第四章 防火墙设备管理
文章目录
- 一、设备初始化
- 1、拓扑图
- 2、终端初始化
- 3、图形化界面初始化
- 二、管理员角色与权限
- 1、实验需求
- 2、配置过程
- 3、验证登录
- 三、设备管理
- 1、命令行管理
- 1.1、Console管理实验
- 1.1.1、实验需求
- 1.1.2、配置过程
- 1.2、Telnet管理实验
- 1.2.1、实验需求
- 1.2.2、配置过程
- 1.2.3、Telnet登录
- 1.3、STelnet管理实验
- 1.3.1、实验需求
- 1.3.2、配置过程
- 1.3.3、STelnet登录
- 四、文件管理
- 1、常用的文件管理命令
- 2、图形化文件管理
- 2.1、文件管理实验
- 2.1.1、实验需求
- 2.1.2、配置过程
一、设备初始化
1、拓扑图
| 设备名称 | IP地址 | 子网掩码 |
|---|---|---|
| Windows 7 | 10.1.1.10 | 255.255.255 |
| USG6000V2 | 10.1.1.254 | 255.255.255 |
2、终端初始化
Press ENTER to get started.
# 提示用户按下回车键以启动设备终端界面(登录前提示信息)Login authentication
# 系统启用登录认证机制,表示需要用户名和密码才能登录Password:admin
# 用户输入默认或预设的登录密码为 "admin"
# ⚠️ 注意:这是明文显示密码,在实际操作中不会回显字符<USG6000V2>system-view
# 从用户视图(User View)进入系统视图(System View)Enter system view, return user view with Ctrl+Z.
# 提示信息:当前处于系统配置模式,按 Ctrl+Z 可返回用户视图[USG6000V2]interface GigabitEthernet 0/0/0
# 进入千兆以太网接口 GigabitEthernet 0/0/0 的配置视图
# 此接口通常用于连接内部可信网络(如企业局域网或服务器区)[USG6000V2-GigabitEthernet0/0/0]ip address 10.1.1.254 24
# 为该接口配置 IP 地址:10.1.1.254,子网掩码 /24(即 255.255.255.0)
# 表示此接口作为 10.1.1.0/24 网段的网关,可为该网段内的主机提供三层转发服务
# 例如:PC 设置 IP 为 10.1.1.1~10.1.1.253,网关设为 10.1.1.254 即可通过防火墙上联外网[USG6000V2-GigabitEthernet0/0/0]quit
# 退出当前接口配置模式,返回系统视图
# 后续可继续配置其他接口或功能模块
3、图形化界面初始化
二、管理员角色与权限
1、实验需求
1、自定义管理员角色,命名为“网络配置管理员”
2、只允许该管理员角色权限为配置和查看网络相关
3、“网络配置管理员”角色关联的用户为“network-admin”,密码为“Huawei@123”
4、用户“network-admin”允许使用HTTPS服务登录
2、配置过程
3、验证登录
三、设备管理
1、命令行管理
1.1、Console管理实验
1.1.1、实验需求
1、配置防火墙Console接口,使用密码登录,密码为“huawei@123”
2、设置Console连接超时时间为10分钟20秒
1.1.2、配置过程
<USG6000V2>system-view
# 从用户视图进入系统视图(System View),开始进行设备的全局配置
# 提示符由 "<" 变为 "[",表示已进入高级配置模式
# 在此模式下可配置接口、安全策略、路由、用户界面等Enter system view, return user view with Ctrl+Z.
# 系统提示:当前处于系统视图,按 Ctrl+Z 可退出并返回用户视图[USG6000V2]user-interface console 0
# 进入设备的 Console 控制台接口(编号 0)配置模式
# Console 0 是本地通过串口线直连防火墙进行管理的主要入口
# 所有本地初始化配置通常从此接口进入[USG6000V2-ui-console0]set authentication password cipher Huawei@123
# 设置 Console 0 接口的登录认证密码为 "Huawei@123"
# 使用 cipher 加密方式存储密码(不会以明文形式保存在配置中)
# 增强设备安全性,防止配置文件泄露导致密码暴露Info: The password of CON0 will be changed. Please verify the old password.
# 系统提示:即将修改 CON0 密码,需要验证旧密码Please enter old password: admin
# 用户输入原密码 "admin" 以完成身份验证
# 验证成功后允许设置新密码Info: Succeeded in changing the password.
# 系统反馈:密码修改成功,新的加密密码已生效[USG6000V2-ui-console0]idle-timeout 10 20
# 设置控制台用户的空闲超时时间
# 格式:idle-timeout 分钟 秒
# 此处表示:若用户在 10 分钟 20 秒内无任何操作,系统将自动断开该会话
# 目的是防止管理员忘记退出导致非法操作风险,提升安全管理[USG6000V2-ui-console0]quit
# 退出 user-interface 配置模式,返回系统视图
# 当前未保存配置,重启后可能丢失(需使用 save 命令持久化)[USG6000V2]quit
# 从系统视图退出,返回用户视图(提示符变回 "<")<USG6000V2>quit
# 执行 quit 命令尝试退出登录
# 但由于当前是通过 Console 登录,实际可能是断开会话或重新进入登录界面User interface con0 is available
# 提示信息:Console 0 接口当前可用
# 表示没有其他用户占用,可以继续登录Please Press ENTER.
# 提示用户按回车键继续,进入登录流程Login authentication
# 系统启用登录认证机制,准备验证用户名和/或密码Password:Huawei@123
# 用户输入刚刚设置的新密码 "Huawei@123" 完成认证
# 成功后将重新进入命令行界面<USG6000V2>display user-interface 0
# 查看用户接口 User Interface 0(即 Console 0)的详细状态信息2025-11-15 13:26:50.100 Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int
+ 0 CON 0 9600 - 15 15 P - # 输出说明:
# - Idx: 接口索引号(0)
# - Type: 接口类型(CON 0 表示 Console 0)
# - Tx/Rx: 波特率(发送/接收速率为 9600 bps),标准串口通信速率
# - Modem: 是否使用调制解调器连接("-" 表示无)
# - Privi: 最高权限等级(15 = 最高管理员权限,等同于 super 用户)
# - ActualPrivi: 实际使用的权限等级(当前为 15)
# - Auth: 认证方式(P = Password,表示启用了密码认证)
# - Int: 关联的物理接口("-" 表示不适用)# 前缀 "+" 表示该接口正在被使用或处于活跃状态
1.2、Telnet管理实验
1.2.1、实验需求
1、配置防火墙Telnet协议,使用本地帐号admin登录
2、配置连续2次登陆失败,账号锁定15分钟
1.2.2、配置过程
<USG6000V2>system-view
# 进入系统视图(System View),开始进行设备的全局配置
# 提示符由 "<" 变为 "[",表示可以执行高级配置命令
# Ctrl+Z 可退出此模式返回用户视图Enter system view, return user view with Ctrl+Z.
# 系统提示信息:当前已进入系统配置模式,按 Ctrl+Z 可返回上一级[USG6000V2]interface GigabitEthernet 0/0/0
# 进入千兆以太网接口 GigabitEthernet 0/0/0 的配置视图
# 此接口通常用于连接内网或管理网络,作为防火墙的一个物理端口[USG6000V2-GigabitEthernet0/0/0]service-manage enable
# 启用该接口的“服务管理”功能
# 允许通过此接口对防火墙进行远程管理(如 Telnet、SSH、Web、Ping 等)[USG6000V2-GigabitEthernet0/0/0]service-manage telnet permit
# 明确允许通过该接口使用 Telnet 协议访问防火墙自身
# 结合上一条命令,开启基于 G0/0/0 接口的 Telnet 管理权限
# ⚠️ 注意:Telnet 是明文传输协议,存在安全风险,建议仅在调试阶段启用[USG6000V2-GigabitEthernet0/0/0]quit
# 退出接口配置模式,返回系统视图[USG6000V2]telnet server enable
# 全局启用 Telnet 服务器功能
# 没有此命令,即使配置了 VTY 和认证也无法建立 Telnet 连接
# 默认情况下 Telnet 服务是关闭的,必须手动开启[USG6000V2-aaa]lock-authentication enable
# 启用登录失败锁定机制(防暴力破解)
# 当用户连续输入错误密码达到设定次数后,账户将被临时锁定[USG6000V2-aaa]lock-authentication failed-count 2
# 设置触发锁定所需的失败尝试次数为 2 次
# 即:如果用户名正确但密码输错 2 次,该账号将被自动锁定
# 安全性增强措施,防止暴力猜解密码[USG6000V2-aaa]lock-authentication timeout 10
# 设置账号锁定持续时间为 10 分钟
# 超过 10 分钟后自动解锁,无需管理员干预
# 时间单位为分钟,范围一般为 1~60[USG6000V2-aaa]quit
# 退出 AAA 视图,返回系统视图[USG6000V2]user-interface vty 0 4
# 进入虚拟终端(VTY)线路视图,编号从 0 到 4
# VTY 是用于远程登录的逻辑通道(如 Telnet 或 SSH)
# 支持最多 5 个并发远程用户同时登录(0~4)[USG6000V2-ui-vty0-4]authentication-mode aaa
# 设置 VTY 登录认证方式为 AAA 模式
# 表示登录时需通过 AAA 用户数据库验证用户名和密码
# 相比本地密码更灵活,支持多用户管理和权限分级[USG6000V2-ui-vty0-4]protocol inbound telnet
# 允许通过 Telnet 协议接入该 VTY 终端
# 默认可能只允许 SSH,此处明确开放 Telnet
# 若需更高安全性,应改为 `protocol inbound ssh` 并禁用 Telnet[USG6000V2-ui-vty0-4]quit
# 退出 VTY 配置模式,返回系统视图[USG6000V2]aaa
# 进入 AAA(Authentication, Authorization, Accounting)配置模式
# 用于集中管理用户账户、权限和服务类型[USG6000V2-aaa]manager-user admin
# 创建或修改一个名为 "admin" 的管理员用户
# 如果用户已存在,则进入其配置子视图进行修改[USG6000V2-aaa-manager-user-admin]password cipher Admin@123
# (注:虽然你在输入中未显示这行,但实际需要设置密码)
# 示例:设置加密密码为 Admin@123(cipher 表示加密存储)
# ⚠️ 实际配置中必须包含 password 命令,否则用户无法登录[USG6000V2-aaa-manager-user-admin]service-type web terminal telnet
# 指定该用户可使用的服务类型:
# - web:可通过 HTTPS 登录 Web 管理界面
# - terminal:可通过命令行终端(CLI)管理设备
# - telnet:允许通过 Telnet 协议远程登录
# 此处赋予 admin 用户全面的管理权限[USG6000V2-aaa-manager-user-admin]level 15
# (补充建议命令)设置用户权限等级为 15(最高级)
# 华为设备权限分为 0~15 级,15 为超级管理员
# 不设置则默认为 0,可能导致无法执行关键命令[USG6000V2-aaa-manager-user-admin]quit
# 退出 manager-user 配置,返回 AAA 主视图[USG6000V2-aaa]quit
# 退出 AAA 配置模式,返回系统视图
1.2.3、Telnet登录
1.3、STelnet管理实验
1.3.1、实验需求
1、配置防火墙SSH协议,使用本地帐号admin登录
2、使用SSH远程登陆防火墙
1.3.2、配置过程
[USG6000V2]interface GigabitEthernet 0/0/0
# 进入千兆以太网接口 GigabitEthernet 0/0/0 的配置视图
# 该接口通常用于连接内网或管理网络,作为设备的物理接入点[USG6000V2-GigabitEthernet0/0/0]service-manage enable
# 启用此接口的“服务管理”功能
# 表示允许通过该接口对防火墙自身进行远程管理操作(如 SSH、Telnet、Web、Ping 等)
# 不启用则即使配置了服务也无法从该接口访问设备[USG6000V2-GigabitEthernet0/0/0]service-manage ssh permit
# 明确允许通过该接口使用 SSH 协议访问防火墙
# 结合上一条命令,开启基于 G0/0/0 接口的 SSH 管理权限
# SSH 是加密协议,比 Telnet 更安全,推荐用于生产环境[USG6000V2-GigabitEthernet0/0/0]quit
# 退出接口配置模式,返回系统视图[USG6000V2]rsa local-key-pair create
# 创建本地 RSA 密钥对,用于支持 SSH 加密通信
# SSH 协议依赖非对称加密机制(RSA)来建立安全会话通道
# 没有密钥对,SSH 服务器无法启动The key name will be: USG6000V2_Host
# 系统自动生成密钥名称,默认为 设备名_HostThe range of public key size is (2048 ~ 2048).
# 当前设备支持的密钥长度范围为 2048 位(固定值)
# 华为 USG6000V 系列默认要求 2048 位以满足现代加密标准NOTES: If the key modulus is greater than 512, it will take a few minutes.
# 提示信息:密钥位数大于 512 时生成过程需要一定时间
# 实际耗时取决于设备性能和密钥长度Input the bits in the modulus[default = 2048]:2048
# 输入密钥模数长度,此处输入 2048(也可直接回车使用默认值)
# 2048 位是当前推荐的安全强度,兼顾安全性与性能Generating keys...
+++++
........................++
....++++
...........++
# 系统正在生成 RSA 密钥对的过程显示
# 符号表示随机数生成和质数运算进度,需等待几十秒至一分钟完成
# 完成后自动返回命令行提示符[USG6000V2]stelnet server enable
# 全局启用 STelnet(Secure Telnet)服务器,即 SSH 服务
# 注意:华为设备中 `stelnet` 就是 SSH 的实现方式
# 此命令等价于 "ssh server enable",启用后允许用户通过 SSH 客户端登录设备[USG6000V2]user-interface vty 0 4
# 进入虚拟终端线路 VTY 0 到 4 的配置视图
# VTY 是用于远程登录的逻辑通道,最多支持 5 个并发用户(0~4)[USG6000V2-ui-vty0-4]authentication-mode aaa
# 设置 VTY 登录认证方式为 AAA 模式
# 表示登录时需通过 AAA 用户数据库验证用户名和密码
# 支持集中管理多个管理员账户及其权限级别please check whether it is correct.
# (可能是你误粘贴的内容,或系统提示确认操作)
# 正常情况下不会出现这句话,应忽略或视为提醒检查命令正确性[USG6000V2-ui-vty0-4]protocol inbound ssh
# 配置允许通过 SSH 协议接入该 VTY 终端
# 替代不安全的 Telnet,仅开放加密的 SSH 远程访问
# 若未启用此命令,即使配置了密钥也无法登录[USG6000V2-ui-vty0-4]quit
# 退出 VTY 配置模式,返回系统视图[USG6000V2]aaa
# 进入 AAA(Authentication, Authorization, Accounting)配置模式
# 用于集中管理用户账户、权限和服务类型[USG6000V2-aaa]manager-user admin
# 创建或进入名为 "admin" 的管理员用户配置视图
# 如果该用户已存在,则修改其属性;否则创建新用户[USG6000V2-aaa-manager-user-admin]password cipher Admin@123
# (注:你在输入中未显示此行,但实际必须设置密码才能登录)
# 示例:设置加密存储的密码为 Admin@123
# 推荐使用强密码并以 cipher 方式保存,避免明文泄露[USG6000V2-aaa-manager-user-admin]service-type web terminal telnet ssh
# 指定该用户可使用的管理服务类型:
# - web:可通过 HTTPS 访问 Web 图形化管理界面
# - terminal:可通过命令行终端(CLI)进行管理
# - telnet:允许使用 Telnet 协议(尽管建议禁用)
# - ssh:允许使用 SSH 安全登录(关键!必须包含此项才能 SSH 登录)[USG6000V2-aaa-manager-user-admin]level 15
# (补充建议命令)设置用户权限等级为 15(最高级)
# 华为设备权限分为 0~15 级,15 为超级管理员(super),拥有全部操作权限
# 不设置则可能默认为低权限,导致无法执行某些命令[USG6000V2-aaa-manager-user-admin]quit
# 退出 manager-user 配置子视图,返回 AAA 主视图[USG6000V2-aaa]quit
# 退出 AAA 配置模式,返回系统视图
1.3.3、STelnet登录
四、文件管理
1、常用的文件管理命令
<USG6000V2>save
# 将当前运行的配置(running-configuration)保存到启动配置文件(startup-configuration)
# 作用是使本次所有手动配置在设备重启后仍然生效
# 若不执行此命令,重启后将恢复为上次保存的配置或默认配置
# 系统可能会提示是否确认保存,需输入 'y' 或回车确认<USG6000V2>reboot
# 重启防火墙设备
# 系统会提示是否保存当前配置(如尚未保存),建议先执行 save 再 reboot
# 重启过程中设备会中断所有网络服务,需谨慎操作(尤其在线上环境)
# 可用于应用某些必须重启才能生效的配置(如主机名、密钥、接口模式变更等)<USG6000V2>reset saved-configuration
# 清除已保存的启动配置文件(startup-configuration)
# 执行后,设备下次启动时将不再加载之前的配置,而是进入初始设置状态
# 系统会要求确认操作,防止误删
# 常用于设备重置、移交或故障排查前的准备工作
# 注意:该命令不影响当前运行配置,只影响下一次启动时的配置文件<USG6000V2>tftp 10.1.1.10 get Test.txt Test.txt
# 使用 TFTP 协议从 TFTP 服务器下载文件
# 各参数含义如下:
# - tftp: 启用 TFTP 客户端功能
# - 10.1.1.10: TFTP 服务器的 IP 地址(需可达且服务已开启)
# - get: 表示从服务器获取文件(下载)
# - 第一个 Test.txt: 服务器上的源文件名
# - 第二个 Test.txt: 下载到本地设备后保存的文件名(可不同)
# 此命令可用于备份配置文件、升级系统镜像或导入脚本
# ⚠️ TFTP 不加密,仅适用于内网调试;生产环境推荐使用更安全的 FTP/SFTP/SCP
2、图形化文件管理
2.1、文件管理实验
2.1.1、实验需求
1、通过防火墙图形化界面,下载配置文件道PC本地统一保存管理
2、上传配置文件道防火墙,命名为USG1,并指定为下次重启加载的配置文件
2.1.2、配置过程
