《计算机网络安全防护技术（第二版）》 课件 第2章-任务2.6 控制主机对外网的访问

第2章

防火墙技术与入侵防御技术任务2.6控制主机对外网的访问编著：

秦燊劳翠金

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.6控制主机对外网的访问一、控制主机只能访问指定网站通过对ASAv防火墙进行ACL和Policy-map配置，控制内网-的主机只能访问域名末尾是的网站。下面分别通过图形界面和命令实现。1.图形界面实现的方法如下：如图2-4-2、2-4-3、2-4-6、2-4-7、2-4-8、2-4-9、2-4-10、2-4-11、2-4-12所示，在网络管理员的win7电脑上，登录进入ASAv的ASDM图形配置界面，找到Configuation>Firewall>ServicePolicyRules，点击“Add”按钮。在弹出的对话框中，Interface选择“Inside”，点击“Next”按钮，在弹出的对话框中，创建的trafficClass用默认值“Inside-Class”，勾选“SourceandDestinationIPAddress(useACL)”，点击“Next”按钮,在弹出的对话框中，Action用默认值“Match”，Source设置为“/29”，Destination设置为“any”，Service设置为“tcp/http”，点击“Next”按钮，在弹出的对话框中，勾选“HTTP”，点击“Configure...”按钮，在弹出的对话框中选择“SelectanHTTPinspectmapforfinecontroloverinspection”选项，点击“Add”按钮，在弹出的对话框中，Name命名为“policy2”，点击“Details”按钮，在弹出的对话框中，选择“Inspections”选项夹，点击“Add”按钮，在弹出的对话框中，选择“SingleMatch”选项，MatchType选择“NoMatch”选项，Criterion选择“RequestHeaderField”选项，Field的Predefined值选择“host”，Value的RegularExpression点击“Manage...”按钮自行定义，在弹出的对话框中，Name命名为“url1”，Value值设置为“\.lcvc\.cn”，用来代表以“”结尾的网址，多次点击“OK”按钮，完成配置。图2-4-6图形界面开启对HTTP的监控1图2-4-7图形界面开启对HTTP的监控2图2-4-8图形界面开启对HTTP的监控3图2-4-9图形界面开启对HTTP的监控4图2-4-10图形界面开启对HTTP的监控5图2-4-11图形界面开启对HTTP的监控6图2-4-12图形界面开启对HTTP的监控72.与图形界面相同功能的命令如下：access-listfilter1extendedpermittcp48anyeqwwwclass-mapclass1matchaccess-listfilter1//class1用于匹配IP地址属于-的主机。regexurl1"\.lcvc\.cn"//正则表达式url1用于匹配“.”。class-maptypeinspecthttpmatch-allclass2matchnotrequestheaderhostregexurl1//class2用于匹配不是以“.”结尾的网站。policy-maptypeinspecthttppolicy1classclass2drop-connectionlog//对于符合class2条件的网站，即不以“.”结尾的网站，拒绝其连接并做日志记录。policy-mappolicy2classclass1inspecthttppolicy1//对于符合class1条件的主机，即IP地址属于-的主机，调用policy1这条policy-map。service-policypolicy2interfaceInside//将policy2应用到Inside接口上。3.测试内网-的主机能否访问外网和这两个网站。（1）在内网主机上测试。为避免上次实验缓存对本次测试的影响，先关闭浏览器，再重新打开浏览器。（2）在浏览器上，输入，可正常访问。（3）在浏览器上，输入，无法访问。4.测试内网不属于-的主机能否访问外网和这两个网站。（1）将内网主机的地址改为。（2）为避免上次实验缓存对本次测试的影响，先关闭浏览器，再重新打开浏览器。（3）在浏览器上，输入，可正常访问。（4）在浏览器上，输入，可正常访问。二、禁止主机访问指定网站禁止内网的所有主机访问域名末尾是的网站，图形界面的配置请读者参看前例自行完成，用命令行配置的方法如下：1.在ASAv防火墙上，输入以下命令：access-listfilter2extendedpermittcpanyanyeqwwwclass-mapclass3matchaccess-listfilter2regexurl2"\.game\.com"class-maptypeinspecthttpmatch-allclass4matchrequestheaderhostregexurl2policy-maptypeinspecthttppolicy3classclass4drop-connectionlogpolicy-mappolicy2classclass3inspecthttppolicy3//policy2已经在上例中应用到了Inside接口上，因此，不需要再次执行service-policypolicy2interfaceInside命令。2.测试内网IP地址不属于-范围的主机能否正常访问外网和这两个网站。我们以IP地址为的主机进行测试：（1）为避免上次实验缓存对本次测试的影响，先关闭浏览器，再重新打开浏