一、防火墙登录方式全景图

华为防火墙支持多种管理访问方式，根据安全等级和场景需求可分为：

graph LR
A[管理方式] --> B[本地登录]
A --> C[远程登录]
B --> B1(Console)
B --> B2(Web)
C --> C1(SSH)
C --> C2(Telnet)
C --> C3(HTTPS)
C --> C4(SNMP)

二、本地登录实战配置

1. Console口登录（紧急恢复必备）

物理连接：
使用RS-232串口线连接PC COM口与防火墙Console口

配置参数：
·波特率：9600
·数据位：8
·停止位：1
·校验位：None
·流控：None

登录验证：

# 首次登录默认无密码
<Huawei> system-view
[Huawei] sysname FW-01

2. Web界面登录（图形化管理）

前置条件：

配置管理接口IP地址

# 配置管理接口
interface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0service-manage enable  # 开启管理权限service-manage http permit  # 允许HTTP访问

默认登录信息：
地址：https://192.168.0.1
用户名：admin
密码：Admin@123

三、远程登录安全配置

1. SSH登录（推荐方式）

Step1: 生成RSA密钥

[FW-01] rsa local-key-pair create
The key name will be: FW-01_Host
Input the bits of the key: 2048

Step2: 启用SSH服务

[FW-01] ssh user admin
[FW-01] ssh user admin authentication-type password
[FW-01] ssh user admin service-type stelnet
[FW-01] stelnet server enable

Step3: 客户端连接

# 使用PuTTY或SecureCRT连接
ssh admin@192.168.0.1 -p 22

2. Telnet登录（不推荐，仅演示）

# 开启Telnet服务
[FW-01] telnet server enable# 配置访问权限
[FW-01] user-interface vty 0 4
[FW-01-ui-vty0-4] protocol inbound telnet
[FW-01-ui-vty0-4] authentication-mode aaa# 配置AAA认证
[FW-01] aaa
[FW-01-aaa] local-user telnet_admin password irreversible-cipher Huawei@123
[FW-01-aaa] local-user telnet_admin service-type telnet

四、安全加固关键配置

1. 访问控制列表（ACL）限制

# 仅允许特定IP管理防火墙
[FW-01] acl 2000
[FW-01-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[FW-01-acl-basic-2000] rule deny source any# 应用ACL到管理接口
[FW-01] service-manage acl 2000

2. 登录超时设置

[FW-01] user-interface console 0
[FW-01-ui-console0] idle-timeout 10  # 10分钟无操作自动断开

五、常见故障排查

1. Web页面无法访问

# 检查HTTP服务状态
display http server# 验证接口状态
display interface GigabitEthernet0/0/0# 查看ACL限制
display service-manage acl

2. SSH连接失败

# 查看SSH服务状态
display ssh server status# 检查密钥对配置
display rsa local-key-pair public# 验证用户权限
display ssh user admin

掌握防火墙登录管理是HCIA-Security的基础技能，建议在eNSP模拟器中反复练习各登录方式的配置，并重点关注SSH密钥交换过程和AAA认证机制。欢迎在评论区分享你的配置经验！

搜索“博睿谷”查看详细的讲解视频