一、華為防火墻設(shè)備的幾種管理方式介紹：

由于在對(duì)防火墻設(shè)備配置管理方式時(shí)，涉及到了AAA這個(gè)概念，索性就將AAA的相關(guān)介紹簡(jiǎn)單寫一下。

AAA是驗(yàn)證（Authentication）、授權(quán)（Authorization）和記賬（Accounting）三個(gè)部分組成，是一個(gè)能夠處理用戶訪問(wèn)請(qǐng)求的服務(wù)器程序，主要目的是管理用戶訪問(wèn)網(wǎng)絡(luò)服務(wù)器，為具有訪問(wèn)權(quán)限的用戶提供服務(wù)。其中：

驗(yàn)證：哪些用戶可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器。

授權(quán)：具有訪問(wèn)權(quán)限的用戶可以得到哪些服務(wù)，有什么權(quán)限。

記賬：如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行審計(jì)。

AAA服務(wù)器通常同網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫(kù)及用戶信息目錄等協(xié)同工作。若要訪問(wèn)網(wǎng)絡(luò)資源，首先要進(jìn)行用戶的入網(wǎng)認(rèn)證，這樣才能訪問(wèn)網(wǎng)絡(luò)資源。鑒別的過(guò)程就是驗(yàn)證用戶身份的合法性；鑒別完成后，才能對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行授權(quán)，并對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行計(jì)費(fèi)管理。

網(wǎng)絡(luò)設(shè)備的AAA認(rèn)證方式有本地身份驗(yàn)證、遠(yuǎn)程身份驗(yàn)證兩大類，本地身份驗(yàn)證通過(guò)將用戶名和密碼在本地創(chuàng)建并驗(yàn)證，而遠(yuǎn)程身份驗(yàn)證通過(guò)各個(gè)廠商自有的AAA服務(wù)器來(lái)完成，這需要設(shè)備和AAA服務(wù)器進(jìn)行關(guān)聯(lián)。

華為防火墻支持用戶進(jìn)行本地與遠(yuǎn)程配置，以下所有配置都將以本地配置來(lái)進(jìn)行身份驗(yàn)證。

華為防火墻常見(jiàn)的管理方式有：

通過(guò)Console方式管理：屬于帶外管理，不占用帶寬，適用于新設(shè)備的首次配置時(shí)使用，在第一次配置時(shí)，會(huì)配置下面幾個(gè)管理方式的其中一個(gè)或多個(gè)，下次在配置直接遠(yuǎn)程連接即可，無(wú)須使用Console連接了。

通過(guò)Telnet方式管理：屬于帶內(nèi)管理，配置簡(jiǎn)單，安全性低，資源占用少，主要適用于安全性不高、設(shè)備性能差的場(chǎng)景。因?yàn)樵谂渲脮r(shí)所有數(shù)據(jù)是明文傳輸，所以僅限于內(nèi)網(wǎng)環(huán)境使用。

通過(guò)web管理方式：屬于帶內(nèi)管理，可以基于圖形化管理，適用于新手配置設(shè)備（但也要熟知其工作原理）。

通過(guò)SSH方式管理，屬于帶內(nèi)管理，配置相比較復(fù)雜些，資源占用也高，但是欣慰的是安全性極高，主要適用于對(duì)安全性要求較高的場(chǎng)景，如通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程管理公司網(wǎng)絡(luò)設(shè)備。

二、各種管理方式的配置:

Console方式的管理，只要連接console線，在客戶端使用超級(jí)終端連接即可，具體操作請(qǐng)百度吧，這里就不寫了。
環(huán)境很簡(jiǎn)單，如下所示：

USG6000的防火墻，默認(rèn)編號(hào)最小的接口（一般是G0/0/0）已經(jīng)配置了遠(yuǎn)程管理的一些相關(guān)配置及IP地址，所以有很多配置是可以省略的，不過(guò)為了完整的將所需的配置寫下來(lái)，我不使用它的G0/0/0接口，而使用別的全新沒(méi)有配置的接口。
1、通過(guò)telenet管理配置：

sys#進(jìn)入配置視圖
Entersystemview,returnuserviewwithCtrl+Z.
[USG6000V1]intg1/0/0#進(jìn)入防火墻接口
[USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP（管理IP）
Oct2520191106USG6000V1%%01IFNET/4/LINK_STATE(l)[0]:ThelineprotocolIP
ontheinterfaceGigabitEthernet1/0/0hasenteredtheUPstate.
[USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口
Info:InterfaceGigabitEthernet1/0/0isnotshutdown.
[USG6000V1-GigabitEthernet1/0/0]quit#退出當(dāng)前視圖
[USG6000V1]telnetserverenable#打開防火墻的Telnet功能
[USG6000V1]intg1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manageenable#配置接口管理模式
[USG6000V1-GigabitEthernet1/0/0]service-managetelnetpermit#允許Telnet
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewallzonetrust#進(jìn)入到trust區(qū)域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區(qū)域
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy#配置規(guī)則
[USG6000V1-policy-security]rulenameallow_telnet#配置規(guī)則，allow_telnet是規(guī)則名稱
[USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件
[USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區(qū)域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標(biāo)區(qū)域是防火墻本機(jī)
[USG6000V1-policy-security-rule-allow_telnet]actionpermit#動(dòng)作為允許
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]user-interfacevty04#配置VTY用戶接口
[USG6000V1-ui-vty0-4]authentication-modeaaa#講VTY接口的驗(yàn)證方式設(shè)為aaa
Warning:Theleveloftheuser-interface(s)willbethedefaultlevelofAAAuse
rs,pleasecheckwhetheritiscorrect.
[USG6000V1-ui-vty0-4]protocolinboundtelnet#允許Telnet用戶連接到虛擬終端
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa#進(jìn)入aaa配置視圖
[USG6000V1-aaa]manager-userzhangsan#配置本地用戶zhangsan
[USG6000V1-aaa-manager-user-zhangsan]passwordcipherpwd@123123#配置登錄密碼，cipher為明文密碼，不建議使用，密文可參考web管理
Info:Youareadvisedtoconfigonman-machinemode.
[USG6000V1-aaa-manager-user-zhangsan]
[USG6000V1-aaa-manager-user-zhangsan]service-typetelnet#配置服務(wù)類型
[USG6000V1-aaa-manager-user-zhangsan]level3#配置用戶權(quán)限級(jí)別
[USG6000V1-aaa-manager-user-zhangsan]quit
[USG6000V1-aaa]quit

經(jīng)過(guò)上面的配置，即可使用Xshell等超級(jí)終端軟件連接該防火墻了。使用Telnet命令即可連接，如下：

.

[E:~]$telnet192.168.1.1

Connectingto192.168.1.1:23...
Connectionestablished.
Thepasswordneedstobechanged.Changenow?[Y/N]:y#第一次登陸需要修改密碼
Pleaseenteroldpassword:#填寫舊密碼
Pleaseenternewpassword:#填寫新密碼
Pleaseconfirmnewpassword:#確認(rèn)新密碼
Info:ReceiveamessagefromAAAofcuttinguser.

Username:zhangsan
Password:#輸入新密碼
*************************************************************************
*Copyright(C)2014-2015HuaweiTechnologiesCo.,Ltd.*
*Allrightsreserved.*
*Withouttheowner'spriorwrittenconsent,*
*nodecompilingorreverse-engineeringshallbeallowed.*
*************************************************************************


Info:ThemaxnumberofVTYusersis10,andthenumber
ofcurrentVTYusersonlineis1.
Thecurrentlogintimeis2019-10-251132+00:00.
sys
Entersystemview,returnuserviewwithCtrl+Z.
[USG6000V1]

2、配置web方式登錄設(shè)備：

sys#進(jìn)入配置視圖
Entersystemview,returnuserviewwithCtrl+Z.
[USG6000V1]intg1/0/0#進(jìn)入防火墻接口
[USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP（管理IP）
[USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口
[USG6000V1-GigabitEthernet1/0/0]service-managehttppermit#允許http管理
[USG6000V1-GigabitEthernet1/0/0]service-managehttpspermit#允許https管理
[USG6000V1]firewallzonetrust#進(jìn)入到trust區(qū)域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區(qū)域
[USG6000V1]security-policy#配置規(guī)則
[USG6000V1-policy-security]rulenameallow_web#配置規(guī)則，allow_web是規(guī)則名稱
[USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件
[USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區(qū)域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標(biāo)區(qū)域是防火墻本機(jī)
[USG6000V1-policy-security-rule-allow_telnet]actionpermit#動(dòng)作為允許
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-managersecurityenable#開啟https功能
[USG6000V1]aaa#配置aaa
[USG6000V1-aaa]manager-userweb#配置web為本地用戶
[USG6000V1-aaa-manager-user-web]password#密文密碼

EnterPassword:#輸入密碼

ConfirmPassword:#確認(rèn)密碼
[USG6000V1-aaa-manager-user-web]service-typeweb#指定用戶類型
[USG6000V1-aaa-manager-user-web]level3#制定權(quán)限級(jí)別
[USG6000V1-aaa-manager-user-web]quit
[USG6000V1-aaa]quit
[USG6000V1]

經(jīng)過(guò)以上配置，現(xiàn)在即可使用web訪問(wèn)測(cè)試，防火墻默認(rèn)情況下開啟的https端口為8443，使用客戶端訪問(wèn)測(cè)試，經(jīng)過(guò)上面的配置，應(yīng)使用 https://192.168.1.1:8443 進(jìn)行訪問(wèn)（建議使用谷歌瀏覽器，可能是eNSP模擬器的原因，若網(wǎng)頁(yè)加載不出來(lái)，多刷新幾次就好）：




至此就配置完成了
3、配置SSH方式登錄：

sys#進(jìn)入配置視圖
Entersystemview,returnuserviewwithCtrl+Z.
[USG6000V1]intg1/0/0#進(jìn)入防火墻接口
[USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.124#配置防火墻接口IP（管理IP）
[USG6000V1-GigabitEthernet1/0/0]undoshutdown#打開接口
[USG6000V1-GigabitEthernet1/0/0]service-manageenable
[USG6000V1-GigabitEthernet1/0/0]service-managesshpermit#允許SSH登錄
[USG6000V1]firewallzonetrust#進(jìn)入到trust區(qū)域
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0#將接口1/0/0加入到該區(qū)域
[USG6000V1]security-policy#配置規(guī)則
[USG6000V1-policy-security]rulenameallow_ssh#配置規(guī)則，allow_ssh是規(guī)則名稱
[USG6000V1-policy-security-rule-allow_telnet]#以下三條配置條件
[USG6000V1-policy-security-rule-allow_telnet]source-zonetrust#源區(qū)域是trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zonelocal#目標(biāo)區(qū)域是防火墻本機(jī)
[USG6000V1-policy-security-rule-allow_telnet]actionpermit#動(dòng)作為允許
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsalocal-key-paircreate#創(chuàng)建ssh所需要的密鑰對(duì)
Thekeynamewillbe:USG6000V1_Host
Therangeofpublickeysizeis(512~2048).
NOTES:Ifthekeymodulusisgreaterthan512,
itwilltakeafewminutes.
Inputthebitsinthemodulus[default=2048]:#輸入默認(rèn)的秘鑰長(zhǎng)度，直接回車采用默認(rèn)2048
Generatingkeys...
.+++++
........................++
....++++
...........++
[USG6000V1]user-interfacevty04
[USG6000V1-ui-vty0-4]authentication-modeaaa
[USG6000V1-ui-vty0-4]protocolinboundssh
[USG6000V1-ui-vty0-4]quit
[USG6000V1]
[USG6000V1]sshusertest#指定test為SSH用戶
[USG6000V1]sshusertestauthentication-typepassword#配置認(rèn)證方式
[USG6000V1]sshusertestservice-typestelnet#配置服務(wù)類型
[USG6000V1]aaa#進(jìn)入aaa
[USG6000V1-aaa]manager-usertest#指定用戶
[USG6000V1-aaa-manager-user-test]password#配置密碼

EnterPassword:

ConfirmPassword：
[USG6000V1-aaa-manager-user-test]
[USG6000V1-aaa-manager-user-test]service-typessh#類型為ssh
[USG6000V1-aaa-manager-user-test]level3#權(quán)限級(jí)別
[USG6000V1-aaa-manager-user-test]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnetserverenable#開啟ssh

至此配置完畢，開始使用Xshell連接即可。





.
每種方式各有各的好處，各有各的方便，就看各位怎么取決了！??！