拓扑图
在这里插入图片描述

USG6000相关知识：

g/0/0/0：防火墙的网管口，不跑业务数据，仅做网管。
华为防火墙默认账号：admin
默认密码：Admin@123 改：admin@123
修改密码：不更改，不能登录

防火墙的连接：

1、web管理
2、telnet 管理防火墙，现网中不推荐使用
3、ssh管理
4、console口连接，第一此配置时使用。

一、web管理

1、配置防火墙的IP地址，启动接口管理模式，配置为web管理。

[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 169.254.124.187 24  #默认配置ip 192.168.0.1 24
[Fw-GigabitEthernet0/0/0]undo  shutdown	
[Fw-GigabitEthernet0/0/0]service-manage enable 		#开启管理接口[Fw-GigabitEthernet0/0/0]service-manage ping permit   #仅允许其他设备ping通防火墙接口，防火墙不可以ping通其他设备。
[Fw-GigabitEthernet0/0/0]service-manage http permit		#开启接口的http管理
[Fw-GigabitEthernet0/0/0]service-manage https permit	#开启接口的https管理

只需要开启https就可以使用web界面，就可以访问。

[Fw-GigabitEthernet0/0/0] web-manager security enable port 8443  #默认已经配置
开启web管理界面并设置端口，security为设置https

2、将特定的接口加入到信任区域。

[Fw]firewall zone trust 
[Fw-zone-trust]add interface GigabitEthernet 0/0/0		#将接口加入到防火墙的信任区域，但防火墙的0/0/0默认时加入到里面的，若是其他接口需要这个命令

3、配置安全策略。

[Fw]security-policy
[Fw-policy-security]rule name allow_web							#为安全策略取个名字
[Fw-policy-security-rule-allow_web]source-zone trust			#指定条件，源区域
[Fw-policy-security-rule-allow_web]destination-zone local		#同上，目标区域
[Fw-policy-security-rule-allow_web]action permit				#指定动作

4、配置web身份验证。（这里可以不配新用户，可以使用admin用户直接登录）

[Fw]aaa													#进入aaa授权
[Fw-aaa]manager-user web								#配置登录防火墙的账户
1）[Fw-aaa-manager-user-web]password cipher huawei@123	#配置账户密码，最好用第二种方式
2）[Fw-aaa-manager-user-web]password 
[Fw-aaa-manager-user-web]service-type web 				#指定用户类型
[Fw-aaa-manager-user-web]level 15						#授予用户权限

5、启动web

[Fw]web-manager security enable	    #开启https功能

用客户机验证：
打开浏览器输入：
https://169.254.124.186:8443/（这里一定要写上相对应的端口）
在这里插入图片描述

二、telnet访问华为防火墙。

1、配置防火墙的IP地址，启动接口管理模式，配置为telnet管理。

[Fw]interface GigabitEthernet 0/0/0
[Fw-GigabitEthernet0/0/0]ip address 169.254.124.187 24
[Fw-GigabitEthernet0/0/0]undo  shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable 
[Fw-GigabitEthernet0/0/0]service-manage telnet permit

2、配置安全策略。

[Fw]security-policy
[Fw-policy-security]rule name allow_telnet
[Fw-policy-security-rule-allow_telnet]destination-zone local 
[Fw-policy-security-rule-allow_telnet]source-zone trust
[Fw-policy-security-rule-allow_telnet]action permit

3、将特定的接口加入到信任区域。

[Fw]firewall zone trust 
[Fw-zone-trust]add interface GigabitEthernet 0/0/0

4、配置telnet身份验证。

[Fw]user-interface vty 0 4
[Fw-ui-vty0-4]authentication-mode aaa
[Fw-ui-vty0-4]protocol inbound telnet 			#允许telnet入站

5、配置aaa认证。

[Fw]aaa	
[Fw-aaa]manager-user telnet						#配置登录防火墙的账户
[Fw-aaa-manager-user-telnet]password 			#配置账户密码
[Fw-aaa-manager-user-telnet]service-type telnet	#指定用户为telnet用户
[Fw-aaa-manager-user-telnet]level 15			#授予用户权限

6、开启telnet功能。

[Fw]telnet server enable

用客户机验证：
在这里插入图片描述

三、配置ssh访问华为防火墙

1、配置防火墙的IP地址，启动接口管理模式，配置为ssh管理。

[Fw]interface GigabitEthernet 0/0/0						
[Fw-GigabitEthernet0/0/0]ip address 169.254.124.187 24
[Fw-GigabitEthernet0/0/0]undo  shutdown
[Fw-GigabitEthernet0/0/0]service-manage enable 
[Fw-GigabitEthernet0/0/0]service-manage ssh permit

2、配置安全策略。

[Fw]security-policy
[Fw-policy-security]rule name allow_ssh
[Fw-policy-security-rule-allow_ssh]destination-zone local 
[Fw-policy-security-rule-allow_ssh]source-zone trust
[Fw-policy-security-rule-allow_ssh]action permit

3、将特定的接口加入到信任区域。

[Fw]firewall zone trust 
[Fw-zone-trust]add interface GigabitEthernet 0/0/0

4、配置ssh身份验证和密钥。

[Fw]user-interface vty  0 4						#配置访问连接个数
[Fw-ui-vty0-4]authentication-mode aaa			#配置使用aaa认证
[Fw-ui-vty0-4]protocol inbound ssh 				#允许ssh入站
[Fw]ssh user ssh								#配置登陆防火墙的用户
[Fw]ssh user ssh authentication-type password	#用户使用密码登录
[Fw]ssh user ssh service-type stelnet			#配置服务类型
[Fw]rsa local-key-pair create 					#创建ssh所需的密钥对

5、配置aaa认证。

[Fw]aaa										#进入aaa
[Fw-aaa]manager-user ssh					
[Fw-aaa-manager-user-ssh]password 			#配置登录密码
[Fw-aaa-manager-user-ssh]service-type ssh 	#用户类型
[Fw-aaa-manager-user-ssh]level 15			#授予用户权限