前文相繼介紹了華為防火墻的安全域、策略配置、NAT映射等內容，但這一切的操作都需要用戶來操作，此外還需要加強防火墻本身的安全管理，關閉危險端口，啟用安全防護功能。本文就簡單介紹下華為防火墻的用戶管理及安全配置管理的相關內容。

華為防火墻

一、用戶管理

用戶管理包括用戶建立、信息查詢、信息更新、用戶刪除四個方面的內容，下面逐一介紹。

1、用戶建立及更新

華為防火墻有3種用戶認證方式，即AAA（賬戶/密碼）、Password（純密碼）、None（既不需要賬號也不需要密碼），因為我們通常是使用賬戶/密碼進行用戶的身份驗證，即采用AAA模式。新用戶的建立和用戶信息的更新所使用的命令是一樣的，均如下面的命令所示。

#進入系統視圖

system-view

#進入aaa模式

aaa

#用戶名及密碼

local-user newuser password cipher mypassword

#用戶支持的服務

local-user newuser service-type telnet ssh

#用戶級別

local-user newuser level 3

#用戶認證失敗次數

local-user newuser fail-lock authentication-count 5

#賬號鎖定時間

local-user newuser fail-lock lock-timeout 5

上述方式設置的是本地用戶，有時還需要通過SecureCRT等工具使用SSH協議登錄設備進行維護，所以就需要通過下述命令建立單獨的ssh賬號。

ssh user newuser password ciper mypassword

#其他配置項類似處理

2、信息查詢

#查詢當前登錄用戶

display users

#查詢所有用戶信息

display local-user

#查詢指定用戶信息

display local-user username newuser

#更多操作

display local-user ?

3、用戶刪除

#進入系統模式

system-view

#進入aaa模式

aaa

#刪除用戶

undo local-user newuser

undo ssh user newuser

二、安全管理

防護墻的安全管理體現在幾個方面，一是設備本身的安全，二是危險端口的封禁，三是防攻擊功能的啟用。

1、設備本身的安全

華為防火墻本身作為一個網絡安全設備，其本身也存在一定的安全漏洞，因此要經常性地對其進行漏洞掃描、基線核查、安全加固等操作，及時消除設備本身的安全隱患。

2、危險端口的封禁

危險端口主要是指容易被黑客利用的一些端口，在防火墻側應通過策略配置進行封禁。常見的危險端口有TCP1433、1434、9995、rpc、5900、445、9996、6667、137、138、5554、ftp等，更多危險端口可參見相關安全規范。

acl number 3001

rule 5 deny udp destination-port eq 1433

rule 10 deny tcp destination-port eq 1433

rule 15 deny tcp destination-port eq 1434

rule 20 deny tcp destination-port eq 9995

rule 25 deny tcp destination-port eq rpc

rule 30 deny tcp destination-port eq netbios-ssn

rule 35 deny tcp destination-port eq 5900

rule 40 deny tcp destination-port eq 445

3、防攻擊功能啟用

對于攻擊的防范，除了使用IPS、抗DDOS設備外，還可以利用防火墻自身的一些功能，如syn攻擊防范、land攻擊防范、黑名單等。常見的攻擊防范如下所示，更多功能請參考產品功能介紹。

firewall defend ip-sweep enable

firewall defend tcp-flag enable

firewall defend large-icmp enable

firewall defend ping-of-death enable

firewall defend icmp-flood enable

firewall defend syn-flood enable

firewall defend land enable

三、總結及預告

用戶管理和攻擊防范是防火墻的主要功能，本章節對此進行了簡單介紹，重點突出操作技巧，有興趣深入了解的同仁可以參見《強叔侃墻》或華為防火墻官方手冊，絕對物超所值，

感謝您花費時間閱讀此文，水平有限，但請見諒，歡迎關注評論“斯沃勒科教工作室”，期待與您一起學習、成長。關于防火墻安全運維的更新暫時告一段落，后面將會開啟《信息安全工程師復習重點》的更新，歡迎各位繼續關注和支撐，謝謝。