快生活 - 生活常识大全

网络安全入门之防火墙基本管理配置系统升级

  一、拓扑
  拓扑组网说明:
  1、防火墙采用USG6000V,电脑网卡桥接电脑,电脑通过防火墙的G0/0/0接口实现管理
  2、防火墙的三个区域Untrust和Trunst及DMZ,关于zone基本概念在ICT圈内网络安全入门已经阐
  述感兴趣同学可以进入圈内了解。
  Tips: 网络安全部分学习建议有数通网络的基础,针对零基础的没有任何网络基础的同学建议加入网络狂热圈子进行数通网络部分学习交流,学习过数通网络后再加入ICT圈子进行其他ICT方向的学习交流。
  二、 防火墙基本登录管理
  1、防火墙基本配置
  防火墙登录后默认防火墙的G0/0/0接口IP为192.168.0.1
  配置开通防火墙的WEB管理功能,然后通过真机PC网页登录
  [USG6000V1-/0/0]service-manage enable //默认已开启管理功能
  [USG6000V1-/0/0]service-manage https permit //开启HTTPS WEB登录管理
  HTTS默认使用8443端口,因此通过https://192.168.0.1:8443/进行登录,同时端口可以进行修改
  [USG6000V1] web-manager security enable port XXX
  2、创建新的防火墙管理用户
  Username:admin
  Password:Admin@123
  登录后提示我们修改密码,可以修改为自己使用的密码即可。
  A、然后我们命令行下创建下新用户的权限和密码
  [USG6000V1]aaa
  [USG6000V1-aaa]manager-user test //创建用户名及密码
  [USG6000V1-aaa-manager-user-test]password cipher Test@123
  [USG6000V1-aaa-manager-user-test]service-type web //允许web登录
  [USG6000V1-aaa-manager-user-test]level 3//级别为3
  此时我们可以通过新创建的test登录防火墙
  B、我们可以通过WEB创建新的用户名
  登录WEB后点击系统,然后点击管理员:
  可以创建新的登录用户
  3、使用登录FW
  需要开启服务,默认情况下没有开启
  1、全局和接口下面开启功能
  [USG6000V1] server enable
  [USG6000V1-/0/0]service-manage permit
  user-interface vty 0 4
  authentication-mode aaa //防火墙默认已经配置为AAA模式登录
  protocol inbound //允许
  然后在AAA模式下允许功能
  [USG6000V1-aaa] manager-user admin
  [USG6000V1-aaa-manager-user-admin]service-type
  2、此时我们通过PC可以登录防火墙
  通过WEB配置界面如下:
  同时在设置里面配置开启
  最后接口中也要开启:
  C、通过SSH登录FW
  相对不安全,通过SSH进行登录
  1、[USG6000V1] server enable //全局开启
  2、[USG6000V1]int g 0/0/0
  [USG6000V1-/0/0]service-manage ssh permit //接口下面开启ssh
  3、[USG6000V1]rsa local-key-pair create //配置RSA本地密钥对
  4、VTY中允许SSH登录
  [USG6000V1-ui-vty0-4]protocol inbound ssh
  [USG6000V1-aaa] manager-user admin
  [USG6000V1-aaa-manager-user-admin]service-type ssh //配置SSH登录
  5、防火墙保存
  save 保存配置文件
  reset saved-configuration //清空配置
  查看下次启动配置文件及镜像
  更改下次启动配置文件及镜像
  startup saved-configuration xxx
  startup system-software xxx.bin
  三、防火墙的系统升级
  1、PC配置FTP服务器
  软件网上有很多免费的FTP软件到时可以百度进行下载,这边使用的3CD软件。
  FTP设置的下载路径中我们已经提前从华为把最新的防火墙版本下载电脑的这个路径中。
  2、防火墙通过FTP进行下载防火墙镜像版本
  防火墙安全策略默认有个deny,因此需要先允许放行数据,然后进行FTP下载防火墙镜像。
  我们已经更改为允许,默认为拒绝:
  3、此时我们可以防火墙进行FTP下载
  ftp 192.168.0.100 输入FTP用户名密码即可
  [ftp]get ? //通过Get进行下载即可。
  STRING Remote file name
  4、license升级
  通过系统License中进行浏览加载后进行激活即可。
  欢迎【零基础】学网络的小伙伴们加入网工训练营,资料每天限量10份先来先得。单独私信小编领取哦!【私信小编备注:资料】
网站目录投稿:柔兆