华为防火墙更改SSH端口

发布时间:2020-06-07 23:03:20 作者:liu008qing
来源:网络 阅读:1858

分公司新上一台华为防火墙,为了方便管理,在公网接口开启了SSH,默认的端口是TCP的22端口。配置完成,可以正常访问了,可接下来问题来了,使用WEB端登录或者SSH老弹出密码验证失败,搞得我都开始怀疑人生了。
好在业务能正常运行,过了大半个小时,再登录,可以正常登录了,查看日志
Apr 20 2019 23:55:48 USG6300 %%01MANAGER/4/UNLOCK(l)[172]:The user was unlocked. (User Name=admin)
Apr 20 2019 23:24:36 USG6300 %%01MANAGER/3/LOCK(l)[350]:The user was locked out. (User Name=admin, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Type=ssh , IP Address=91.236.116.214)
Apr 20 2019 22:39:14 USG6300 %%01MANAGER/4/UNLOCK(l)[447]:The user was unlocked. (User Name=admin)
Apr 20 2019 22:01:41 USG6300 %%01MANAGER/3/LOCK(l)[508]:The user was locked out. (User Name=admin, Lock Time=30 min, Lock Reason=password incorrect for 3 times, Access Type=ssh , IP Address=193.201.224.236)

因为在指定的时间内连续3次输入了错误的密码,导致账号被锁定30分钟。华为防火墙更改SSH端口
华为防火墙更改SSH端口
华为防火墙更改SSH端口

思考了一下原因,是什么问题导致的呢?存在两个可能:

  1. FW的公网接口允许PING,存在被嗅探的可能
  2. 默认的SSH端口没有更改,***者嗅探后,尝试使用弱密码或者字典登录

那怎么解决这个问题呢?
肯定是更改配置,将公网的PING关闭,更改SSH的端口。

  1. 在网络-->接口处,找到公网接口,关闭PING
    华为防火墙更改SSH端口
  2. 更改默认的SSH端口
    华为防火墙更改SSH端口

接下来,在内网使用ssh到LAN的9022端口,可以登录了。再测试公网的9022,发现无法登录,是 什么原因导致的呢?

我们更改了SSH协议的端口,也就意味着从untrust-->local 9022的安全策略要被放行,原来在接口下允许的 service-manager ssh permit,应该是自动生成了一条去往从untrust-->loal 22的隐含的策略。我们应该自己创建一条安全策略,应该就可以访问了。

  1. 首先需要创建一个服务
    华为防火墙更改SSH端口
  2. 创建一条安全策略
    华为防火墙更改SSH端口

再进行测试,从公网可以通过SSH进行访问了,在经历关闭PING、更改SSH端口后,暂时没有发现***者尝试登录了,问题解决。

推荐阅读:
  1. 华为防火墙目的NAT
  2. 华为防火墙Session表

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

更改 华为 usg

上一篇:zabbix通过snmp监控网络设备原理

下一篇:Python网络爬虫实战案例之:7000本电子书下载(1)

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》