华为防火墙设备登录

2019-09-19 16:25:28 阅读量:


1.1 Console登录
 

业务环境中小伙伴们对设备进行初始化通常会用到console口,远程网管通常会用到Telnet、Stelnet(SSH)、HTTPS,下面的篇章将进行一 一讲解,华为防火墙大幕从此拉开。
 

  1. 1.1Console登录,IT人员通过Console线缆(一端RJ45接口,另一端DB9接口)进行本地登录如下图:
     

\
 

  1. 1.2         登录经常用到的软件就是SecureCRT或者PuTTY,以SecureCRT为例,如下图:
     

\
 

  1. 1.3         点击”连接”输入防火墙默认用户名(admin)和密码(Admin@123),登录要求更改防火墙密码,方可进入防火墙登录页面,如下图:



    \
     

  2. 1.4         为避免非授权人员利用缺省帐号、密码访问设备,建议修改Console账号和密码,如下图:
     

           \
 
友情提示:其它友商登录方式一样,只是登录用户名和密码区别,如Cisco ASA Console密码为空,进入特权模式(enable)密码为cisco。山石防火墙默认用户名和密码为hillstonehillstone。
 

  1. 2  Telnet登录
     

  1.2.1         Telnet登录实验拓扑如下图:

\
 

  1. 2.2         启用Telnet服务

                system-view

                [USG6300]telnet server enable
 

  1. 2.3         配置VTY管理界面

    [USG6300]user-interfacevty 0 4

[USG6300-ui-vty0-4]authentication-mode aaa

[USG6300-ui-vty0-4]protocol inbound telnet

注:认证方式有两种分别为password认证和AAA认证,建议配置AAA认证。
 

  1. 2.4         配置telnet登录用户名和密码以及登录方式

   [USG6300]aaa

     [USG6300-aaa]manager-user telnetuser

     [USG6300-aaa-manager-user-telnetuser]passwordcipher Huawei@123

     [USG6300-aaa-manager-user-telnetuser]service-typetelnet

     [USG6300-aaa-manager-user-telnetuser]access-limit2

     [USG6300-aaa-manager-user-telnetuser]level3  注:默认为1级
 

  1. 2.5         测试如下:

    telnet 202.100.1.10
 

  1. 2.6         查看Telnet会话信息:

  display users

  User-Intf   Delay    Type   Network Address     AuthenStatus    AuthorcmdFlag

  34  VTY0   00:04:08 TEL    202.100.1.1               pass           no        Username : telnetuser
 

  1. 2.7         清除Telnet会话信息

  free user-interface vty 0   注:kill user-interface同理

Warning: Userinterface VTY0 will be freed. Continue? [Y/N]:y

Telnet协议是明文传输的,业务环境中强烈建议使用Stelnet,或者仅允许具体网管IP对设备进行网管。如下图:
 

\
 

  1. 2.8         仅允许202.100.1.1 Telnet防火墙

  [USG6300]acl 2000

  [USG6300-acl-basic-2000]rule 5 permit source202.100.1.1 0

  [USG6300]telnet server acl 2000   注:v100R版本在VTY系统下调用

 

  1. 3  Stelnet登录
     

  2. 3.1         Stelnet登录实验拓扑如下图:
     

    \
 

  1. 3.2         启用Stelnet服务

     system-view

      [USG6300]stelnet server enable
 

  1. 3.3         配置VTY管理界面

      [USG6300]user-interfacevty 0 4

  [USG6300-ui-vty0-4]authentication-mode aaa

  [USG6300-ui-vty0-4]protocolinbound ssh
 

  1. 3.4         配置Stelnet登录用户名和密码以及登录方式

     [USG6300]aaa

      [USG6300-aaa]manager-user sshuser

      [USG6300-aaa-manager-user-telnetuser]passwordcipher Huawei@123

      [USG6300-aaa-manager-user-telnetuser]service-typessh

      [USG6300-aaa-manager-user-telnetuser]level3

        

  1. 3.5         生成密钥对

     [USG6300]rsalocal-key-pair create
 

  1. 3.6         配置Stelnet用户

    [USG6300]ssh user sshuser

     [USG6300]ssh user sshuserauthentication-type password   注:认证类型有rsa、dsa或password-dsa、password-rsa

     [USG6300]ssh user sshuser service-type stelnet

 

  1. 3.7         测试如下:

     [Huawei]sshclient first-time enable  注:启用首次认证功能,也可以用SecureCRT等软件登录

     [Huawei]stelnet202.100.1.10
 

  1. 3.8         查看Stelnet会话信息及抓包信息

    display users

  User-Intf   Delay    Type   Network Address     AuthenStatus    AuthorcmdFlag

  34  VTY0   00:00:00  SSH    202.100.1.1               pass           no        Username : sshuser

 \
 

  1. 3.9         清除Stelnet会话信息

      free user-interface vty 0

Warning: Userinterface VTY0 will be freed. Continue? [Y/N]:y

 

  1. 4  HTTPs 登录(默认证书)
     

  2. 4.1         HTTPs登录实验拓扑如下图:

     \
 

  1. 4.2         启用HTTPs服务

[USG6300]web-manager security enable  注:默认已开启
 

  1. 4.3         配置HTTPs用户名信息

       [USG6300]aaa

                   [USG6300-aaa]manager-userwebuser

       [USG6300-aaa-manager-user-webuser]level3

      [USG6300-aaa-manager-user-webuser]service-type web

                  [USG6300-aaa-manager-user-webuser]password cipher Huawei@123

 

  1. 4.4         测试如下:

  https://202.100.1.10:8443

 \
 

  1. 4.5         查看HTTPs会话信息

displayweb-manager users

  Username                                      CurOnline

 -------------------------------------------------------

  webuser                                       1        

  -------------------------------------------------------

  Total online web users: 1

  Total SockNum: 0, SessionNum: 1

 -------------------------------------------------------

  ----------detail usersinfo----------------------------

  UserName             Level UserIp           LoginTime  

 ---------------------------------------------------------

  webuser              3    202.100.1.1     2017/03/07

 

  1. 5  GUI界面上述相应配置如下:
     

\


友情提示:华为防火墙即可以作为Telnet、Stelnet客户端,也可作为服务器。对于其它友商如CiscoASA仅支持服务器。上述实验防火墙接口是G0/0/0,默认G0/0/0口为带外网管接口,默认IP为192.168.0.1/24,并配置了基于接口的DHCP功能。而且该接口下启用了service-manage功能,比如ping,telnet,ssh,http,https等。对于华为防火墙初学者,如果配置其它接口作为管理应用,必须在该接口下启用相应功能。即使放开了接口所在安全域到local的安全策略,也不能通过该接口访问设备。因为Service-manage功能的优先级高于包过滤,这就是安全策略、路由都对,却Ping不通的原因。