第2章

防火墻技術(shù)與入侵防御技術(shù)編著：

秦?zé)鰟诖浣?/p>

任務(wù)2.2配置防火墻的安全區(qū)域

計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開(kāi)，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測(cè)或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時(shí)刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時(shí)阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡(jiǎn)單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對(duì)外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財(cái)務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對(duì)外提供服務(wù)的WEB服務(wù)器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過(guò)PAT動(dòng)態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問(wèn)DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過(guò)NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問(wèn)。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過(guò)開(kāi)啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實(shí)現(xiàn)這些功能，需要對(duì)ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問(wèn)外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問(wèn)DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問(wèn)DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問(wèn)域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問(wèn)域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測(cè)功能。任務(wù)2.2配置防火墻的安全區(qū)域

根據(jù)各網(wǎng)絡(luò)的可信度及其是否需要保護(hù)，可將防火墻所連接的各網(wǎng)絡(luò)劃分到不同安全級(jí)別的安全區(qū)域中。防火墻的各個(gè)接口屬于不同的安全區(qū)域，每個(gè)接口都需要命名和分配安全級(jí)別，安全級(jí)別的取值范圍是0到100。通過(guò)命令配置接口時(shí)，命名為Inside（不區(qū)分大小寫）的接口的安全級(jí)別就會(huì)自動(dòng)被設(shè)置為100，其它名稱的接口的安全級(jí)別會(huì)自動(dòng)設(shè)為0。管理員可手動(dòng)調(diào)整各接口的安全級(jí)別。安全級(jí)別高的區(qū)域是接受防火墻保護(hù)的區(qū)域，安全級(jí)別低的區(qū)域是相對(duì)危險(xiǎn)的區(qū)域。防火墻會(huì)放行從高安全級(jí)流向低安全級(jí)的流量，阻攔從低安全級(jí)流向高安全級(jí)的流量。

前面，我們已經(jīng)通過(guò)命令為防火墻的管理接口（Mgmt）配置了IP地址、設(shè)置了接口的名稱和接口的安全級(jí)別。防火墻的其它接口可用類似的命令來(lái)配置，也可通過(guò)圖形界面來(lái)配置。下面，我們分別通過(guò)圖形界面和通過(guò)命令的方式為防火墻的其它接口配置IP地址、開(kāi)啟接口、設(shè)置接口名稱、設(shè)置接口的安全級(jí)別。

一、外網(wǎng)區(qū)域各設(shè)備地址的配置

1.外網(wǎng)是最不安全的區(qū)域，所以我們將防火墻外網(wǎng)接口的安全級(jí)別規(guī)劃為0。下面，我們配置防火墻外網(wǎng)接口Gi0/2的IP地址為：54/24、接口名稱為：Outside、安全級(jí)別為：0。通過(guò)圖形界面配置防火墻外網(wǎng)接口的方法如下：圖2-2-1ASAv圖形配置界面（1）如圖2-2-1所示，在ASAv的圖形配置界面中，點(diǎn)擊”Configuraiton”,選中其中的“DeviceSetup”，再選擇“InterfaceSetting”下的“Interfaces”，選中“GigabitEthernet0/2”。（2）點(diǎn)擊右側(cè)的“Edit”按鈕，在彈出的“EditInterface”對(duì)話框中，為“InterfaceName”項(xiàng)輸入“Outside”，“SecurityLevel”項(xiàng)輸入“0”，勾選上“EnableInterface”前的復(fù)選框，“IPAddress”項(xiàng)填入“0”,”SubnetMask”項(xiàng)選擇“”，點(diǎn)擊“OK”按鈕，點(diǎn)擊“Apply”按鈕，完成配置。2.除了用圖形界面配置，還可用命令配置，相同功能的命令如下：ciscoasa(config)#intg0/2ciscoasa(config-if)#nameifOutsideINFO:Securitylevelfor"Outside"setto0bydefault.//提示接口的安全級(jí)別被自動(dòng)設(shè)置為0ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動(dòng)外網(wǎng)路由器，將其命名為R_Outside，將它與防火墻相連的接口g0/0的地址配置為/24，在路由器上通過(guò)ping命令測(cè)試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_OutsideR_Outside(config)#intg0/0R_Outside(config-if)#ipaddR_Outside(config-if)#noshuR_Outside(config-if)#endR_Outside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//測(cè)試結(jié)果為“！”號(hào)，表示成功ping通了防火墻4.外網(wǎng)路由器的g0/1接口連接了外網(wǎng)服務(wù)器，為g0/1接口配置地址54/24，命令如下：R_Outside#configureterminalR_Outside(config)#intg0/1R_Outside(config-if)#ipadd54R_Outside(config-if)#noshu5.啟動(dòng)一臺(tái)win2003虛擬機(jī)，將它連接到VMnet3，用作外網(wǎng)服務(wù)器。為它配置地址/24、缺省網(wǎng)關(guān)54、首選DNS服務(wù)器。用“ping54”命令測(cè)試它與外網(wǎng)路由器間的互通性，可以ping通。6.啟動(dòng)一臺(tái)KaliLinux虛擬機(jī)，將它連接到VMnet3，用作外網(wǎng)的滲透測(cè)試主機(jī)。為它配置地址0/24、缺省網(wǎng)關(guān)54、首選DNS服務(wù)器。方法如下：（1）編輯interfaces文件，配置eth0網(wǎng)卡，命令如下：root@kali:~#vim/etc/network/interfacesautoeth0ifaceeth0inetstaticaddress0netmaskgateway54pre-upifconfigeth0hwether60:60:60:60:60:60按ESC鍵并輸入:wq命令，存盤退出。（2）編輯DNS配置文件,將設(shè)置為DNS服務(wù)器的地址，命令如下：root@eve-ng:~#vim/etc/resolv.confnameserver//輸入的內(nèi)容按ESC鍵并輸入:wq命令，存盤退出。（3）重啟eth0網(wǎng)卡，使配置生效。命令如下：root@kali:~#ifdowneth0root@kali:~#ifupeth0（4）在外網(wǎng)KaliLinux主機(jī)上用“ping54”命令測(cè)試它與外網(wǎng)路由器間的互通性，可以ping通。

二、外網(wǎng)區(qū)域各設(shè)備路由表的配置

外網(wǎng)共兩個(gè)網(wǎng)段，外網(wǎng)路由器與這兩個(gè)網(wǎng)段直連，所以其路由表已認(rèn)識(shí)這兩個(gè)網(wǎng)段，無(wú)需配置路由表。防火墻只與外網(wǎng)的一個(gè)網(wǎng)段直連，需要為防火墻的外網(wǎng)接口配一條靜態(tài)路由或默認(rèn)路由或動(dòng)態(tài)路由，用來(lái)識(shí)別非直連的那個(gè)網(wǎng)段。因?yàn)楝F(xiàn)實(shí)中的外網(wǎng)由成千上萬(wàn)的網(wǎng)段組成，外出流量比較適合于用默認(rèn)路由來(lái)實(shí)現(xiàn)，所以此處我們采用默認(rèn)路由，方法如下：

1.防火墻外網(wǎng)接口配默認(rèn)路由之前測(cè)試，防火墻ping不通外網(wǎng)服務(wù)器。

2.用圖形界面為防火墻的外網(wǎng)接口配默認(rèn)路由，方法如下：

（1）如圖2-2-2所示，在網(wǎng)絡(luò)管理員的win7電腦上，進(jìn)入ASAv的圖形配置界面ASDM，找到Configuration>DeviceSetup>Routing>StaticRoutes,點(diǎn)擊“Add”按鈕，接口Interface選擇“Outside”，Network設(shè)置為“0/0”用作目標(biāo)，GatewayIP設(shè)置為“”用作去往目標(biāo)的下一跳，點(diǎn)擊“OK”按鈕后，點(diǎn)擊“Apply”按鈕完成配置。

（2）在防火墻ASAv上進(jìn)行ping外網(wǎng)服務(wù)器測(cè)試，能ping通。

3.與用圖形界面為防火墻的外網(wǎng)接口配默認(rèn)路由一樣功能的命令如下：ciscoasa(config)#routeOutside00圖2-2-2ASAv的圖形配置界面配置默認(rèn)路由三、內(nèi)網(wǎng)區(qū)域各設(shè)備地址的配置1.我們規(guī)劃防火墻內(nèi)網(wǎng)接口Gi0/0的IP地址為：54/24、接口名稱為：Inside、安全級(jí)別為：100。用圖形界面配置防火墻內(nèi)網(wǎng)接口與之前介紹的配置外網(wǎng)接口的方法類似，請(qǐng)讀者自行完成。2.除了用圖形界面，也可用命令實(shí)現(xiàn)相同功能，配置防火墻內(nèi)網(wǎng)接口的命令如下：ciscoasa(config)#intg0/0ciscoasa(config-if)#nameifInsideINFO:Securitylevelfor"Inside"setto100bydefault.//當(dāng)命名為Inside時(shí)，安全級(jí)別自動(dòng)設(shè)為100ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動(dòng)內(nèi)網(wǎng)的路由器，將其命名為R_Inside，將它與防火墻相連的接口g0/0的地址配置為/24，在內(nèi)網(wǎng)路由器上通過(guò)ping命令測(cè)試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_InsideR_Inside(config)#intg0/0R_Inside(config-if)#ipaddR_Inside(config-if)#noshuR_Inside(config-if)#endR_Inside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//測(cè)試結(jié)果“！”號(hào)表示ping通了目標(biāo)

4.內(nèi)網(wǎng)路由器連接內(nèi)網(wǎng)電腦的接口是g0/1，為該接口配置地址54/24。命令如下：R_Inside(config)#intg0/1R_Inside(config-if)#ipadd54R_Inside(config-if)#noshu

5.啟動(dòng)一臺(tái)win2003虛擬機(jī)，將它連接到VMnet1，用作內(nèi)網(wǎng)電腦。為它配置地址/24、缺省網(wǎng)關(guān)54、首選DNS服務(wù)器。在內(nèi)網(wǎng)電腦上用ping54命令測(cè)試它與內(nèi)網(wǎng)路由器間的互通性，可以ping通。四、內(nèi)網(wǎng)區(qū)域各設(shè)備的路由表配置內(nèi)網(wǎng)共兩個(gè)網(wǎng)段，這兩個(gè)網(wǎng)段都與內(nèi)網(wǎng)路由器直連，內(nèi)網(wǎng)路由器的路由表已經(jīng)認(rèn)識(shí)這兩個(gè)網(wǎng)段，無(wú)需再配置。內(nèi)網(wǎng)中與防火墻直連的網(wǎng)段只有一個(gè)，防火墻的路由表只認(rèn)識(shí)這個(gè)直連網(wǎng)段，需要為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由或動(dòng)態(tài)路由，以便讓它認(rèn)識(shí)這個(gè)非直連網(wǎng)段，下面用靜態(tài)路由來(lái)實(shí)現(xiàn)：1.防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由之前測(cè)試，防火墻ping不通內(nèi)網(wǎng)電腦。2.用圖形界面為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由，方法如下：（1）如圖2-2-3所示，在網(wǎng)絡(luò)管理員的win7電腦上，進(jìn)入ASAv的ASDM圖形配置界面，找到Configuration>DeviceSetup>Routing>StaticRoutes,點(diǎn)擊“Add”按鈕，接口Interface選擇“Inside”，Network設(shè)置為“/24”作為目標(biāo)網(wǎng)段，GatewayIP設(shè)置為“”作為去往目標(biāo)的下一跳地址，點(diǎn)擊“OK”后，點(diǎn)擊“Apply”按鈕完成配置。

（2）配置完成之后，防火墻ASAv能ping通內(nèi)網(wǎng)電腦。

3.除了用圖形界面為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由，也可用命令實(shí)現(xiàn)，命令如下：ciscoasa(config)#routeInside4.為防火墻的內(nèi)網(wǎng)接口配好靜態(tài)路由后，在ASAv上測(cè)試，它可以ping通內(nèi)網(wǎng)電腦。圖2-2-3ASAv的圖形配置界面配置靜態(tài)路由五、?；饏^(qū)（DMZ）各設(shè)備地址的配置?；饏^(qū)（DMZ）用于存放對(duì)外提供服務(wù)的服務(wù)器，可供內(nèi)網(wǎng)和外網(wǎng)同時(shí)訪問(wèn)，其安全級(jí)別應(yīng)該處于內(nèi)網(wǎng)和外網(wǎng)之間，我們將其安全級(jí)別規(guī)劃為50。1.規(guī)劃防火墻內(nèi)網(wǎng)接口Gi0/1的IP地址為：54/24、接口名稱為：DMZ、安全級(jí)別為：50。請(qǐng)讀者參照?qǐng)D形界面配置外網(wǎng)接口的方法，用圖形界面實(shí)現(xiàn)防火墻停火區(qū)接口的配置。2.除了用圖形界面配置，也可用命令實(shí)現(xiàn)相同的功能，命令如下：ciscoasa(config)#intg0/1ciscoasa(config-if)#nameifDMZciscoasa(config-if)#security-level50ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動(dòng)?；饏^(qū)的路由器，將其命名為R_DMZ，將它與防火墻相連的接口g0/0的地址配置為/24，在停火區(qū)路由器上通過(guò)ping命令測(cè)試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_DMZR_DMZ(config)#intg0/0R_DMZ(config-if)#ipaddR_DMZ(config-if)#noshuR_DMZ(config-if)#endR_DMZ#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//測(cè)試結(jié)果的“！”號(hào)表示成功ping通防火墻4.?；饏^(qū)路由器連接?；饏^(qū)服務(wù)器的接口是g0/1，為g0/1接口配置地址54/24。命令如下：R_DMZ#configureterminalR_IDMZ(config)#intg0/1R_DMZ(config-if)#ipadd54R_DMZ(config-if)#noshu5.啟動(dòng)一臺(tái)win2003虛擬機(jī)，將它連接到VMnet4，用作?；饏^(qū)的服務(wù)器。為它配置地址/24、缺省網(wǎng)關(guān)54。在?；饏^(qū)服務(wù)器上用ping54命令測(cè)試它與?；饏^(qū)路由器間的互通性，可以ping通。

六、?；饏^(qū)（DMZ）各設(shè)備的路由表配置

?；饏^(qū)共兩個(gè)網(wǎng)段，這兩個(gè)網(wǎng)段都與?；饏^(qū)的路由器直連，?；饏^(qū)路由器的路由表已經(jīng)認(rèn)識(shí)它們，無(wú)需配置。?；饏^(qū)中，防火墻的路由表只認(rèn)識(shí)與它直連的網(wǎng)段，需要為防火墻的停火區(qū)接口配靜態(tài)路由或動(dòng)態(tài)路由，以便讓它能識(shí)別停火區(qū)中未與之直連的那個(gè)網(wǎng)段。下面用OSPF動(dòng)態(tài)路由來(lái)實(shí)現(xiàn)（動(dòng)態(tài)路由需要在?；饏^(qū)的路由器和防火墻的DMZ接口上都配置，以便它們能通過(guò)互相學(xué)習(xí)學(xué)到未知網(wǎng)段）：

1.為防火墻的?；饏^(qū)接口配動(dòng)態(tài)路由之前先測(cè)試，此時(shí)防火墻無(wú)法ping通停火區(qū)的服務(wù)器。2.用圖形界面為防火墻的DMZ接口配OSPF動(dòng)態(tài)路由，方法如下：（1）如圖2-2-4所示，在網(wǎng)絡(luò)管理員的win7電腦上，登錄進(jìn)入ASAv的ASDM圖形配置界面，找到Configuation>DeviceSetup>Routing>OSPF>Setup。在出現(xiàn)的“ProcessInstances”選項(xiàng)夾中勾選OSPFProcess1欄的“EnablethisOSPF...”選項(xiàng)（此處啟用第一個(gè)進(jìn)程，最多支持兩個(gè)OSPF進(jìn)程），在“OSPFProce...”選項(xiàng)填入“1”作為該OSPF進(jìn)程的進(jìn)程號(hào)（取值范圍是1-65535）。進(jìn)程號(hào)只在本設(shè)備有效，無(wú)需與其它設(shè)備匹配。圖2-2-4ASAv的圖形配置界面配置OSPF動(dòng)態(tài)路由（2）點(diǎn)擊上圖7號(hào)位的“Advanced”按鈕，然后在圖2-2-5所示彈框的“RouterID”選擇“IPAddress”選項(xiàng)，并在其后輸入“54”。圖2-2-5ASAv圖形配置界面配置OSPF動(dòng)態(tài)路由