第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.1通過圖形界面管理防火墻編著：

秦?zé)鰟诖浣?/p>

計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測(cè)或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時(shí)刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時(shí)阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡(jiǎn)單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對(duì)外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財(cái)務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對(duì)外提供服務(wù)的WEB服務(wù)器放在停火區(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動(dòng)態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實(shí)現(xiàn)這些功能，需要對(duì)ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測(cè)功能。任務(wù)2.1通過圖形界面管理防火墻

一、在EVE-NG平臺(tái)中搭建實(shí)驗(yàn)拓?fù)?/p>

通過VMwareWorkstation啟動(dòng)EVE-NG平臺(tái)和五臺(tái)虛擬機(jī)。通過瀏覽器連接和登陸到EVE-NG平臺(tái)，在平臺(tái)中搭建如圖2-0-1所示的實(shí)驗(yàn)拓?fù)?。拓?fù)浒ㄒ慌_(tái)防火墻、三臺(tái)路由器和四朵云。這四朵云分別關(guān)聯(lián)到剛才啟動(dòng)的五臺(tái)VMware虛擬機(jī)，即三臺(tái)Win2003虛擬機(jī)、一臺(tái)win7虛擬機(jī)和一臺(tái)KaliLinux虛擬機(jī)。具體如下：1.在EVE-NG平臺(tái)中添加路由器和防火墻，方法如下：（1）在EVE-NG平臺(tái)的實(shí)驗(yàn)界面空白處右擊，在彈出菜單中選擇“Node”，在出現(xiàn)的Template列表中選用“CiscovIOS”作為內(nèi)網(wǎng)路由器、在“Name/prefix”框中為其命名為“R_Inside”；（2）用同樣方法添加“Node”，選用“CiscovIOS”作為DMZ路由器、命名為“R_DMZ”；（3）用同樣方法添加“Node”，選用“CiscovIOS”作為Outside路由器、命名為“R_Outside”；（4）用同樣方法添加“Node”，選用“CiscoASAv”作為防火墻、保留默認(rèn)名稱“ASAv”。2.在EVE-NG平臺(tái)中添加四朵云，用來關(guān)聯(lián)五臺(tái)VMware虛擬機(jī)，方法如下：（1）在EVE-NG平臺(tái)的實(shí)驗(yàn)界面空白處右擊，在彈出菜單中選擇“Network”，在Type列表中選用“Cloud1”,在“Name/prefix”框中為其命名為Net1，用來關(guān)聯(lián)內(nèi)網(wǎng)的win2003服務(wù)器（該VMware虛擬機(jī)的網(wǎng)卡連到VMnet1）；（2）用同樣方法添加“Network”中的“Cloud2”作為第2朵云，命名為Net2，用來關(guān)聯(lián)網(wǎng)絡(luò)管理員的win7計(jì)算機(jī)（該虛擬機(jī)的網(wǎng)卡連到VMnet2）；（3）用同樣方法添加“Network”中的“Cloud3”作為第3朵云，命名為Net3，用來關(guān)聯(lián)外網(wǎng)的win2003服務(wù)器（該虛擬機(jī)的網(wǎng)卡連到VMnet3）和外網(wǎng)的KaliLinux主機(jī)（該虛擬機(jī)的網(wǎng)卡也連到VMnet3）；（4）用同樣方法添加“Network”中的“Cloud4”作為第4朵云，命名為Net4，用來關(guān)聯(lián)DMZ區(qū)的win2003服務(wù)器（該虛擬機(jī)的網(wǎng)卡連到VMnet4）。3.按圖2-0-1所示連線，完成實(shí)驗(yàn)拓?fù)涞拇罱?。二、配置防火墻的管理接?.啟動(dòng)防火墻，從用戶模式進(jìn)入特權(quán)模式，命令如下：ciscoasa>enablePassword://默認(rèn)密碼為空，此處直接回車即可2．從特權(quán)模式進(jìn)入全局配置模式，命令如下：ciscoasa#configureterminal3．防火墻的各個(gè)接口需要?jiǎng)澐值讲煌陌踩珔^(qū)域，方法是為各個(gè)接口命名和分配安全級(jí)別。安全級(jí)別的取值范圍是從0到100，安全級(jí)別高的區(qū)域是接受防火墻保護(hù)的區(qū)域，安全級(jí)別低的區(qū)域是相對(duì)危險(xiǎn)的區(qū)域。下面，將管理接口的IP地址配為：54/24、接口命名為：Mgmt、安全級(jí)別設(shè)為：100，命令如下：ciscoasa(config)#intManagement0/0//從全局配置模式進(jìn)入接口配置模式ciscoasa(config-if)#nameifMgmt//將管理接口命名為Mgmtciscoasa(config-if)#security-level100//將管理接口的安全級(jí)別設(shè)為100ciscoasa(config-if)#ipadd54//為管理接口配置IP地址ciscoasa(config-if)#noshu//開啟管理接口ciscoasa(config-if)#exit//從接口配置模式返回全局配置模式ciscoasa(config)#exit//從全局配置模式模式返回特權(quán)模式4．查看接口IP地址的配置情況，命令如下：ciscoasa#showintipbInterfaceIP-AddressOK?MethodStatusProtocolManagement0/054YESmanualupup5．查看接口的名稱和安全級(jí)別，命令如下：ciscoasa#shownameifInterfaceNameSecurityManagement0/0Mgmt100三、通過圖形界面網(wǎng)管防火墻1．開啟允許通過圖形界面匿名連接和管理防火墻的功能，方法如下：（1）激活https，以便可以使用https訪問和管理ASAv防火墻，命令如下：ciscoasa#configureterminalciscoasa(config)#httpserverenable（2）允許網(wǎng)段的電腦通過https連接防火墻的MGMT接口，命令如下：ciscoasa(config)#httpMgmt2.在網(wǎng)絡(luò)管理員的win7電腦上，匿名管理防火墻。（1）啟動(dòng)win7虛擬機(jī)，將它的網(wǎng)卡連到VMnet2，用作網(wǎng)絡(luò)管理員電腦。為它配置地址/24。關(guān)閉win7自帶的防火墻。在win7上用“ping54”命令測(cè)試win7電腦與ASAv防火墻管理口的互通性，可以ping通。（2）為了通過圖形界面網(wǎng)管ASAv防火墻，網(wǎng)絡(luò)管理員的win7電腦需要安裝32位的java運(yùn)行環(huán)境。如圖2-1-1所示，在客戶機(jī)win7上，安裝jre-8u101-windows-i586。圖2-1-1安裝JAVA運(yùn)行環(huán)境（3）如圖2-1-2所示，打開瀏覽器，輸入網(wǎng)址54，點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站（不推薦）”選項(xiàng)。圖2-1-2打開瀏覽器輸入網(wǎng)址（4)如圖2-1-3所示，點(diǎn)擊上方的提示欄，在出現(xiàn)的菜單中點(diǎn)擊的“運(yùn)行加載項(xiàng)”。如圖2-1-4所示，在彈出的“安全警告”框中，點(diǎn)擊的“運(yùn)行”按鈕。最后，再點(diǎn)擊圖2-1-3所示的“InstallASDMLauncher”按鈕。圖2-1-3

安裝ASDM的運(yùn)行加載項(xiàng)界面（6）如圖2-1-5所示，不用輸入用戶名和密碼，直接點(diǎn)擊“確定”按鈕。圖2-1-4

運(yùn)行ActiveX控件界面圖2-1-5Windows安全界面（7）如圖2-1-6所示，點(diǎn)擊“運(yùn)行”按鈕。（8）如圖2-1-7所示，點(diǎn)擊“Next”按鈕，直至安裝成功。圖2-1-6

文件運(yùn)行和保存界面圖2-1-7ASDM安裝向?qū)В?）安裝成功后，為虛擬機(jī)的當(dāng)前狀態(tài)保持快照。讀者在進(jìn)行實(shí)驗(yàn)時(shí)，請(qǐng)自行為各虛擬機(jī)的各種實(shí)驗(yàn)狀態(tài)保存快照，以便在后續(xù)實(shí)驗(yàn)中遇到類似場(chǎng)景時(shí)，可通過還原快照的方式，快速完成新實(shí)驗(yàn)環(huán)境的搭建。后文不再提醒。（10）雙擊桌面的“CiscoASDM-IDMLauncher”圖標(biāo)，可通過ASDM圖形界面連接和管理防火墻。如圖2-1-8所示，輸入防火墻的地址，不用輸入用戶名和密碼，點(diǎn)擊“OK”按鈕。圖2-1-8ASDM登錄界面（11）如圖2-1-9所示，點(diǎn)擊“繼續(xù)”按鈕。（12）如圖2-1-10所示，出現(xiàn)了ASAv的圖形管理界面。圖2-1-9

安全警告界面圖2-1-10ASA管理界面（13）除了通過以上介紹的匿名訪問和管理防火墻的方法，還可以通過本地用戶名及密碼訪問和管理防火墻。方法是在防火墻上輸入以下命令：ciscoasa(config)#usernameuser1passwordcisco