在使用防火墙之前,需要对防火墙进行一些必要的初始化配置。出厂配置的防火墙需要根据实际使用场景和组网来配置管理IP、登陆方式、用户名/密码等。下面以我配置的华为USG防火墙为例,说明一下拿到出厂的防火墙之后应该怎么配置。
1. 设备配置连接
一般首次登陆,我们使用的是Console口登陆。只需要使用串口网线连接防火墙和PC,使用串口连接工具即可。从串口登陆到防火墙之后,可以配置用户,密码,登陆方式等。这些配置在后面有记录。
直接使用一根网线连接PC和设备的管理口。管理口是在设备面板上一个写着MGMT的一个网口,一般默认配置了IP,如192.168.0.1/24。我们在对端PC上配置同网段的IP,如192.168.0.10/24,我们就可以通过PC上的telnet客户端登陆到防火墙设备上。
登陆到设备之后,默认是在防火墙的用户视图下。可以使用system-view进入系统视图,interface GigabitEthernet 0/0/0进入接口视图,diagnose进入诊断视图,security-policy进入安全策略视图,firewall zone trust进入trust安全区域视图,aaa进入aaa视图等。
2. Telnet配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用户:
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服务:
telnet server enable
3. FTP配置
在aaa里配置:
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服务:
ftp server enable
4. SFTP配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用户:
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服务:
sftp server enable
配置Password认证方式 :
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c:
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3:
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用户:
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服务:
web-manager enable
配置完Web之后,其他配置就可以登陆到Web页面进行可视化配置了。