基本指令:
指令功能
備註service-manage ping permit
使能某個介面能夠ping
進入指定介面下敲命令
web-manager security enable
開啟web管理功能
啟用nat轉換(easy-ip):
[usg6000v1]nat-policynat,server,伺服器對映[usg6000v1-policy-nat]rule name trust_untrust
[usg6000v1-policy-nat-rule-trust_untrust]source-zone trust
[usg6000v1-policy-nat-rule-trust_untrust]egress-inte***ce g1/0/2
[usg6000v1-policy-nat-rule-trust_untrust]action nat easy-ip
再放行trust到untrust訪問許可權,配置訪問外網的預設路由
此時就可以正常訪問外網服務了,當然讀者需要ping的話還需要放行icmp協議
nat server nat_statit 0 zone untrust protocol tcp global 202.1.1.1 www inside 172.16.1.2 wwwtelnet遠端管理防火牆:僅密碼登入方式:當然首先要放行untrust到dmz的流量;
指定介面開啟telnet服務:
[usg6000v1]int g0/0/0
[usg6000v1-gigabitethernet0/0/0]service-manage telnet permit
[usg6000v1-gigabitethernet0/0/0]q
[usg6000v1]user-inte***ce vty 0 4
[usg6000v1-ui-vty0-4]protocol inbound all
[usg6000v1-ui-vty0-4]authentication-mode password
[usg6000v1-ui-vty0-4]set authentication password cipher asdf-1234
當然也可以選擇3a認證模式
[usg6000v1]telnet server enable //啟用telnet 服務功能使用者名稱密碼登入方式:[usg6000v1]int g0/0/0 //指定telnet介面
[usg6000v1-gigabitethernet0/0/0]service-manage telnet permit //使能介面telnet
[usg6000v1-gigabitethernet0/0/0]q
[usg6000v1]user-inte***ce vty 0 4 //設定執行接入的虛擬介面使用者數
[usg6000v1-ui-vty0-4]protocol inbound all //允許所有協議,包括telnet
[usg6000v1-ui-vty0-4]authentication-mode password //認證選擇僅密碼認證
[usg6000v1-ui-vty0-4]set authentication password cipher abc-1234 //設定密碼
[usg6000v1]telnet server enable或者讀者可以不用admin使用者,自建乙個使用者就可以:[usg6000v1]aaa
[usg6000v1-aaa]manager-user admin
[usg6000v1-aaa-manager-user-admin]service-type telnet web terminal //admin 使用者本身就要支援web和terminal,所以保留,admin使用者的預設密碼是admin@123
[usg6000v1-aaa-manager-user-admin]q
[usg6000v1-aaa]q
[usg6000v1]user-inte***ce vty 0 4
[usg6000v1-ui-vty0-4]authentication-mode aaa //認證模式為3a
[usg6000v1-ui-vty0-4]protocol inbound all
[usg6000v1-ui-vty0-4]q
[usg6000v1]int g0/0/0
[usg6000v1-gigabitethernet0/0/0]service-manage telnet permit
建立遠端使用者登入方式使用ssh登入方式:[usg6000v1]user-inte***ce vty 0 4
[usg6000v1-ui-vty0-4]authentication-mode aaa
[usg6000v1-ui-vty0-4]protocol inbound telnet
建立遠端使用者
[usg6000v1]aaa
[usg6000v1-aaa]manager-user zhangsan
[usg6000v1-aaa-manager-user-huawei]password cipher zhangsan@123
[usg6000v1-aaa-manager-user-huawei]service-type telnet
[usg6000v1-aaa-manager-user-huawei]level 15
[usg6000v1]rsa local-key-pair createthe key name will be: usg6000v1_host
the range of public key size is (512 ~ 2048).
notes: if the key modulus is greater than 512,
it will take a few minutes.
input the bits in the modulus[default = 2048]:
generating keys…
…+++++
…++…++++
…++[usg6000v1]int g0/0/0
[usg6000v1-gigabitethernet0/0/0]service-manage ssh permit
[usg6000v1-gigabitethernet0/0/0]q
[usg6000v1]user-inte***ce vty 0 4
[usg6000v1-ui-vty0-4]authentication-mode aaa
[usg6000v1-ui-vty0-4]protocol inbound ssh
[usg6000v1-ui-vty0-4]q
[usg6000v1]aaa
[usg6000v1-aaa]manager-user zhangsan
[usg6000v1-aaa-manager-user-zhangsan]password cipher zhangsan@123
[usg6000v1-aaa-manager-user-zhangsan]service-type ssh
[usg6000v1-aaa-manager-user-zhangsan]level 15
[usg6000v1-aaa-manager-user-zhangsan]dis this
manager-user zhangsan
password cipher @%@%}q%[email protected]%ygzq1qpy::8:(0&npj~7r7(.@%@%
service-type ssh
level 15
return
[usg6000v1-aaa-manager-user-zhangsan]q
[usg6000v1-aaa]q
[usg6000v1]stelnet server enable
[usg6000v1]ssh user zhangsan
[usg6000v1]ssh user zhangsan authentication-type password
[usg6000v1]ssh user zhangsan service-type stelnet
==注意:ssh客戶端第一次登入的時候要執行:
ssh client first-time enable //這條命令
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...
網路安全筆記之防火牆
lesson5 防火牆 u 防火牆可在鏈路層 網路層 應用層上實現隔離。可以基於物理的,基於邏輯的 防火牆可以用於內部網路不通的安全域之間 防火牆是被動防禦裝置。預先設定策略。u 防火牆的功能 網路安全的屏障 過濾不安全的服務 內部提供的不安全符合和內部訪問外部的不安全服務 隔斷特定的網路攻擊 聯動...
防火牆安全策略之敲門暗號
增強計算機安全性的最後一種方案是最激進的 關閉所有開啟的埠,這會讓任何攻擊都無法攻破您的計算機。只向能夠提供 秘密敲門暗號 的使用者開放所需的埠,讓使用者能夠輸入密碼並訪問計算機。敲門守護程序 knockd 它監視敲門序列,當發現有效的序列時執行相應的操作,iptables開放指定的埠給使用者。配置...