序言:
最近因为要安全检查,所有网络设备和安全设备都只能通过堡垒机登陆,这样所有操作可以被记录下来,方便后期查询。网络设备可以通过ACL限制,防火墙因为厂家不一样,限制管理口登陆配置有些区别,这里汇总一下,期望以后大家有这样的需求可以快速处理。
1、产品型号:NGFW4000-UF(TG-41437)
2、查看管理口所在接口区域
方法:资源管理-区域-找到管理口接口信息,如eth2接口。
3、配置允许访问管理口地址
方法:资源管理-主机-添加允许列表,或者添加个地址组。
4、配置WEBUI
方法:系统管理-配置-开放服务-除了默认显示的监控服务、ssh服务器、telnet服务、ntp服务还可以添加例如ping、wehui服务,这个wehui服务就是我们需要的。
添加--服务名称【WEBUI】--控制区域【内网*】--控制地址【可信主机】
备注:
控制区域:查看管理口地址所在的区域地址
可信主机:是自己添加的地址列表或者地址组。
二、山石防火墙
1、产品型号:SG-6000-P932
2、可信主机添加允许访问管理口IP
方法:设备管理-可信主机-新建-类型-IP地址-登陆类型【ssh和https】
三、深信服SANGFOR防火墙
1、产品型号:AF 8.0.7R2
2、配置管理口接口允许访问WEBUI,配置允许管理该设备IP
方法:导航菜单-网络-接口和区域-区域选项-查看管理选项含有WebUI。
选择管理口地址所在的接口如eth5-编辑eth5接口-配置允许管理此设备的IP-选择允许访问的IP地址列表-完成配置。
四、网神防火墙
1、产品型号:SecGate3600
2、配置管理主机IPv4可信主机
方法:系统-管理主机-IPv4-IPv4可信主机勾选-添加可信主机地址。
总结:
各个品牌厂家的防火墙管理口限制登陆IP大同小异,只要会配置一种,其余就差不多了,觉得有用的伙伴请点赞。
H3C FW1000防火墙充当出口网关。GE1/0/0&GE1/0/1接口上联光猫,GE1/0/7-GE1/0/10下接四台接入交换机,接口类型:access,默认VLAN100,内网电脑的网关地址是“192.168.100.1”,网关在FW1000上。
为了加强网络防护,内网电脑访问外网的所有流量必须经过NSG2000,但不能改变原有网络的结构。因此,网神SecGate3600防火墙采用透明模式进行部署,串接在FW1000与四台接入交换机之间,防火墙的接口工作在二层。为了增强链路的稳定并增加带宽,上联光猫口需要配置链路聚合。
SecGate3600上的GE2-GE5接口下连原来的四台接入交换机,GE7&GE8接口与FW1000的GE1/0/7&GE1/0/8接口互联,参考下图:
一、配置SecGate3600
1、导入许可证,操作步骤过于简单,略过。
2、SecGate3600上的GE2-5接口绑定为同一个桥接口BR1,用于对接原有的四台接入交换机;GE7&GE8接口配置端口聚合,加入CH1聚合接口,Channel模式:手工方式。再把CH1聚合组也绑定至BR1桥接口。
3、将桥接口BR1的接口IP地址改为VLAN100网段内的空闲IP地址,如“192.168.100.253”,开启ping、https和SSH,方便VLAN100的电脑进行远程管理SecGate3600。
4、选择“系统配置 > 管理主机”,单击 “添加”,添加可信主机。设置IP地址范围,依实际VLAN设置,可设置为一个或一段IP地址,这里设置成网管电脑IP地址“192.168.100.99”,服务选择默认的“设备管理”。
二、配置FW1000
1、新建端口聚合接口1,将GE1/0/7-GE1/0/8加入聚合接口BAGG1,接口类型改为access,PVID:VLAN100,聚合模式:静态。
内网电脑可以正常访问外网,内网192.168.100.99打开浏览器,输入“https://192.168.100.253”,可以远程登录SecGate3600的Web后台,对设备进行监控和管理。
#网络安全# #网络工程师# #防火墙# #调试#
作者简介:90年代末入行的通信&网络工程师,拥有25年从业经验。感谢阅读,欢迎关注!
相关问答
网神防火墙的默认登录地址是http://192.168.1.1,用户可以通过浏览器输入该地址进行登录。在登录界面中,用户需要输入正确的用户名和密码才能成功登录。如果用...
1.网神secgate3600防火墙系统可以进行回收。2.因为网神secgate3600防火墙系统可能存在故障、过时或者需要升级等情况,需要进行回收处理。回收的目的是为了保...
奇安信的网神是奇一个防火墙产品品牌,而奇安信的天眼是新一代威胁感知系统(SkyEye,以下简称天眼系统)以攻防渗透和数据分析为...奇安信网神和天眼不是一回事...
