防火墙基本管理环境

内容提要介绍防火墙外观与接口介绍防火墙管理环境搭建任务一：防火墙外观与接口介绍DCFW-1800E具有专门的Console口，专门的区域接口。串行部署于TCP/IP网络中。将网络一般划分为内、外、服务器区三个区域，对各区域实施安全策略以保护重要网络。(1)打开防火墙包装箱，取出设备，从外观认识防火墙各接口DCFW-1800E-V2背板接口登录防火墙并熟悉各配置模式(2)使用设备自带的控制线缆将防火墙与PC的串行接口连接(3)配置PC机的超级终端属性，接入防火墙命令行模式。注意：防火墙中有两种默认的管理用户：超级管理用户缺省管理员用户口令和密码是：login：adminpassword：admin(4)输入管理员用户口令和密码，可进入防火墙的执行模式，该模式的提示符如下所示，包含了一个数字符号（#）：

DCFW-1800#通过PC机测试与防火墙的连通性(1)使用交叉双绞线连接防火墙和PC机，此时防火墙的LAN-link灯亮起，表明网络的物理连接已经建立。观察指示灯状态为闪烁，表明有数据在尝试传输。(2)此时打开PC机的连接状态，发现只有数据发送，没有接收到的数据，这是因为防火墙的端口默认状态下都会禁止向未经验证和配置的设备发送数据，保证数据的安全。登录防火墙并熟悉各配置模式实训相关知识

(1)防火墙是提供信息安全服务，实现网络和信息安全的基础设施。具体是指设置在内部可信网络（trust）和外部不可信网络(untrust)之间或网络安全区域(dmz)之间的安全网关。它是不同网络或网络安全区域之间信息的唯一出入口，

能根据企业的安全政策监视和抛弃应用层的网络流量，且本身具有较强的抗攻击能力。

(2)防火墙的初始配置

像路由器和交换机一样，在使用防火墙之前，需要经过基本的初始配置。防火

墙的初始配置也是通过console口与PC的串口连接，再通过超级终端程序进行选项配置，这与我们所学的交

换机、路由器初始配置方法是一样的。

练习

前边介绍未配置防火墙的IP

地址等信息，课上可从防火墙的前面板对防火墙进行状态的观察，熟悉防火墙各种配置模式之间的切换和简化配置命令的书写模式。

任务二：防火墙管理环境搭建1、实训目的学会使用Telnet、SSH、WebUI方式登录防火墙。2、应用环境V2防火墙可以使用telnet、SSH、WebUI方式进行管理，使用者可以很方便的使用几种方式进行管理。本实训使用DCFW-1800E-V2防火墙，软件版本为：DCFOS-2.0R4。3、实训设备(1)防火墙设备1台(2)Console线1条(3)交叉网络线1条(4)PC机1台使用出厂缺省配置登陆缺省出厂时防火墙Eth0/0接口IP为/24可将管理主机IP配置为/24网段IP与防火墙eth0/0接口相连，通过WEB登陆防火墙管理界面在浏览器地址栏中输入以下两种URL均可

---经过SSL加密推荐使用

7缺省登陆用户名：admin密码：admin通过Console口管理8在出厂缺省配置被修改或其他无法通过WEBUI管理的情况下可通过console口登陆管理终端登陆参数设置如下：参数数值波特率9600bit/s数据位8停止位1校验/流控无初始登陆用户名：admin密码：adminConsole口初始配置步骤对防火墙的初始管理配置包括以下几步：将接口加入指定的安全域（先）指定接口IP（后）指定接口管理服务指定接口管理IP(可选）添加可信任的管理主机IP9先将接口加入安全域再配置IP地址login:adminpassword:DCFW-1800#configDCFW-1800(config)#inteth0/1DCFW-1800(config-if-eth0/1)#ipaddress/242008-06-2614:56:14,EventERR@NET:Failedtoexecuteconfigurationcommandinterfaceethernet0/1:ipaddresserror:theinterfacedoesn'tbindtoanyzone,pleasebindtoazonebeforeconfigipaddress10如果接口没有加入安全域前先添加接口IP将出现如上错误提示接口配置DCFW-1800(config-if-eth0/1)#zoneuntrust--将接口添加到安全域中DCFW-1800(config-if-eth0/1)#ipaddress/24--为接口配置IP地址DCFW-1800(config-if-eth0/1)#managehttp--对该接口启用http管理服务DCFW-1800(config-if-eth0/1)#managehttps--对该接口启用https管理服务DCFW-1800(config-if-eth0/1)#managetelnet--对该接口启用telnet管理服务DCFW-1800(config-if-eth0/1)#managessh--对该接口启用ssh管理服务DCFW-1800(config-if-eth0/1)#manageping–该接口允许pingDCFW-1800(config-if-eth0/1)#manageip--为接口指定管理IP（可选）（建议仅仅开放需要的管理服务，推荐WEBUI采用https，CLI采用SSH)具有安全意义的步骤添加可信任的管理主机DCFW-1800(config)#adminhost?

anyAnyipaddressA.B.C.DHostIPaddressDCFW-1800(config)#adminhost？

anyAllowedanylogintypehttpAllowedloginfromhttphttpsAllowedloginfromhttpssshAllowedloginfromsshtelnetAllowedloginfromtelnetDCFW-1800(config)#adminhosthttps这表示/24网段的设备都具备对防火墙的https管理权限（完成以上配置就可通过WEBUI方式对防火墙进行管理）具有安全意义的步骤修改缺省管理员admin口令DCN(config)#adminuseradminDCN(config-admin)#passwordq!Jiwx$*lc2H64cd#修改缺省的管理服务端口DCN(config)#httpport8088DCN(config)#httpsport1211创建具有不同权限的管理员需要使用admin账户创建新的管理员账户，并可对其修改、删除。使用admin添加的新管理员账户可赋予不同的权限（读、写）使用admin添加的新管理员账户可赋予不同的管理方式（Console、Telnet、SSH、HTTP、HTTPS）恢复出厂设置CLI命令:unsetal