华为防火墙-USG2130 SSH-RSA 认证

1)配置VTY界面的认证方式和协议。
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
user privilege level 15

2)新建用户名为Client的SSH用户,且认证方式为RSA。
ssh user client
ssh user client authentication-type rsa

3)服务端生成本地密钥
rsa local-key-pair create

*通过display rsa local-key-pair public查看生成的本地密钥对

4)在客户端用PUTTYGEN.exe 产生密钥

5)运行sshkey.exe。将生成的公有密钥转化为设备所需要的字符串。

6)在服务端输入 客户端的RSA公钥

rsa peer-public-key rsakey001

public-key-code begin
30820108 02820101 008D44DF 4F0DBA8C 784C2E95 7929DFE9
A9029095 3FA1C6E1 B2EFD5A4 59D85DD1 63A1415E 925499F1
8E13EA56 CEC396F5 68B2B86E 7EEDF7CD 8BB4467F 5E2C28AE
D5C3F061 FC0B1F4C 477C0B10 23710D7E 05734741 F26C2AB7
F0372B86 1862D319 7CB2F471 59105003 C61E65FF DE81EE38
EE2F0EB4 77BBF231 875BF4FE B4D3194F 9694E3EE CFB319F0
2AE92F43 C8BBB769 33C2EFDD 460EF668 6D8AF28F 678EA2D0
4E4CF190 9C7B4BA9 1FB53950 54F717F1 20ADE80F B6FD248C
1EC4A743 B9DD078E 4B05717B D1D318BC 9EDF3410 23BF1757
598EEDF3 36E267C9 9BEFCE06 4D28704E 699CEA5C 9D150120
1DA3E9A0 2ED2CF70 045DF616 F1E815F5 120ABE88 D20E473A
41020125
public-key-code end
peer-public-key end

7)在SSH服务器端为SSH用户client绑定STelnet客户端的RSA公钥。
ssh user client assign rsa-key rsakey001

8)开启STelnet服务功能。
stelnet server enable

9)配置SSH用户client的服务方式为STelnet
ssh user client service-type stelnet
* 可以更改ssh-server 端口
ssh server port 2288
10)aaa 添加用户
aaa
local-user clinet service-type ssh
local-user clinet level 15
11)定义目标新对象
ip service-set sshplus type object
service protocol tcp  destination-port 2288

12)应用防火墙策略
policy interzone untrust local inbound
policy 1
action permit
policy service service-set icmp
policy service service-set sshplus
13)用 putty验证ssh登入

发表评论