前言
管理员首次登录防火墙时要求修改默认密码(manager-user password-modify enable),设备重启后,会从CF卡的数据库中读取管理员密码,而不是从配置文件中读取密码,如果管理员密码遗忘,将无法通过恢复配置文件的方法找回登录密码,必须在配置文件中先去除该命令,再执行相关恢复操作,因此,如果没有定期修改密码的要求,建议关闭密码修改功能,如果开启了密码修改功能,为了保证数据库和配置文件中的密码一致,在修改密码后,要执行save命令保存配置
一、设备管理方式
1、AAA介绍
AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务,AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作,若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源,鉴别的过程就是验证用户身份的合法性,鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理
- 验证:哪些用户可以访问网络服务器
- 授权:具有访问权限的用户可以得到哪些服务,有什么权限
- 记账:如何对正在使用网络资源的用户进行审计
2、常见管理方式
(1)Console
通过Console方式管理,属于带外管理,不占用户带宽,适用于新设备的首次配置场景
(2)Telnet
通过Telnet方式管理,属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高,设备性能差的场景
(3)Web
通过Web方式管理,属于带内管理,可以基于图形化管理,更适用于新手配置设备
(4)SSH
通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,如通过互联网远程管理公司网络设备
3、密码遗忘
(1)Console口密码遗忘
Console口密码遗忘后,管理员可以使用具有3级或以上级别的其它管理员账号,通过Web、Telnet、SSH方式登录设备,修改Console口的密码
(2)管理员账号/密码遗忘
管理员账号/密码遗忘(包括Console口密码遗忘)后,可以使用具有3级或以上级别的其它管理员账号,通过其他登录方式登录设备进行修改,当Console密码也遗忘,设备也不存在其他高级别的管理员账号时,需要进入BootLoader进行修复
通过Console口连接设备并重启设备,在设备启动过程中,看到提示信息“Press Ctrl+B to break auto startup...”时,在三秒内按下Ctrl+B,输入BootLoader密码后,进入BootLoader主菜单
二、远程管理配置
1、案例
通过在防火墙上配置telnet、web、ssh,实现远程设备管理
2、配置过程
(1)USG
(2)AR1
3、测试
(1)Telnet
(2)SSH
(3)Web
结语
华为防火墙通过管理员角色来控制管理员的权限,无论是Web管理员在Web界面上可配置哪些菜单项,还是CLI管理员在命令行中可执行哪些命令,都受管理员角色的控制,缺省情况下,华为防火墙提供了多种管理员角色,每一个角色都拥有其对应的权限,这些权限决定了管理员可以进行的操作,创建管理员时,可以直接把缺省的角色赋予管理员,此外,华为防火墙还支持自定义角色,可以根据需要创建新的角色