华为防火墙配置(远程管理)


前言

     管理员首次登录防火墙时要求修改默认密码(manager-user password-modify enable),设备重启后,会从CF卡的数据库中读取管理员密码,而不是从配置文件中读取密码,如果管理员密码遗忘,将无法通过恢复配置文件的方法找回登录密码,必须在配置文件中先去除该命令,再执行相关恢复操作,因此,如果没有定期修改密码的要求,建议关闭密码修改功能,如果开启了密码修改功能,为了保证数据库和配置文件中的密码一致,在修改密码后,要执行save命令保存配置

一、设备管理方式

1、AAA介绍

     AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务,AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作,若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源,鉴别的过程就是验证用户身份的合法性,鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理

  • 验证:哪些用户可以访问网络服务器
  • 授权:具有访问权限的用户可以得到哪些服务,有什么权限
  • 记账:如何对正在使用网络资源的用户进行审计

2、常见管理方式

(1)Console

     通过Console方式管理,属于带外管理,不占用户带宽,适用于新设备的首次配置场景

(2)Telnet


     通过Telnet方式管理,属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高,设备性能差的场景

(3)Web


     通过Web方式管理,属于带内管理,可以基于图形化管理,更适用于新手配置设备

(4)SSH


     通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,如通过互联网远程管理公司网络设备

3、密码遗忘

(1)Console口密码遗忘

     Console口密码遗忘后,管理员可以使用具有3级或以上级别的其它管理员账号,通过Web、Telnet、SSH方式登录设备,修改Console口的密码

(2)管理员账号/密码遗忘

     管理员账号/密码遗忘(包括Console口密码遗忘)后,可以使用具有3级或以上级别的其它管理员账号,通过其他登录方式登录设备进行修改,当Console密码也遗忘,设备也不存在其他高级别的管理员账号时,需要进入BootLoader进行修复

     通过Console口连接设备并重启设备,在设备启动过程中,看到提示信息“Press Ctrl+B to break auto startup...”时,在三秒内按下Ctrl+B,输入BootLoader密码后,进入BootLoader主菜单

二、远程管理配置

1、案例

     通过在防火墙上配置telnet、web、ssh,实现远程设备管理

华为防火墙配置(远程管理)

2、配置过程

(1)USG

华为防火墙配置(远程管理)

华为防火墙配置(远程管理)

(2)AR1

华为防火墙配置(远程管理)

3、测试

(1)Telnet

华为防火墙配置(远程管理)

华为防火墙配置(远程管理)

(2)SSH

华为防火墙配置(远程管理)

华为防火墙配置(远程管理)

华为防火墙配置(远程管理)

(3)Web

华为防火墙配置(远程管理)

华为防火墙配置(远程管理)

华为防火墙配置(远程管理)

结语

     华为防火墙通过管理员角色来控制管理员的权限,无论是Web管理员在Web界面上可配置哪些菜单项,还是CLI管理员在命令行中可执行哪些命令,都受管理员角色的控制,缺省情况下,华为防火墙提供了多种管理员角色,每一个角色都拥有其对应的权限,这些权限决定了管理员可以进行的操作,创建管理员时,可以直接把缺省的角色赋予管理员,此外,华为防火墙还支持自定义角色,可以根据需要创建新的角色

上一篇:华为网络配置(策略路由)


下一篇:华为防火墙配置(防火墙NAT)