下载掌阅APP,畅读海量书库
立即打开
党的二十大报告指出,“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”,“必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定”,“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”。这些重要论断深刻阐明了新时代国家安全体系的目标任务等重大问题,提出了推进国家安全体系和能力现代化的工作举措,赋予了信息通信业在维护国家安全中的重要使命。
【 知识目标 】
(1)了解UTM的登录方式;
(2)了解UTM登录管理功能的配置方法。
【 技能目标 】
(1)能够通过Console口登录UTM;
(2)能够利用Web方式登录UTM;
(3)能够对UTM进行用户管理。
【 素质目标 】
(1)增强国家安全意识;
(2)培养网络安全意识;
(3)培养科技强国的责任感和使命感。
安全法(上)
安全法(下)
小王是网络安全管理员,他经常登录防火墙设备进行各种配置。通过Console口只能本地登录(图1.1),而采用Web方式可以进行远程登录(图1.2),两者各有优缺点。因此,这两种方式成为小王最常使用的防火墙登录方式。
图1.1
图1.2
使用Console口进行本地登录是登录设备最基本的方式,也是配置通过其他方式登录设备的基础。因此,使用Console口进行本地登录是使用UTM或防火墙的必备技能。
本任务通过H3C SecPath F1060防火墙实现。
H3C防火墙支持以下登录方式:
·通过Console口进行本地登录;
·通过以太网口利用Telnet/ SSH进行远程登录;
·通过AUX口进行本地登录;
·通过浏览器进行Web访问;
·通过NMS登录。
防火墙插卡除支持上述登录方式,还支持从主网络设备(例如交换机/路由器)登录。
本地用户是在本地设备上设置的一组用户属性的集合,该集合以用户名为用户的唯一标识。为使某个请求网络服务的用户可以通过本地认证,需要在设备的本地用户数据库中添加相应的表项。本地用户的属性包括用户名、密码、访问等级、可以使用的服务类型,以及用户所属的虚拟设备。
CLI(Command Line Interface,命令行接口)是用户与设备之间的文本类指令交互界面。通过CLI登录设备包括通过Console口、Telnet、SSH登录三种方式。当使用Console口、Telnet或SSH登录设备时,都需要用CLI与设备进行交互。因此,用户需对这些登录方式进行相应的配置,以增加设备的安全性及可管理性。用户输入文本类命令,通过输入回车键提交设备执行相应命令,从而对设备进行配置和管理,并可以通过查看输出信息确认配置结果。设备支持多种方式进入命令行接口界面,比如,通过Console口、Telnet或SSH登录设备后进入命令行接口界面等,各方式的详细描述请参见“基础配置指导”中的“登录设备”。
通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性。Console口支持的认证方式有none、password和scheme三种。
认证方式为none,表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证,任何人都可以通过Console口登录到设备上,这种情况可能带来安全隐患。
认证方式为password,表示下次使用Console口本地登录设备时,需要进行密码认证。只有密码认证成功,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。
认证方式为scheme,表示下次使用Console口登录设备时,需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。配置认证方式为scheme后,请妥善保存用户名及密码。
缺省情况下,设备通过Console口进行本地登录,用户登录到设备上后,可以对各种登录方式进行配置。步骤如下。
(1)给PC机断电。因为PC机串口不支持热插拔,所以不要在PC机带电的情况下,将串口插入或者拔出PC机。
(2)使用产品随机附带的配置口电缆连接如图1.1所示的PC机和设备。先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的Console口中。
(1)给PC机上电。
(2)在PC机上运行终端仿真程序(如Windows XP / Windows 2000的超级终端等),如图1.3所示。选择与设备相连的串口,如图1.4所示,设置终端通信参数:传输速率为9 600 bit/ s、8位数据位、1位停止位、无校验和无流控(图1.5),如准备采用第三方的终端控制软件,使用方法参照软件的使用指导或联机帮助。
图1.3
图1.4
设备上电,终端显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>)。
图1.5
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为none(不需要用户名和密码),登录用户级别为3。登录后可键入命令,配置设备或查看设备运行状态。认证方式为none的登录过程如表1.1所示。
表1.1 认证方式为none的登录过程
改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效。用户退出命令行接口后重新登录,该设置才会生效。
本任务是对防火墙设备的初始化登录过程,这是进行防火墙配置的前提。在采用其他登录方式前,往往需要采用Console口登录完成接口服务等基础配置,因此,Console口登录是使用防火墙的必备技能。
目前,防火墙各种软件功能主要推荐通过Web方式进行配置。使用Web方式不局限于时间、地点,方便快捷,是目前最常用的登录防火墙设备的方式。
设备提供一个内置的Web服务器,用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。
Web网管支持的操作系统包括Windows XP、Windows 2000及后续版本以及Linux和MAC OS。
Web网管支持的浏览器建议为Chrome 40及以上版本、Firefox 19及以上版本、Internet Explore 10及以上版本。设备的软件版本变化后,在通过Web网管登录时,建议先清除浏览器的缓存数据,否则Web网管的内容可能无法正确显示。
由于Windows操作系统自带的防火墙会对TCP连接数进行限制,因此,使用Web网管时会出现无法打开Web网管页面的情况。为了避免这种情况,建议关闭Windows自带的防火墙。
用户首次登录Web网管时需使用缺省账号进行登录,防火墙出厂时已经设置默认的Web网管登录信息,并且HTTP(Hypertext Transfer Protocol,超文本传输协议)功能已处于开启状态,可以直接使用该默认信息登录防火墙的Web界面。若HTTP功能被关闭,则先通过CLI方式开启HTTP功能。
默认的Web网管登录信息包括:
·用户名:“admin”。
·密码:“admin”。
·管理口的IP地址:“192.168.0.1 /24”。
防火墙各款型对此特性的支持情况有所不同。
用户级别由低到高分为4级:Visitor、Monitor、Configure和Management。高级别用户具有低级别用户的所有操作权限。
·Visitor:处于该级别的用户可以进行Ping和Trace Route操作,但不能从设备读取任何数据,也不能对设备进行任何设置。
·Monitor:只能从设备读取数据,而不能对设备进行任何设置。
·Configure:可以从设备读取数据,并对设备进行配置,但是不能对设备进行软件升级、添加/删除/修改用户、备份/恢复配置文件等操作。
·Management:可以对设备进行任何操作。
1)连接设备和PC
用交叉以太网线将PC和设备的管理口相连。图1.6为设备端管理口的连线,连接的是设备的GE 0 /0口。(不同产品的连线参照相应的产品说明)
图1.6
2)为PC配置IP地址,保证能与设备互通
PC的IP地址设置成与设备的默认管理口IP地址同网段(除192.168.0.1),如192.168.0.2。
3)启动浏览器,输入登录信息
在PC上启动浏览器,在地址栏中输入IP地址“192.168.0.1”后回车,即可进入设备的Web网管登录界面,如图1.7所示。
图1.7
输入缺省用户名“admin”、密码“admin”和验证码,选择Web网管的语言种类(目前支持中文和英文两种),单击“登录”按钮即可登录。
注意:
·在Web网管登录界面单击显示的验证码图片,可以刷新得到新的验证码。
·同时通过Web网管登录设备的最大用户数为5。
创建管理员账号,步骤如下:
·在导航栏中选择“系统→管理员→管理员”。
·单击“新建”按钮,进入如图1.8所示的页面。
图1.8
·设置管理员账号的用户名和密码。访问级别设置为“超级管理员”,服务类型至少勾选“HTTP”,加密方式请用户自选。
·单击“确定”按钮,完成账号创建工作。
·单击Web网管界面右上角的“保存”按钮,如图1.9所示,完成保存操作。
·单击Web网管界面右上角的“退出”按钮,退出Web网管。
登录进入Web网管界面,即可进行配置。
Web网管界面共分为标识和面板区、导航栏、执行区三部分,如图1.10所示。
标识和面板区:该区域用来显示公司Logo、设备名称、功能面板、当前登录用户信息,并提供更改登录用户密码、保存当前配置、退出登录功能。
导航栏:以导航树的形式组织设备的Web网管功能菜单。用户在导航栏中可以方便地选择功能菜单,选择结果显示在配置区中。
执行区:进行配置操作、信息查看、操作结果显示的区域。
图1.9
图1.10
本任务是通过Web网管登录方式登录防火墙设备,是进行功能配置的前提。
【 思考拓展 】
(1)除了Console登录和Web方式登录防火墙,你还可以通过哪些方式登录?
(2)利用Telnet/ SSH进行远程登录防火墙时,通常需要使用什么工具软件?
(3)如何使用HCL模拟器用CLI方式登录设备?
【 证赛精华 】
本项目涉及H3CNE-Security认证考试(GB0-510)和全国职业院校技能大赛(信息安全管理与评估)的相关要求:
(1)认证考试点:防火墙基础技术——防火墙应具备的基本功能。
在登录防火墙之前,应该掌握防火墙应具备的基本功能,包括路由交换功能、NAT,了解为什么需要攻击防范、各种攻击的原理和表现方式、在设备上如何配置防攻击、双机热备的原理和工作方式、日志审计等。
(2)竞赛知识点与技能点:
·网络平台搭建——网络规划;
·理论技能与职业素养——网络与信息安全理论知识和职业素养。
防火墙作为重要网络安全设备之一,使用之前,必须掌握信息安全与网络基础知识,如VLSM、CIDR等网络规划必备知识。
续表
