设备远程访问管理
HSM系统提供的安全设备、ADC设备和WAF设备远程访问管理功能,允许用户对所有被管理设备的远程登录配置进行集中管理,并为用户展示所有被管理设备的远程登录配置信息,包括设备名称、管理接口、Web UI端口、CLI端口、访问用户以及代理方式。系统支持批量修改多台设备的远程登录信息,也支持修改单台设备的远程登录信息。
用户可以通过HSM代理的方式远程登录设备。HSM既可以作为正向代理,也可以作为反向代理。若通过HSM正向代理的方式远程登录设备,需保证HSM端与设备之间路由可达;若通过HSM反向代理的方式远程登录设备,HSM与设备通过内部通道进行通信,客户端只需与HSM上指定端口建立连接,用户访问HSM上的指定端口即可访问设备上的相关服务。
注意:
- ADC设备和WAF设备仅支持通过HSM正向代理的方式远程访问。
- 通过HSM反向代理的方式远程登录安全设备时,安全设备需为在线状态。
批量编辑多台设备的远程登录信息
批量编辑多台设备的远程登录信息,请按照以下步骤进行操作:
- 选择“安全设备管理器 > 网络 > 设备远程访问管理”、“ADC管理器 > 网络 > 设备远程访问管理”或者“WAF设备管理器 > 网络”,进入设备远程访问管理页面。
- 点击列表右上方的“批量设置”按钮,打开<批量设置远程访问>页面。
- 点击“确认”按钮,系统将自动下发设备远程登录配置给相应的设备。
在该页面进行如下配置。
| 选项 | 说明 |
|---|---|
| 选择设备 | |
| 选择设备 |
点击“选择设备”按钮,在打开的<选择设备>页面中,勾选指定设备复选框,然后点击“确定”按钮,保存配置。 用户还可以通过输入设备名称,查找指定设备;也可以通过设备类型,查找指定设备。 说明:在ADC管理器和WAF设备管理器模块的<批量设置远程访问>页面,该选项不支持通过设备类型查找指定设备。 |
| 登录设置 | |
| 管理接口 | 指定远程登录设备的访问接口名称。 |
| Web UI端口 | 指定登录至设备Web UI界面时使用的端口号。取值范围是1至65535,默认是443。 |
| CLI端口 | 指定登录至设备CLI界面时使用的端口号。取值范围是1至65535,默认是22。 |
| 访问用户 | 配置访问用户的用户名,取值范围为1到31个字符。 选择设备后,可以点击“  ”按钮,在<新建管理员>页面添加用户信息。添加用户后,系统会自动填入该用户的用户名和密码。相关配置请参阅新建管理员章节。 |
| 访问密码 | 配置访问用户的访问密码,取值范围为1到31个字符。配置访问密码前,需要先配置访问用户的用户名。 |
| 代理方式 | 选择远程登录该设备时的HSM代理方式。安全设备可以选择正向代理或者反向代理方式,默认为反向代理方式;ADC设备和WAF设备仅支持正向代理方式。 当选择HSM作为反向代理时,若HSM与安全设备部署在不同的内网,或仅HSM部署在内网,则需要配置HSM的外网映射IP地址,具体配置,请参阅“访问设置 > 外网映射IP”。 |
注意:
- 若选择HSM作为反向代理,防火墙设备的软件版本需为StoneOS 5.5R9P2或以上版本,NIPS/NIDS设备的软件版本需为5.0或以上版本。
- 如果选择处于离线状态的设备,那么该设备远程访问配置会下发失败,可前往对应设备管理器的< 批量系统配置下发>页面查看下发配置失败的原因。
编辑单台设备的远程登录信息
用户可以点击<设备详情>页面右上方“远程访问”旁的 
按钮,然后选择“远程访问设置”,编辑单台设备的远程登录信息;也可以在设备远程访问管理页面,编辑单台设备的远程登录信息。
在<设备详情>页面,编辑单台设备的远程登录信息,请按照以下步骤进行操作:
- 选择“安全设备管理器 > 设备”、“ADC管理器 > 设备”或者“WAF设备管理器 > 设备”,进入设备管理页面。
- 点击列表中的设备名称,打开<设备详情>页面。
- 点击页面右上方“远程访问”旁的 按钮,选择“远程访问设置”,打开<远程访问设置>页面。
(修改图片) - 在下拉菜单中可以选择该设备上的用户进行登录。如果选择的用户是在HSM系统上添加的,系统将自动填入该用户的访问密码,如果不是则需要手动填入该用户的访问密码。
- 在下拉菜单中,可以点击“”按钮,在<新建管理员>页面添加用户信息。相关配置请参阅新建管理员章节。
- 点击“确定”按钮,完成配置。
在该页面进行如下配置。
| 选项 | 说明 |
|---|---|
| 登录设置 | |
| 管理接口 | 指定远程登录设备的访问接口名称。 |
| Web UI端口 | 指定登录至设备Web UI界面时使用的端口号。取值范围是1至65535,默认是443。 |
| CLI端口 | 指定登录至设备CLI界面时使用的端口号。取值范围是1至65535,默认是22。 |
| 访问用户 | 配置访问用户的用户名,取值范围为1到31个字符。 用户还可以执行以下操作: |
| 访问密码 | 配置访问用户的访问密码,取值范围为1到31个字符。配置访问密码前,需要先配置访问用户的用户名。 |
| 代理方式 | 选择远程登录该设备时的HSM代理方式。安全设备可以选择正向代理或者反向代理方式,默认为反向代理方式;ADC设备和WAF设备仅支持正向代理方式。 当选择HSM作为反向代理时,若HSM与安全设备部署在不同的内网,或仅HSM部署在内网,则需要配置HSM的外网映射IP地址,具体配置,请参阅“访问设置 > 外网映射IP”。 |
在<设备远程访问管理>页面,编辑单台设备的远程登录信息,请按照以下步骤进行操作:
- 选择“安全设备管理器 > 网络 > 设备远程访问管理”、“ADC管理器 > 网络 > 设备远程访问管理”或者“WAF设备管理器 > 网络”,进入设备远程访问管理页面。
- 点击“操作”列中的
按钮,打开<远程访问设置>页面。 - 编辑设备的远程登录配置,点击“确定”按钮,完成配置。
注意: 对于单台设备的远程登录信息,<设备详情>页面中单设备的远程访问设置与<设备远程访问管理>页面单设备的远程访问设置数据一致。若一处单设置的远程访问设置数据被修改,另一处会同步修改。
在<设备远程访问管理>页面,用户还可以执行以下操作:
- 点击列表右上方的“筛选设备 全部”按钮,在打开的<选择设备>页面选择需要的设备,然后在列表中查看其设备远程登录配置信息。
- 点击“设备名称”列的设备名称,跳转至设备基础信息页面,查看设备详情。
- 点击“管理接口”列的接口名称,查看指定设备的接口映射信息。
远程登录设备
配置远程登录信息后,用户可以对安全设备、ADC设备和WAF设备进行远程访问,具体操作步骤请参阅“远程登录纳管设备”。