配置思路

配置FW作为SSH服务器。

• 在接口上启用SSH服务。
• 配置VTY管理员界面。
• 创建SSH管理员账号，并指定认证方式和服务方式。
• 生成本地密钥对。
• 启用Stelnet服务。
• 配置SSH服务参数。

• 接口上要允许ssh
• 用户要允许ssh
• 系统允许ssh

通过STelnet登录（Password认证）可以参考官方手册

开通管理员(admin) ssh 、telnet 、 web 访问

使用内部接口远程访问

#作为接口作为远程登录接口，接口可以为内部或者外部接口
interface GigabitEthernet0/0/3 
 ip address 10.3.0.1 255.255.255.0  
 service-manage enable
 service-manage ssh permit 

firewall zone  trust 
add insterface  GigabitEthernet0/0/3
set priority  85



#配置vty 管理员配置验证方式为AAA
user-interface vty 0 4 
 authentication-mode aaa
 user privilege level 3
 protocol inbound ssh

#创建管理员账号 定认证方式为Password，服务方式为Stelnet。此处以本地认证方式为例。

aaa
manager-user sshadmin  
 password cipher passwd#09
 service-type ssh 
 level 15

#绑定角色
bind manager-user sshadmin role system-admin
#开启STelnet 服务  指定sshadmin 账号的认证方式为密码认证
ssh authentication-type default password # 没指定账号
stelnet server enable
ssh user sshadmin                                                               
ssh user sshadmin authentication-type password                                  
ssh user sshadmin service-type stelnet  （all)
#配置服务器参数（可选）  
配置SSH服务器服务端口号1025，认证超时时间为80秒，认证重试次数为4次，密钥对更新时间为1小时，并启用兼容低版本功能。                                      
ssh server port 1025
ssh server timeout 80
ssh server authentication-retries 4
ssh server rekey-interval 1
ssh server compatible-ssh1x enable

使用外部接口远程访问

如果是在数据中心的网络环境中，需要从Untrust对USG进行远程管理，建议使用Loopback 0的方式进行管理。在华为USG上，Loopback 0只能属于“Local区域“。

通过Loopback0从外部访问

interface LoopBack0
 ip address 10.1.1.1 255.255.255.255

定义地址对象
ip address-set untrust-ssh type object
 address 0 200.100.1.2 mask 32            
#
ip address-set loop0 type object
 address 0 10.1.1.1 mask 32

设置安全策略，允许Untrust访问Local的Loopback地址
security-policy
 rule name ssh-out
  source-zone untrust
  destination-zone local
  source-address address-set untrust-ssh
  destination-address address-set loop0
  service icmp
  service https
  service ssh
  action permit