Download presentation
Presentation is loading. Please wait.
1
第二章 防火墙基础技术
2
目标 学完本课程后,您将能够: 了解防火墙的定义和分类 理解防火墙的主要功能和技术 掌握防火墙设备管理的方法 掌握防火墙的基本配置
3
目录 防火墙概述 防火墙功能特性 防火墙设备管理 防火墙基本配置
4
防火墙设备管理概述 设备登录管理 设备文件管理 Console登录 Web登录 telnet登录 SSH登录 配置文件管理
系统文件管理(软件升级) License管理 设备登录管理 Console:通过RS-232配置线连接到设备上,使用Console方式登录到设备上,进行配 置。 Telnet: 通过PC终端连接到网络上,使用Telnet方式登录到设备上,进行配置。 Web : 在客户端通过Web浏览器访问设备,进行控制和管理。 SSH: 提供安全的信息保障和强大认证功能,保护设备系统不受IP欺骗、明文密码截 取等攻击。 设备文件管理 配置文件是设备启动时要加载的配置项。用户可以对配置文件进行保存、更改和清除 、选择设备启动时加载的配置文件等操作。系统文件包括USG设备的软件版本,特征库文 件等。一般软件升级需要管理系统文件。 系统软件升级。上传系统软件到设备可通过TFTP方式和FTP方式上传系统软件到设备上 。 升级系统软件 配置设备下次启动时使用的软件系统。 License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式, License可以动态控制产品的某些特性是否可用。
5
设备登录管理 设备登录管理组网- Console 设备登录管理组网- Web / SSH / Telnet 直接相连(通过局域网)
远程连接(通过广域网) 通过Console口登录: 使用PC终端通过连接设备的Console口来登录设备,进行第一次上电和配置。当用户 无法进行远程访问设备时,可通过Console进行本地登录;当设备系统无法启动时,可通 过console口进行诊断或进入BootRom进行系统升级。 通过Telnet登录: 通过PC终端连接到网络上,使用Telnet方式登录到设备上,进行本地或远程的配置, 目标设备根据配置的登录参数对用户进行验证。Telnet登录方式方便对设备进行远程管理 和维护。 通过SSH登录: 提供安全的信息保障和强大认证功能,保护设备系统不受IP欺骗、明文密码截取等攻击 。SSH登录能更大限度的保证数据信息交换的安全。 通过Web登录: 在客户端通过Web浏览器访问设备,进行控制和管理。适用于配置终端PC通过Web方 式登录。 注意:PC和USG以太网口的IP地址必须在同一网段或PC和USG之间有可达路由。
6
通过Console口登录设备 如果使用PC进行配置,需要在PC上运行终端仿真程序(如Windows3.1的Terminal, Windows98/Windows2000/Windows XP的超级终端),建立新的连接。如图所示,键入 新连接的名称,单击“确定”。 在串口的属性对话框中设置波特率为9600,数据位为8,奇偶校验为无,停止位为1, 流量控制为无,单击“确定”,返回超级终端窗口。 打开设备电源开关。设备上电后,检查设备前面板上的指示灯显示是否正常。 华为技术有限公司 版权所有 未经许可不得扩散
7
通过Web方式登录设备 设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。
将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。 将PC的以太网口与设备的缺省管理接口直接相连,或者通过交换机中转相连。 在PC的浏览器中访问 缺省情况下,设备开启HTTP;建议开启HTTPS,提高安全性。用户可以通过用户名/ 只有GigabitEthernet 0/0/0接口加入Trust域并提供缺省IP地址( /24),并 开放Trust域到Local域的缺省包过滤,方便初始登录设备。 缺省情况下开放Local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问 。 其他接口都没有加安全区域,并且其他域间的缺省包过滤关闭。要想设备转发流量必 须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。 华为技术有限公司 版权所有 未经许可不得扩散
8
Web登录配置管理 配置USG的IP地址。(略) 配置USG接口Web设备管理。 启动Web管理功能。 配置Web用户。
[USG-GigabitEthernet0/0/1] service-manage enable [USG-GigabitEthernet0/0/1] service-manage http permit 启动Web管理功能。 [USG] web-manager security enable port 2000 配置Web用户。 [USG] aaa [USG-aaa] local-user webuser password cipher [USG-aaa] local-user webuser service-type web [USG-aaa] local-user webuser level 3 开启HTTP 执行命令system-view,进入系统视图。 执行命令web-manager enable [ port port-number ],开启HTTP。 此时在Web浏览器中应该通过 开启HTTPS(默认证书) 执行命令web-manager security enable port port-number,开启HTTPS。 此时在Web浏览器中应该通过 local-user level命令用来配置本地用户的优先级。 Level 3:管理级 华为技术有限公司 版权所有 未经许可不得扩散
9
Web登录配置管理 配置Web管理员,并启动Web管理功能,根据客户需求启动HTTP或者HTTPS管理,以及设置端口号。
新建管理员和管理员级别。 Note:不需要设置Web,FTP,Telnet等类别。默认支持所有用户类别。 启动Web管理功能,根据客户需求启动HTTP或者HTTPS管理,以及设置端口号。 开启HTTP/HTTPS服务后(设备作为Web服务器),配置终端通过HTTP/HTTPS协 议(Web方式)登录设备,实现远程配置和管理。相比HTTP,HTTPS具有更高的安全性 。在一个需要更高安全保证的网络环境下,建议使用HTTPS服务。 选择“系统 > 管理员 > 设置”。 选中“HTTP服务”或“HTTPS服务”对应的“启用”。 可以同时开启HTTP服务 和HTTPS服务。 在“HTTP服务端口”或“HTTPS服务端口”中输入端口号。 单击“应用”。
10
通过Telnet方式登录设备 设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。
课程名称 通过Telnet方式登录设备 设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。 将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。 通过Putty telnet ,进入登录页面。 GigabitEthernet 0/0/0接口加入Trust域并提供缺省IP地址( /24),并开放 Trust域到Local域的缺省包过滤,方便初始登录设备。 华为技术有限公司 版权所有 未经许可不得扩散
11
Telnet登录配置管理 配置USG接口telnet设备管理。 配置vty interface。 配置Telnet用户信息。
课程名称 Telnet登录配置管理 配置USG接口telnet设备管理。 [USG-GigabitEthernet0/0/1] service-manage enable [USG-GigabitEthernet0/0/1] service-manage telnet permit 配置vty interface。 [USG] user-interface vty 0 4 [USG-ui-vty0-4] authentication-mode aaa [USG-ui-vty0-4] protocol inbound telnet 配置Telnet用户信息。 [USG] aaa [USG-aaa] local-user user1 password cipher [USG-aaa] local-user user1 service-type telnet [USG-aaa] local-user user1 level 3 USG提供两种验证方式来检查远端Telnet用户的合法性,分别是密码验证和AAA验证。 使用密码方式远程Telnet 验证方式为密码验证时,远端用户登录到USG只需要输入密码。 执行命令user-interface [ interface-type ] first-number [ last-number ],进入VTY 用户界面视图。 执行authentication-mode password,配置验证方式为密码验证。 执行set authentication password cipher password,设置Password验证的密码 使用AAA方式远程Telnet 执行命令authentication-mode aaa,配置验证方式为AAA验证。 执行命令protocol inbound { all | telnet },配置用户界面支持Telnet协议。 执行命令aaa,进入AAA视图。 执行命令local-user user-name password cipher password,创建本地用户。 执行命令local-user user-name service-type telnet,配置本地用户的服务类型为 telnet。 执行命令local-user user-name level level,配置本地用户的级别。
12
Telnet登录配置管理 配置Telnet管理员 新建管理员和管理员级别。
Note:不需要设置Web,FTP,Telnet等类别。默认支持所有用户类别。
13
通过SSH方式登录设备 (1) 配置USG的接口IP地址。 (略) 配置USG接口telnet设备管理。 配置RSA本地密钥对。
课程名称 通过SSH方式登录设备 (1) 配置USG的接口IP地址。 (略) 配置USG接口telnet设备管理。 [USG-GigabitEthernet0/0/1] service-manage enable [USG-GigabitEthernet0/0/1] service-manage telnet permit 配置RSA本地密钥对。 <USG> system-view [USG] rsa local-key-pair create It will take a few minutes. Input the bits in the modulus[default = 512]:512 Generating keys 配置VTY用户界面。 [USG] user-interface vty 0 4 [USG-ui-vty0-4] authentication-mode aaa [USG-ui-vty0-4] protocol inbound ssh SSH可以为用户登录设备系统提供安全的信息保障和强大的认证功能。配置USG接口 SSH设备管理,管理员根据实际的需要打开。 在USG上生成本地密钥对。 成功完成SSH登录的首要操作是:配置并产生本地RSA密钥对。请您在进行其它SSH 配置之前,一定记得完成rsa local-key-pair create配置,生成本地密钥对。此命令只需 执行一遍,设备重启后不必再次执行。
14
通过SSH方式登录设备 (2) 以上配置完成后,运行支持SSH的客户端软件,建立SSH连接。
课程名称 通过SSH方式登录设备 (2) 新建用户名为Client001的SSH用户,且认证方式为password。 [USG] ssh user client001 [USG] ssh user client001 authentication-type password [USG] aaa [USG-aaa] local-user client001 password cipher [USG-aaa] local-user client001 service-type ssh 配置SSH用户Client001的服务方式为STelnet,并启用STelnet服务。 [USG] ssh user client001 service-type stelnet [USG] stelnet server enable 以上配置完成后,运行支持SSH的客户端软件,建立SSH连接。 在USG上创建SSH用户。 设备作为SSH服务器时,可配置对SSH用户的验证方式为Password、RSA方式。 上图以Password为例。 启用USG的服务方式为STelnet/SFTP服务。 执行命令ssh user user-name service-type { sftp | stelnet | all },为SSH用户配置 服务方式。 在使用SSH1.5版本配置SSH终端服务时,不需进行该配置;在使用SSH2.0版本 配置SSH终端服务时,必须配置该命令。 启用USG的STelnet/SFTP服务。 配置SSH服务器功能。 执行命令stelnet server enable,启用Stelnet服务。 华为技术有限公司 版权所有 未经许可不得扩散
15
配置文件管理 配置文件类型 配置文件操作 saved-configuration current-configuration 保存配置文件
擦除配置文件(恢复出厂配置) 配置下次启动时的系统软件和配置文件 重启设备 saved-configuration: USG设备下次上电启动时所用的配置文件,存储在USG的Flash或者CF卡,重启 不会丢失。 current-configuration: USG设备当前生效的配置,命令行和Web操作都是修改current-configuration。 存储在USG的内存中,重启丢失。 保存配置 作用:为了使当前配置能够作为防火墙下次上电时的起始配置。 方法1 (命令行):在用户视图下,执行命令save。 方法2 (Web):选择“主页”右上方的“保持”按钮。如下图所示。 重启防火墙 作用:防火墙将重新启动,并将重启动作记录至日志中。 方法1 命令行:在用户视图下,执行命令reboot命令。 方法2 Web:选择“系统 >维护>系统重启”如图所示。
16
版本升级(命令行) 使用TFTP下载文件 使用FTP下载文件 注:以上两种下载文件的方式二选一即可 配置系统下次启动时使用的系统软件
执行命令tftp tftp-server-address or hostname get source-filename [ destination-filename ] 使用FTP下载文件 执行命令ftp ip-address [ port-number ] [ vpn-instance vpn-instance-name ],与FTP服务器建立控制连接,并进入FTP客户端视图。 注:以上两种下载文件的方式二选一即可 配置系统下次启动时使用的系统软件 执行startup system-software sys-filename。 通过TFTP方式 USG作为TFTP客户端从TFTP服务器上获得系统软件。这种情况下,不要求 TFTP服务器和USG在同一个网段,只要保证二者之间路由可达即可。 通过FTP方式 这种情况下,不要求FTP服务器和USG在同一个网段,只要保证二者之间路由可达即可。 USG作为FTP客户端。 在FTP主机上运行FTP服务器程序,并把需要下载的系统软件放到相应的 FTP的工作目录下,在USG用户视图下,通过命令下载系统软件到USG的 相应目录下,具体操作请参见上传、下载文件。 USG作为FTP服务器。 在USG上启动FTP服务器,通过FTP客户端登录到USG后,把系统软件上 传到USG相应的目录下。
17
版本升级(Web) 一键式升级 说明:如果在升级过程中空然断电,那么系统将无法启动 一键升级系统软件
如果当前设备的存储空间不足,设备将自动删除当前运行的系统软件。 系统软件必须以“.bin”作为扩展名,不支持中文。 选择“系统 > 维护 > 系统更新”。 单击“一键式版本升级”,显示一键系统软件升级向导界面。 可选:依次单击“导出”,将设备上的告警信息、日志信息和配置信息导出到终 端。建议将配置信息保存到终端。 单击“浏览”,选择待上传的系统软件。 根据当前网络是否允许设备升级后立即重启,选中“设置为下次启动系统软件, 并重启系统”或“设置为下次启动系统软件,不重启系统”前的单选框。 重启设备后,才能使用升级后的系统软件。
18
License配置 License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式,License可以动态控制产品的某些特性是否可用。 激活License 执行命令system-view,进入系统视图。 执行命令license file license-file,激活指定的License文件。 可以通过命令display license,查看License的信息。 点击此处,上传将要激活的License文件 手动激活License License文件必须以“.dat”作为扩展名,不支持中文。 选择“系统 > 维护 > License管理”。 在“License激活方式”中选择“本地手动激活”。 单击“浏览”,选择待上传的License文件。 单击“激活”,激活当前License文件。
Similar presentations