos originales publicados · elogiados 3 · visitas 6362
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/weixin_43815140/article/details/105439712
Recomendado
Clasificación
Diario
Más
2024-06-05(0)
2024-06-04(0)
2024-06-03(1)
2024-06-02(0)
2024-06-01(2)
2024-05-31(0)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)

Code World

© 2018 codetd.com