华为设备为（USG6000）的防火墙：配置远程管理防火墙最常见的几种方式。_配置usg6000系统管理员远程管理ip访问控制策略,仅系统管理员地址可登录设备。

作者：花生_TL007 | 2024-04-25 22:54:57

踩

配置usg6000系统管理员远程管理ip访问控制策略,仅系统管理员地址可登录设备。

如图所示：
在这里插入图片描述
1.WEB方式：可以基于图形化管理，更适用于新手配置设备。
2.SSH方式：配置复杂，安全性高，资源占用高，主要适用于对安全性要求比较高的场景，如：通过互联网管理公司网络设备。
3.telnet方式：配置简单，安全性低，更适用于新手配置设备。
一. 配置WEB访问华为防火墙。

配置防火墙的IP地址，启动接口管理模式，配置为web管理。

[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 192.168.100.20 24
[Fw-GigabitEthernet0/0/0]undo  shutdown	
[Fw-GigabitEthernet0/0/0]service-manage enable 				#开启管理接口
[Fw-GigabitEthernet0/0/0]service-manage http permit			#开启接口的http管理
[Fw-GigabitEthernet0/0/0]service-manage https permit		#开启接口的https管理
1
2
3
4
5
6

将特定的接口加入到信任区域。

[Fw]firewall zone trust 
[Fw-zone-trust]add interface GigabitEthernet 0/0/0		#将接口加入到防火墙的信任区域，但防火墙的0/0/0默认时加入到里面的，若是其他接口需要这个命令
1
2

配置安全策略。

[Fw]security-policy
[Fw-policy-security]rule name allow_web							#为安全策略取个名字
[Fw-policy-security-rule-allow_web]source-zone trust			#指定条件，源区域
[Fw-policy-security-rule-allow_web]destination-zone local		#同上，目标区域
[Fw-policy-security-rule-allow_web]action permit				#指定动作
1
2
3
4
5

配置web身份验证。

[Fw]aaa													#进入aaa授权
[Fw-aaa]manager-user web								#配置登录防火墙的账户
1）[Fw-aaa-manager-user-web]password cipher pwd@1234	#配置账户密码，最好用第二种方式
2）[Fw-aaa-manager-user-web]password 
[Fw-aaa-manager-user-web]service-type web 				#指定用户类型
[Fw-aaa-manager-user-web]level 15						#授予用户权限
1
2
3
4
5
6

启动web

[Fw]web-manager security enable							#开启https功能
1

用客户机验证：
在这里插入图片描述
二. 配置ssh访问华为防火墙。

配置防火墙的IP地址，启动接口管理模式，配置为ssh管理。

[Fw]interface GigabitEthernet 0/0/0						
[Fw-GigabitEthernet0/0/0]ip address 192.168.100.20 24
[Fw-GigabitEthernet0/0/0]undo  shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable 
[Fw-GigabitEthernet0/0/0]service-manage ssh permit
1
2
3
4
5

配置安全策略。

[Fw]security-policy
[Fw-policy-security]rule name allow_ssh
[Fw-policy-security-rule-allow_ssh]destination-zone local 
[Fw-policy-security-rule-allow_ssh]source-zone trust
[Fw-policy-security-rule-allow_ssh]action permit
1
2
3
4
5

将特定的接口加入到信任区域。

[Fw]firewall zone trust 
[Fw-zone-trust]add interface GigabitEthernet 0/0/0
1
2

配置ssh身份验证和密钥。

[Fw]user-interface vty  0 4						#配置访问连接个数
[Fw-ui-vty0-4]authentication-mode aaa			#配置使用aaa认证
[Fw-ui-vty0-4]protocol inbound ssh 				#允许ssh入站
[Fw]ssh user ssh								#配置登陆防火墙的用户
[Fw]ssh user ssh authentication-type password	#用户使用密码登录
[Fw]ssh user ssh service-type stelnet			#配置服务类型
[Fw]rsa local-key-pair create 					#创建ssh所需的密钥对
1
2
3
4
5
6
7

配置aaa认证。

[Fw]aaa										#进入aaa
[Fw-aaa]manager-user ssh					
[Fw-aaa-manager-user-ssh]password 			#配置登录密码
[Fw-aaa-manager-user-ssh]service-type ssh 	#用户类型
[Fw-aaa-manager-user-ssh]level 15			#授予用户权限
1
2
3
4
5

启动ssh

[Fw]stelnet server enable
1

用客户机验证：

在这里插入图片描述
三. 配置telnet访问华为防火墙。

配置防火墙的IP地址，启动接口管理模式，配置为telnet管理。

[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 192.168.100.20 24
[Fw-GigabitEthernet0/0/0]undo  shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable 
[Fw-GigabitEthernet0/0/0]service-manage telnet permit
1
2
3
4
5

配置安全策略。

[Fw]security-policy
[Fw-policy-security]rule name allow_telnet
[Fw-policy-security-rule-allow_telnet]destination-zone local 
[Fw-policy-security-rule-allow_telnet]source-zone trust
[Fw-policy-security-rule-allow_telnet]action permit
1
2
3
4
5

将特定的接口加入到信任区域。

[Fw]firewall zone trust 
[Fw-zone-trust]add interface GigabitEthernet 0/0/0
1
2

配置telnet身份验证。

[Fw]user-interface vty 0 4
[Fw-ui-vty0-4]authentication-mode aaa
[Fw-ui-vty0-4]protocol inbound telnet 			#允许telnet入站
1
2
3

配置aaa认证。

[Fw]aaa	
[Fw-aaa]manager-user telnet						#配置登录防火墙的账户
[Fw-aaa-manager-user-telnet]password 			#配置账户密码
[Fw-aaa-manager-user-telnet]service-type telnet	#指定用户为telnet用户
[Fw-aaa-manager-user-telnet]level 15			#授予用户权限
1
2
3
4
5

开启telnet功能。

[Fw]telnet server enable 
1

用客户机验证：
在这里插入图片描述

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/花生_TL007/article/detail/487639