《计算机网络安全防护技术（第二版）》 课件 第2章-任务2.1 通过图形界面管理防火墙

第2章

防火墙技术与入侵防御技术任务2.1通过图形界面管理防火墙编著：

秦燊劳翠金

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.1通过图形界面管理防火墙

一、在EVE-NG平台中搭建实验拓扑

通过VMwareWorkstation启动EVE-NG平台和五台虚拟机。通过浏览器连接和登陆到EVE-NG平台，在平台中搭建如图2-0-1所示的实验拓扑。拓扑包括一台防火墙、三台路由器和四朵云。这四朵云分别关联到刚才启动的五台VMware虚拟机，即三台Win2003虚拟机、一台win7虚拟机和一台KaliLinux虚拟机。具体如下：1.在EVE-NG平台中添加路由器和防火墙，方法如下：（1）在EVE-NG平台的实验界面空白处右击，在弹出菜单中选择“Node”，在出现的Template列表中选用“CiscovIOS”作为内网路由器、在“Name/prefix”框中为其命名为“R_Inside”；（2）用同样方法添加“Node”，选用“CiscovIOS”作为DMZ路由器、命名为“R_DMZ”；（3）用同样方法添加“Node”，选用“CiscovIOS”作为Outside路由器、命名为“R_Outside”；（4）用同样方法添加“Node”，选用“CiscoASAv”作为防火墙、保留默认名称“ASAv”。2.在EVE-NG平台中添加四朵云，用来关联五台VMware虚拟机，方法如下：（1）在EVE-NG平台的实验界面空白处右击，在弹出菜单中选择“Network”，在Type列表中选用“Cloud1”,在“Name/prefix”框中为其命名为Net1，用来关联内网的win2003服务器（该VMware虚拟机的网卡连到VMnet1）；（2）用同样方法添加“Network”中的“Cloud2”作为第2朵云，命名为Net2，用来关联网络管理员的win7计算机（该虚拟机的网卡连到VMnet2）；（3）用同样方法添加“Network”中的“Cloud3”作为第3朵云，命名为Net3，用来关联外网的win2003服务器（该虚拟机的网卡连到VMnet3）和外网的KaliLinux主机（该虚拟机的网卡也连到VMnet3）；（4）用同样方法添加“Network”中的“Cloud4”作为第4朵云，命名为Net4，用来关联DMZ区的win2003服务器（该虚拟机的网卡连到VMnet4）。3.按图2-0-1所示连线，完成实验拓扑的搭建。二、配置防火墙的管理接口1.启动防火墙，从用户模式进入特权模式，命令如下：ciscoasa>enablePassword://默认密码为空，此处直接回车即可2．从特权模式进入全局配置模式，命令如下：ciscoasa#configureterminal3．防火墙的各个接口需要划分到不同的安全区域，方法是为各个接口命名和分配安全级别。安全级别的取值范围是从0到100，安全级别高的区域是接受防火墙保护的区域，安全级别低的区域是相对危险的区域。下面，将管理接口的IP地址配为：54/24、接口命名为：Mgmt、安全级别设为：100，命令如下：ciscoasa(config)#intManagement0/0//从全局配置模式进入接口配置模式ciscoasa(config-if)#nameifMgmt//将管理接口命名为Mgmtciscoasa(config-if)#security-level100//将管理接口的安全级别设为100ciscoasa(config-if)#ipadd54//为管理接口配置IP地址ciscoasa(config-if)#noshu//开启管理接口ciscoasa(config-if)#exit//从接口配置模式返回全局配置模式ciscoasa(config)#exit//从全局配置模式模式返回特权模式4．查看接口IP地址的配置情况，命令如下：ciscoasa#showintipbInterfaceIP-AddressOK?MethodStatusProtocolManagement0/054YESmanualupup5．查看接口的名称和安全级别，命令如下：ciscoasa#shownameifInterfaceNameSecurityManagement0/0Mgmt100三、通过图形界面网管防火墙1．开启允许通过图形界面匿名连接和管理防火墙的功能，方法如下：（1）激活https，以便可以使用https访问和管理ASAv防火墙，命令如下：ciscoasa#configureterminalciscoasa(config)#httpserverenable（2）允许网段的电脑通过https连接防火墙的MGMT接口，命令如下：ciscoasa(config)#httpMgmt2.在网络管理员的win7电脑上，匿名管理防火墙。（1）启动win7虚拟机，将它的网卡连到VMnet2，用作网络管理员电脑。为它配置地址/24。关闭win7自带的防火墙。在win7上用“ping54”命令测试win7电脑与ASAv防火墙管理口的互通性，可以ping通。（2）为了通过图形界面网管ASAv防火墙，网络管理员的win7电脑需要安装32位的java运行环境。如图2-1-1所示，在客户机win7上，安装jre-8u101-windows-i586。图2-1-1安装JAVA运行环境（3）如图2-1-2所示，打开浏览器，输入网址54，点击“继续浏览此网站（不推荐）”选项。图2-1-2打开浏览器输入网址（4)如图2-1-3所示，点击上方的提示栏，在出现的菜单中点击的“运行加载项”。如图2-1-4所示，在弹出的“安全警告”框中，点击的“运行”按钮。最后，再点击图2-1-3所示的“InstallASDMLauncher”按钮。图2-1-3

安装ASDM的运行加载项界面（6）如图2-1-5所示，不用输入用户名和密码，直接点击“确定”按钮。图2-1-4

运行ActiveX控件界面图2-1-5Windows安全界面（7）如图2-1-6所示，点击“运行”按钮。（8）如图2-1-7所示，点击“Next”按钮，直至安装成功。图2-1-6

文件运行和保存界面图2-1-7ASDM安装向导（9）安装成功后，为虚拟机的当前状态保持快照。读者在进行实验时，请自行为各虚拟机的各种实验状态保存快照，以便在后续实验中遇到类似场景时，可通过还原快照的方式，快速完成新实验环境的搭建。后文不再提醒。（10）双击桌面的“CiscoASDM-IDMLauncher”图标，可通过ASDM图形界面连接和管理防火墙。如图2-1-8所示，输入防火墙的地址，不用输入用户名和密码，点击“OK”按钮。图2-1-8ASDM登录界面（11）如图2-1-9所示，点击“继续”按钮。（12）如图2-1-10所示，出现了ASAv的图形管理界面。图2-1-9

安全警告界面图2-1-10ASA管理界面（13）除了通过以上介绍的匿名访问和管理防火墙的方法，还可以通过本地用户名及密码访问和管理防火墙。方法是在防火墙上输入以下命令：ciscoasa(config)#usernameuser1passwordcisco