安全运维之华为防火墙用户及安全管理

前文相继介绍了华为防火墙的安全域、策略配置、NAT映射等内容，但这一切的操作都需要用户来操作，此外还需要加强防火墙本身的安全管理，关闭危险端口，启用安全防护功能。本文就简单介绍下华为防火墙的用户管理及安全配置管理的相关内容。

华为防火墙

一、用户管理

用户管理包括用户建立、信息查询、信息更新、用户删除四个方面的内容，下面逐一介绍。

1、用户建立及更新

华为防火墙有3种用户认证方式，即AAA（账户/密码）、Password（纯密码）、None（既不需要账号也不需要密码），因为我们通常是使用账户/密码进行用户的身份验证，即采用AAA模式。新用户的建立和用户信息的更新所使用的命令是一样的，均如下面的命令所示。

#进入系统视图

system-view

#进入aaa模式

aaa

#用户名及密码

local-user newuser password cipher mypassword

#用户支持的服务

local-user newuser service-type telnet ssh

#用户级别

local-user newuser level 3

#用户认证失败次数

local-user newuser fail-lock authentication-count 5

#账号锁定时间

local-user newuser fail-lock lock-timeout 5

上述方式设置的是本地用户，有时还需要通过SecureCRT等工具使用SSH协议登录设备进行维护，所以就需要通过下述命令建立单独的ssh账号。

ssh user newuser password ciper mypassword

#其他配置项类似处理

2、信息查询

#查询当前登录用户

display users

#查询所有用户信息

display local-user

#查询指定用户信息

display local-user username newuser

#更多操作

display local-user ?

3、用户删除

#进入系统模式

system-view

#进入aaa模式

aaa

#删除用户

undo local-user newuser

undo ssh user newuser

二、安全管理

防护墙的安全管理体现在几个方面，一是设备本身的安全，二是危险端口的封禁，三是防攻击功能的启用。

1、设备本身的安全

华为防火墙本身作为一个网络安全设备，其本身也存在一定的安全漏洞，因此要经常性地对其进行漏洞扫描、基线核查、安全加固等操作，及时消除设备本身的安全隐患。

2、危险端口的封禁

危险端口主要是指容易被黑客利用的一些端口，在防火墙侧应通过策略配置进行封禁。常见的危险端口有TCP1433、1434、9995、rpc、5900、445、9996、6667、137、138、5554、ftp等，更多危险端口可参见相关安全规范。

acl number 3001

rule 5 deny udp destination-port eq 1433

rule 10 deny tcp destination-port eq 1433

rule 15 deny tcp destination-port eq 1434

rule 20 deny tcp destination-port eq 9995

rule 25 deny tcp destination-port eq rpc

rule 30 deny tcp destination-port eq netbios-ssn

rule 35 deny tcp destination-port eq 5900

rule 40 deny tcp destination-port eq 445

3、防攻击功能启用

对于攻击的防范，除了使用IPS、抗DDOS设备外，还可以利用防火墙自身的一些功能，如syn攻击防范、land攻击防范、黑名单等。常见的攻击防范如下所示，更多功能请参考产品功能介绍。

firewall defend ip-sweep enable

firewall defend tcp-flag enable

firewall defend large-icmp enable

firewall defend ping-of-death enable

firewall defend icmp-flood enable

firewall defend syn-flood enable

firewall defend land enable

三、总结及预告

用户管理和攻击防范是防火墙的主要功能，本章节对此进行了简单介绍，重点突出操作技巧，有兴趣深入了解的同仁可以参见《强叔侃墙》或华为防火墙官方手册，绝对物超所值，

感谢您花费时间阅读此文，水平有限，但请见谅，欢迎关注评论“斯沃勒科教工作室”，期待与您一起学习、成长。关于防火墙安全运维的更新暂时告一段落，后面将会开启《信息安全工程师复习重点》的更新，欢迎各位继续关注和支撑，谢谢。