防火墙设备登录-摩杜云开发者社区

设备登录方法认证方式：

Password:任何用户都可以登录，只需要输入密码正确即可。在当前接口视图进行认证、授权。

AAA：需要输入用户名和密码。在AAA试图下进行认证和授权。

登录协议	Passowrd认证	AAA认证	登录接口	使用场景
Serial	√	√	Console	设备本地登录
Telnet	√	√	VTY/Meth	Cli远程不加密登录
SSH	×	√	Vty/Meth	Cli远程加密登录
Http	×	√	Meth	Web 远程不加密登录
Https	×	√	Meth	web远程加密登录

Password控制设备登录

#Console password认证登录

User-interface console 0

Idle-timeout 120 //计费，控制用户的登录时长

Authentication-mode password //声明登录认证方式

User privilege level 15 //授权控制用户操作权限

Set authentication password cipher Huawei@123 //认证，鉴别用户身份

#Telnet password认证登录

User-interface vty0

Idle-timeout 120 //计费，控制用户的登录时长

Protocol inbound telnet //放行23/tcp端口

Authentication-mode password //声明登录认证方式

User privilege level15 //授权控制用户操作权限

Set authentication password cipher Huawei@123 //认证，鉴别用户身份

AAA控制设备登录

操作对象：用户，对用户认证方式进行认证，授权，计费

认证：主要认证用户对登录协议是否有使用权限，以及用户是否合法对用户认证方式有：本地认证、服务器认证。

Authentication-scheme defaultzj

Authentication-mode local radius ad ladp hwtacacs

#如果服务器上不存在认证用户或用户密码错误，则不再进行本地认证，如果服务器连接不上，则改由本地进行认证。

Authentication-scheme admin _radius_local

授权：控制的是用户的操作权限，避免非法操作，通过level和管理员角色来细化操作权限

如果认证模式为radius认证，只能radius授权

在HWTACACS协议中，认证与授权是分离的，如果认证模式为HWTACACS，还可以配置授权。

如果采用本地认证模式或不认证，也可以配置授权。

配置按命令行授权后，该级别用户执行命令时，每条命令都需要经过HWTACACS服务器授权。

Authorization-scheme default

Authorization-mode hwtacacs if-authenticated（如果用户通过验证，则用户授权通过）local radius ldap ad

Level 0 审计权限，可以登录用户视图，可以查看有设备运行情况和日志信息（例如查看CPU、内存、存储卡、日志等信息）

Level 1 监控权限，可以在用户视图查看设备的所有配置信息和状态信息。

Level 2 配置管理员可以配置文件进行更改（console、vty、AAA、meth视图除外）。

Level 3-15 系统管理员对整个设备的所有视图拥有读和写的权限。

管理员角色控制用户操作权限

#该管理角色仅对路由有操作权限

Role route

network read-write route

计费：企业或运营为了保证正常的运营收入，需要对上网的用户进行计费。

Accounting-scheme default

none，radius/ad/ladp/hatics.

AAA管理员

管理员角色指定的权限更加的精确，和level取最小权限。

#Display manager-user //查看管理员状态信息

Manager-user Jack

password cipher Huawei@123

service-type web terminal SSH

level 15

Bind manage-user admin role route

AAA认证登录

#console AAA认证登录

serial 串口波特率：9600

User-interface con 0

Authentication-mode AAA // 在AAA视图下进行认证和授权

Idle-timeout 120

#web AAA认证登录

#请求超时：底层不通，协议端口没有打开，登录接口对链接请求进行了拦截，G0/0/0

Display web-manager configuration //查看协议状态及运行端口

Display web-manager users //查看web在线用户

HTTP（明文）：80/TCP

HTTPS（SSL加密）：443/TCP，防火墙需通过8443/TCP进行登录

#web登录配置防火墙默认

Web-manager enable 打开80/tcp

Web-manager security enable port 8443/TCP

Web-manager security version tlsv1.1 tlsv1.2 SSL协议加密版本

#在防火墙meth接口部署安全策略放行登录端口，如果修改了默认端口，需在安全策略视图下放行。

Interface gigabitEthernet0/0/0

IP address 192.168.1.1 255.255.255.0

Service-manage HTTPS permit

#路由交换设备 display HTTP server 查看协议状态

HTTP server enable

HTTP secure-server enable

SSH AAA 认证登录

#请求超时：底层路由不痛，协议端口，没有打开，登录接口对链接请求进行拦截（vty接口，G0/0/0)

#display SSH server status （查询打开的协议端口号，允许登录的客户IP）

#打开协议端口

Stelnet server enable

#在vty接口声明AAA认证，放行SSH协议端口

User-interface vty 0 4

Authentication-mode AAA

Protocol inbound SSH

#放行SSH协议端口

Interface gigabitEthernet0/0/0

IP address 192.168.1.1 255.255.255.0

Service-manage SSH permit

#display rsa local pair （查询是否存在主机钥匙对）

#主机密钥用来做数据加密，公钥加密，私钥解密，在进行设备登录时，如果没有主机密钥对，则设备端会主动断开TCP链接。

#刚出厂的大部分新设备一般只允许采用管理口进行登录，如果要使用业务口进行登录，需要禁用管理口隔离（mgmt isolate disable）。

#创建主机密钥对

Rsa local-key-pair create

SSH密钥认证登录

#display SSH user-informatio //查询SSH用户登录信息。

#display RSA peer-public-key //查询上传至设备的用户公钥

#AAA认证要求用户登录时，输入用户名和密钥进行登录，但密码易泄露，且复杂度不高时，容易被人破解，存在安全隐患。

Rsa peer-public-key public

public-key-code begin

XXXX

public-key-code end

peer-public-key end

#创建SSH用户，认证类型改为RSA，将上传的公钥绑给该用户，用户的操作授权在vty接口赋予。

SSH user Jone authentication-type rsa

SSH user Jone service-type stelnet

SSH user Jone assign rsa-key public