hcnp-security cisn第一章防火墙高级设备管理

修订记录课程编码适用产品产品版本课程版本ISSUEHC120310001USGV3R1V2.0开发/优化者时间审核人开发类型（新开发/优化）王锐2013.9余雷新开发本页不打印HC120310001

防火墙高级设备管理目标学完本课程后，您将能够:熟悉防火墙基础管理方式掌握使用AAA方式管理防火墙掌握处理密码故障目录基础管理方式AAA方式设备管理密码故障恢复设备登录管理设备登录管理组网-Console设备登录管理组网-Web/SSH/Telnet直接相连（通过局域网）远程连接（通过广域网）通过Console口登录设备USG配置口登录的缺省用户名为admin，缺省用户密码为Admin@123。其中，用户名不区分大小写，密码要区分大小写。通过Telnet方式登录设备设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。通过Puttytelnet，进入登录页面。缺省用户名为admin，密码为Admin@123通过SSH方式登录设备设备可以通过GigabitEthernet0/0/0接口来实现SSH登录。使用Telnet或Console口登陆方式登陆设备，启用Stelnet服务。通过PuttySSH，进入登录页面。缺省用户名为admin，密码为Admin@123通过Web方式登录设备设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。将PC的以太网口与设备的缺省管理接口直接相连，或者通过交换机中转相连。在PC的浏览器中访问，进入Web界面的登录页面。缺省用户名为admin，密码为Admin@123带内管理默认情况下在USG中低端系列产品中，GigabitEthernet0/0/0可作为带内管理接口。带内管理网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送。GE0/0/0接口缺省IP地址为/24，默认开启Web管理功能。带外管理USG5500系列产品主面板上有一个固定的带外管理接口，用于设备的管理。（图中9号口）带外管理网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。文件系统文件系统由储存设备和保存在储存设备的文件组成，可实现管理存储设备、管理保存在存储设备中的文件两类功能。USG系列防火墙对文件的操作主要有以下几类：管理存储设备管理目录/文件管理项目命令管理项目命令管理项目命令修复文件系统异常的存储设备fixdisk创建目录mkdir显示文件的内容more重新命名目录rename拷贝文件copy格式化存储设备format查看当前的工作目录pwd移动文件move管理目录/文件改变当前目录cd重新命名文件rename管理项目命令显示目录或文件信息dir压缩文件zip恢复删除文件undelete删除目录rmdir删除文件delete执行批处理文件execute彻底删除回收站中的文件reset文件系统–Web操作在web界面下对系统文件的操作更为简便，可直接进行保存、删除、复制等操作。例如：备份及恢复配置文件备份与恢复配置文件可以有以下四种方式：通过Web备份和恢复配置设备作为FTP服务器备份和恢复配置使用FTP/TFTP服务器备份和恢复配置文件将配置文件备份在设备的存储器上备份与恢复配置文件举例-CLI设备做FTPServer。首先启用FTP功能并设置FTP密码及路径。然后使用get/put命令下载或上传文件。[USG]ftpserverenable

Info:StartFTPserver[USG]aaa[USG-aaa]local-userftpuserpasswordsimpleFtppass#

[USG-aaa]local-userftpuserservice-typeftp

[USG-aaa]local-userftpuserftp-directoryhda1:/备份与恢复配置文件举例-Web可通过从本地上传配置文件来恢复配置文件。可通过下载配置文件到本地对该文件进行备份。版本升级操作-CLI升级系统文件[USG]startupsystem-softwareV300R001C00SPC100.bin升级补丁文件[USG]patchloadpatch.pat

[USG]patchactivepatch.pat[USG]patchrunpatch.pat

版本升级操作-Web当设备无法访问安全服务中心时，可以进行本地升级。在线升级分为通过内网服务器升级或通过安全服务中心升级。目录基础管理方式AAA方式设备管理密码故障恢复Radius方式介绍Radius协议实现RADIUS使用UDP（UserDatagramProtocol）作为传输协议，具有良好的实时性；同时也支持重传机制和备用服务器机制，从而具有较好的可靠性。RADIUS的消息结构如图所示Radius认证和计费Radius服务器通过建立一个唯一的用户数据库，存储用户名、密码来对用户进行验证。Radius应用场景用户输入用户名/口令Access-RequestAccess-AcceptAccounting-Request(start)Accounting-ResponseAccounting-Request(stop)Accounting-Response通知访问结束用户访问资源Radius配置实例（CLI）配置RADIUS服务器主要包括新建RADIUS服务器模板，在模板视图下指定认证、授权、计费服务器的IP地址，以及调整RADIUS服务器的参数。在AAA配置中配置当前域的RADIUS服务器模板。所指向的RADIUS服务器模板必须已经配置完成并存在。[USG]aaa[USG-aaa]domaindomain1[USG-aaa-domain-domain1]radius-serverserverRadius配置实例（WEB）HWTACACS方式介绍HWTACACS是在TACACS基础上进行了功能增强的一种安全协议，主要用于接入用户的认证、授权和计费。按命令行授权对用户级别提升进行认证HWTACACS协议和RADIUS协议的比较HWTACACSRADIUS端口使用使用TCP协议，网络传输更可靠使用UDP协议。认证和授权端口号是1812和1813，或者1645和1646.加密情况除了标准的HWTACACS报文头，对报文主体全部进行加密只是对认证报文中的密码字段进行加密认证和授权认证与授权分离认证与授权一起处理应用适于进行安全控制适于进行计费配置命令授权支持对配置命令进行授权不支持对配置命令进行授权HWTACACS配置实例(CLI)配置HWTACACS服务器主要包括新建HWTACACS服务器模板，在模板视图下指定认证、授权、计费服务器的IP地址，以及调整HWTACACS服务器的参数。配置HWTACACS服务器也需要在AAA配置中配置当前域的HWTACACS服务器模板。[USG]aaa[USG-aaa]domaindomain1[USG-aaa-domain-domain1]hwtacacs-serverserver1HWTACACS配置实例(WEB)目录基础管理方式AAA方式设备管理密码故障恢复密码忘记处理思路开始结束密码忘记知道其中一种密码所有密码都忘记使用另外一种方式登陆并重置该方式密码恢复出厂设置/使用bootROM方式恢复Telnet登陆密码遗忘（1）AAA方式：使用用户名+密码方式登录。该配置完成后用户可以使用用户名“admin1”，密码“Admin@123”登录设备。[USG]user-interfacevty04

[USG-ui-vty0-4]authentication-modeaaa

[USG]aaa

[USG-aaa]local-useradmin1passwordcipherAdmin@123

[USG-aaa]local-useradmin1service-typetelnet

[USG-aaa]local-useradmin1level15

Telnet登陆密码遗忘（2）Password方式：只使用密码登录。该配置完成后用户可以输入密码“Admin@123”登录设备。[USG]user-interfacevty04

[USG-ui-vty0-4]authentication-modepassword

[USG-ui-vty0-4]setauthenticationpasswordcipherAdmin@123

[USG-ui-vty0-4]userprivilegelevel15Telnet登陆密码遗忘（3）None方式：不需要验证即可登录。该配置完成后，不需要用户名和密码就可以登录设备。[USG]user-interfacevty04

[USG-ui-vty0-4]authentication-modenone

[USG-ui-vty0-4]userprivilegelevel15Console密码忘记（1）在BootROM中配置跳过Console口密码登录后，重新进行设置：重启设备，出现“PressCtrl+BtoEnterBootMenu...”打印信息时，按下“Ctrl+B”并键入密码“O&m15213”后进入BootROM主菜单。在主菜单中或隐藏菜单（主菜单中按Ctrl+z进入）中选择“RecoverConsolePassword”对应序号。在主菜单中选择“Reboot”重新启动。进入系统后，配置Console口用户名及密码。保存修改，重启后可以使用新的用户名和密码登录。Console密码忘记（2）使用“Reset”键采用缺省配置启动后，修改Console口密码：按住设备的“Reset”键，打开电源开关。当面板指示灯以2Hz频率一起闪烁的时候，松开“Reset”键。完成启动后，设备会恢复为默认的出厂配置。配置设备为FTPServer。查看目前设备使用的启动配置文件。可以看到下次启动使用的配置文件为hda1:/vrpcfg.cfg从PC上下载设备上的配置文件。在PC上使用文本编辑工具修