一、防火墙登录方式全景图
华为防火墙支持多种管理访问方式,根据安全等级和场景需求可分为:
graph LR
A[管理方式] --> B[本地登录]
A --> C[远程登录]
B --> B1(Console)
B --> B2(Web)
C --> C1(SSH)
C --> C2(Telnet)
C --> C3(HTTPS)
C --> C4(SNMP)
二、本地登录实战配置
1. Console口登录(紧急恢复必备)
物理连接:
使用RS-232串口线连接PC COM口与防火墙Console口
配置参数:
·波特率:9600
·数据位:8
·停止位:1
·校验位:None
·流控:None
登录验证:
# 首次登录默认无密码
<Huawei> system-view
[Huawei] sysname FW-01
2. Web界面登录(图形化管理)
前置条件:
配置管理接口IP地址
# 配置管理接口
interface GigabitEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
service-manage enable # 开启管理权限
service-manage http permit # 允许HTTP访问
默认登录信息:
地址:https://192.168.0.1
用户名:admin
密码:Admin@123
三、远程登录安全配置
1. SSH登录(推荐方式)
Step1: 生成RSA密钥
[FW-01] rsa local-key-pair create
The key name will be: FW-01_Host
Input the bits of the key: 2048
Step2: 启用SSH服务
[FW-01] ssh user admin
[FW-01] ssh user admin authentication-type password
[FW-01] ssh user admin service-type stelnet
[FW-01] stelnet server enable
Step3: 客户端连接
# 使用PuTTY或SecureCRT连接
ssh admin@192.168.0.1 -p 22
2. Telnet登录(不推荐,仅演示)
# 开启Telnet服务
[FW-01] telnet server enable
# 配置访问权限
[FW-01] user-interface vty 0 4
[FW-01-ui-vty0-4] protocol inbound telnet
[FW-01-ui-vty0-4] authentication-mode aaa
# 配置AAA认证
[FW-01] aaa
[FW-01-aaa] local-user telnet_admin password irreversible-cipher Huawei@123
[FW-01-aaa] local-user telnet_admin service-type telnet
四、安全加固关键配置
1. 访问控制列表(ACL)限制
# 仅允许特定IP管理防火墙
[FW-01] acl 2000
[FW-01-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[FW-01-acl-basic-2000] rule deny source any
# 应用ACL到管理接口
[FW-01] service-manage acl 2000
2. 登录超时设置
[FW-01] user-interface console 0
[FW-01-ui-console0] idle-timeout 10 # 10分钟无操作自动断开
五、常见故障排查
1. Web页面无法访问
# 检查HTTP服务状态
display http server
# 验证接口状态
display interface GigabitEthernet0/0/0
# 查看ACL限制
display service-manage acl
2. SSH连接失败
# 查看SSH服务状态
display ssh server status
# 检查密钥对配置
display rsa local-key-pair public
# 验证用户权限
display ssh user admin
掌握防火墙登录管理是HCIA-Security的基础技能,建议在eNSP模拟器中反复练习各登录方式的配置,并重点关注SSH密钥交换过程和AAA认证机制。欢迎在评论区分享你的配置经验!
搜索“博睿谷”查看详细的讲解视频