防火墻設備登錄配置,讓你輕松掌握網絡安全!
嘿,親愛的科技冒險家們!今天,我們將一同揭開數字世界的神秘面紗,探索那個保衛我們網絡安全的無名英雄——防火墻!
首先,你得知道,防火墻就像是我們數字領域的一位堅實的守護者,負責保護我們的數據免受不速之客的侵害。而為了與這位守護者交流,我們需要打開它的大門,也就是登錄配置。現在,就跟我一起來探險吧!
第一步:搭建實驗拓撲
本案例中使用華為模擬器ENSP,如下圖,把實驗拓撲搭建完成。
實驗拓撲
第二步:實驗講解
本專欄一共規劃為8個小點,每一個小點分別是一個知識點,具體如下:
- 配置防火墻設備SSH 與WEB登錄 ,登錄賬號為USER/Huawei@123
- 防火墻安全區域與安全策略
- 驗證防火墻ASPF
- 常見服務器DHCP與PPPoE部署
- 部署防火墻常見NAT技術
- 防火墻本地Portal部署
- 防火墻內容安全
- 防護期攻擊防范
今天是完成第1個知識點:配置防火墻設備SSH 與WEB登錄 ,登錄賬號為USER/Huawei@123
第三步:開始實驗
本章主要用到設備是Local、AR1 與 FW2,所以,我們只需要把這三臺設備啟動即可。啟動完并把對應的接口的IP地址進行配置,并把對接的接口加入相應的安全域
防火墻與路由器其中最大區別在于于安全域的概念,那什么是安全域?
防火墻安全域是指在網絡中,由防火墻保護的特定區域或網絡段,其中的設備和通信受到防火墻的管理和監控。防火墻通常用于劃定不同的安全域,以控制數據流量和確保網絡安全。在防火墻安全域內,管理員可以定義訪問規則、監控流量、執行安全策略,以保護網絡免受未經授權的訪問或惡意活動的影響。
華為防火墻默認情況下已經規劃了四個區域
- Unturst
- Turst
- DMZ
- Local
(1) 配置防火墻G0/0/0接口的IP地址和AR1路由的GE0/0/0接口IP地址
# 防火墻上配置G0/0/0口
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.43.10 255.255.255.0
alias GE0/METH
service-manage https permit
service-manage ssh permit
service-manage ping permit華為防火墻默認情況下G0/0/0是規劃成管理接口的
完成上述配置之后,就可以在物理機上通過https://192.168.43.10:8443訪問到防火墻的管理頁面,如圖下圖:
防火墻登錄界面
(2) 為防火墻新建用戶,并賦予管理員的權限:
manager-user USER
password cipher Huawei@123
service-type web ssh
bind manager-user USER role system-admin創建一個名為USER的用戶,設置密碼為Huawei@123,并綁定為管理員角色
(3) 通過USER用戶,進行管理防火墻。如下圖:
登錄后的防火墻
(4) 激活SSH
通過執行stelnet server enable命令激活ssh服務。
[FW1]stelnet server enable
Info: Succeeded in starting the Stelnet server(5) 設置SSH登錄類型,采用密碼登錄。
[FW1]ssh user USER authentication-type password
Info: Succeeded in adding a new SSH user.
[FW1]ssh user USER service-type stelnet默認情況下,系統已經激活了:
[FW1-ui-vty0-4]display this
2024-01-12 01:41:09.300
#
user-interface con 0
authentication-mode aaa
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
user-interface vty 16 20完成上述配置后,即可從本機通過ssh登錄到防火墻上,如下圖:
注意:模擬器有個bug,如果你是從模擬器的路由器登錄防火墻,需要修改ssh的算法為aes128_cbc
[FW1]ssh server compatible-ssh1x
[FW1]ssh server cipher ?
3des_cbc 3DES encryption algorithm in CBC mode
aes128_cbc AES128 encryption algorithm in CBC mode
aes128_ctr AES128 encryption algorithm in CTR mode
aes256_cbc AES256 encryption algorithm in CBC mode
aes256_ctr AES256 encryption algorithm in CTR mode, and this algorithm is
recommended
des_cbc DES encryption algorithm in CBC mode
[FW1]ssh server cipher
