华为防火墙配置(远程管理)

举报
1风天云月 发表于 2022/02/17 08:56:54 2022/02/17
【摘要】 设备管理方式、AAA介绍、常见管理方式、Console、Telnet、Web、SSH、密码遗忘、Console口密码遗忘、管理员账号/密码遗忘、远程管理配置、案例、配置过程、测试

前言

     管理员首次登录防火墙时要求修改默认密码(manager-user password-modify enable),设备重启后,会从CF卡的数据库中读取管理员密码,而不是从配置文件中读取密码,如果管理员密码遗忘,将无法通过恢复配置文件的方法找回登录密码,必须在配置文件中先去除该命令,再执行相关恢复操作,因此,如果没有定期修改密码的要求,建议关闭密码修改功能,如果开启了密码修改功能,为了保证数据库和配置文件中的密码一致,在修改密码后,要执行save命令保存配置

一、设备管理方式

1、AAA介绍

     AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务,AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作,若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源,鉴别的过程就是验证用户身份的合法性,鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理

  • 验证:哪些用户可以访问网络服务器
  • 授权:具有访问权限的用户可以得到哪些服务,有什么权限
  • 记账:如何对正在使用网络资源的用户进行审计

2、常见管理方式

(1)Console

     通过Console方式管理,属于带外管理,不占用户带宽,适用于新设备的首次配置场景

(2)Telnet


     通过Telnet方式管理,属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高,设备性能差的场景

(3)Web


     通过Web方式管理,属于带内管理,可以基于图形化管理,更适用于新手配置设备

(4)SSH


     通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,如通过互联网远程管理公司网络设备

3、密码遗忘

(1)Console口密码遗忘

     Console口密码遗忘后,管理员可以使用具有3级或以上级别的其它管理员账号,通过Web、Telnet、SSH方式登录设备,修改Console口的密码

(2)管理员账号/密码遗忘

     管理员账号/密码遗忘(包括Console口密码遗忘)后,可以使用具有3级或以上级别的其它管理员账号,通过其他登录方式登录设备进行修改,当Console密码也遗忘,设备也不存在其他高级别的管理员账号时,需要进入BootLoader进行修复

     通过Console口连接设备并重启设备,在设备启动过程中,看到提示信息“Press Ctrl+B to break auto startup...”时,在三秒内按下Ctrl+B,输入BootLoader密码后,进入BootLoader主菜单

二、远程管理配置

1、案例

     通过在防火墙上配置telnet、web、ssh,实现远程设备管理

2、配置过程

(1)USG

(2)AR1

3、测试

(1)Telnet

(2)SSH

(3)Web

结语

     华为防火墙通过管理员角色来控制管理员的权限,无论是Web管理员在Web界面上可配置哪些菜单项,还是CLI管理员在命令行中可执行哪些命令,都受管理员角色的控制,缺省情况下,华为防火墙提供了多种管理员角色,每一个角色都拥有其对应的权限,这些权限决定了管理员可以进行的操作,创建管理员时,可以直接把缺省的角色赋予管理员,此外,华为防火墙还支持自定义角色,可以根据需要创建新的角色

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。