《计算机网络安全防护技术（第二版）》课件 （秦燊）第2章-防火墙技术与入侵防御技术

第2章

防火墙技术与入侵防御技术任务2.1通过图形界面管理防火墙

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.1通过图形界面管理防火墙

一、在EVE-NG平台中搭建实验拓扑

通过VMwareWorkstation启动EVE-NG平台和五台虚拟机。通过浏览器连接和登陆到EVE-NG平台，在平台中搭建如图2-0-1所示的实验拓扑。拓扑包括一台防火墙、三台路由器和四朵云。这四朵云分别关联到刚才启动的五台VMware虚拟机，即三台Win2003虚拟机、一台win7虚拟机和一台KaliLinux虚拟机。具体如下：1.在EVE-NG平台中添加路由器和防火墙，方法如下：（1）在EVE-NG平台的实验界面空白处右击，在弹出菜单中选择“Node”，在出现的Template列表中选用“CiscovIOS”作为内网路由器、在“Name/prefix”框中为其命名为“R_Inside”；（2）用同样方法添加“Node”，选用“CiscovIOS”作为DMZ路由器、命名为“R_DMZ”；（3）用同样方法添加“Node”，选用“CiscovIOS”作为Outside路由器、命名为“R_Outside”；（4）用同样方法添加“Node”，选用“CiscoASAv”作为防火墙、保留默认名称“ASAv”。2.在EVE-NG平台中添加四朵云，用来关联五台VMware虚拟机，方法如下：（1）在EVE-NG平台的实验界面空白处右击，在弹出菜单中选择“Network”，在Type列表中选用“Cloud1”,在“Name/prefix”框中为其命名为Net1，用来关联内网的win2003服务器（该VMware虚拟机的网卡连到VMnet1）；（2）用同样方法添加“Network”中的“Cloud2”作为第2朵云，命名为Net2，用来关联网络管理员的win7计算机（该虚拟机的网卡连到VMnet2）；（3）用同样方法添加“Network”中的“Cloud3”作为第3朵云，命名为Net3，用来关联外网的win2003服务器（该虚拟机的网卡连到VMnet3）和外网的KaliLinux主机（该虚拟机的网卡也连到VMnet3）；（4）用同样方法添加“Network”中的“Cloud4”作为第4朵云，命名为Net4，用来关联DMZ区的win2003服务器（该虚拟机的网卡连到VMnet4）。3.按图2-0-1所示连线，完成实验拓扑的搭建。二、配置防火墙的管理接口1.启动防火墙，从用户模式进入特权模式，命令如下：ciscoasa>enablePassword://默认密码为空，此处直接回车即可2．从特权模式进入全局配置模式，命令如下：ciscoasa#configureterminal3．防火墙的各个接口需要划分到不同的安全区域，方法是为各个接口命名和分配安全级别。安全级别的取值范围是从0到100，安全级别高的区域是接受防火墙保护的区域，安全级别低的区域是相对危险的区域。下面，将管理接口的IP地址配为：54/24、接口命名为：Mgmt、安全级别设为：100，命令如下：ciscoasa(config)#intManagement0/0//从全局配置模式进入接口配置模式ciscoasa(config-if)#nameifMgmt//将管理接口命名为Mgmtciscoasa(config-if)#security-level100//将管理接口的安全级别设为100ciscoasa(config-if)#ipadd54//为管理接口配置IP地址ciscoasa(config-if)#noshu//开启管理接口ciscoasa(config-if)#exit//从接口配置模式返回全局配置模式ciscoasa(config)#exit//从全局配置模式模式返回特权模式4．查看接口IP地址的配置情况，命令如下：ciscoasa#showintipbInterfaceIP-AddressOK?MethodStatusProtocolManagement0/054YESmanualupup5．查看接口的名称和安全级别，命令如下：ciscoasa#shownameifInterfaceNameSecurityManagement0/0Mgmt100三、通过图形界面网管防火墙1．开启允许通过图形界面匿名连接和管理防火墙的功能，方法如下：（1）激活https，以便可以使用https访问和管理ASAv防火墙，命令如下：ciscoasa#configureterminalciscoasa(config)#httpserverenable（2）允许网段的电脑通过https连接防火墙的MGMT接口，命令如下：ciscoasa(config)#httpMgmt2.在网络管理员的win7电脑上，匿名管理防火墙。（1）启动win7虚拟机，将它的网卡连到VMnet2，用作网络管理员电脑。为它配置地址/24。关闭win7自带的防火墙。在win7上用“ping54”命令测试win7电脑与ASAv防火墙管理口的互通性，可以ping通。（2）为了通过图形界面网管ASAv防火墙，网络管理员的win7电脑需要安装32位的java运行环境。如图2-1-1所示，在客户机win7上，安装jre-8u101-windows-i586。图2-1-1安装JAVA运行环境（3）如图2-1-2所示，打开浏览器，输入网址54，点击“继续浏览此网站（不推荐）”选项。图2-1-2打开浏览器输入网址（4)如图2-1-3所示，点击上方的提示栏，在出现的菜单中点击的“运行加载项”。如图2-1-4所示，在弹出的“安全警告”框中，点击的“运行”按钮。最后，再点击图2-1-3所示的“InstallASDMLauncher”按钮。图2-1-3

安装ASDM的运行加载项界面（6）如图2-1-5所示，不用输入用户名和密码，直接点击“确定”按钮。图2-1-4

运行ActiveX控件界面图2-1-5Windows安全界面（7）如图2-1-6所示，点击“运行”按钮。（8）如图2-1-7所示，点击“Next”按钮，直至安装成功。图2-1-6

文件运行和保存界面图2-1-7ASDM安装向导（9）安装成功后，为虚拟机的当前状态保持快照。读者在进行实验时，请自行为各虚拟机的各种实验状态保存快照，以便在后续实验中遇到类似场景时，可通过还原快照的方式，快速完成新实验环境的搭建。后文不再提醒。（10）双击桌面的“CiscoASDM-IDMLauncher”图标，可通过ASDM图形界面连接和管理防火墙。如图2-1-8所示，输入防火墙的地址，不用输入用户名和密码，点击“OK”按钮。图2-1-8ASDM登录界面（11）如图2-1-9所示，点击“继续”按钮。（12）如图2-1-10所示，出现了ASAv的图形管理界面。图2-1-9

安全警告界面图2-1-10ASA管理界面（13）除了通过以上介绍的匿名访问和管理防火墙的方法，还可以通过本地用户名及密码访问和管理防火墙。方法是在防火墙上输入以下命令：ciscoasa(config)#usernameuser1passwordciscoprivilege15//创建本地用户及密码ciscoasa(config)#aaaauthenticationhttpconsoleLOCAL//开启https的本地认证此时管理员再通过电脑用ASDM图形界面访问防火墙时，会弹出如图2-1-11所示的认证对话框中，正确输入用户名user1和密码cisco后，才能继续后续的操作。图2-1-11

用户认证界面谢谢欣赏第2章

防火墙技术与入侵防御技术任务2.2配置防火墙的安全区域

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.2配置防火墙的安全区域

根据各网络的可信度及其是否需要保护，可将防火墙所连接的各网络划分到不同安全级别的安全区域中。防火墙的各个接口属于不同的安全区域，每个接口都需要命名和分配安全级别，安全级别的取值范围是0到100。通过命令配置接口时，命名为Inside（不区分大小写）的接口的安全级别就会自动被设置为100，其它名称的接口的安全级别会自动设为0。管理员可手动调整各接口的安全级别。安全级别高的区域是接受防火墙保护的区域，安全级别低的区域是相对危险的区域。防火墙会放行从高安全级流向低安全级的流量，阻拦从低安全级流向高安全级的流量。

前面，我们已经通过命令为防火墙的管理接口（Mgmt）配置了IP地址、设置了接口的名称和接口的安全级别。防火墙的其它接口可用类似的命令来配置，也可通过图形界面来配置。下面，我们分别通过图形界面和通过命令的方式为防火墙的其它接口配置IP地址、开启接口、设置接口名称、设置接口的安全级别。

一、外网区域各设备地址的配置

1.外网是最不安全的区域，所以我们将防火墙外网接口的安全级别规划为0。下面，我们配置防火墙外网接口Gi0/2的IP地址为：54/24、接口名称为：Outside、安全级别为：0。通过图形界面配置防火墙外网接口的方法如下：图2-2-1ASAv图形配置界面（1）如图2-2-1所示，在ASAv的图形配置界面中，点击”Configuraiton”,选中其中的“DeviceSetup”，再选择“InterfaceSetting”下的“Interfaces”，选中“GigabitEthernet0/2”。（2）点击右侧的“Edit”按钮，在弹出的“EditInterface”对话框中，为“InterfaceName”项输入“Outside”，“SecurityLevel”项输入“0”，勾选上“EnableInterface”前的复选框，“IPAddress”项填入“0”,”SubnetMask”项选择“”，点击“OK”按钮，点击“Apply”按钮，完成配置。2.除了用图形界面配置，还可用命令配置，相同功能的命令如下：ciscoasa(config)#intg0/2ciscoasa(config-if)#nameifOutsideINFO:Securitylevelfor"Outside"setto0bydefault.//提示接口的安全级别被自动设置为0ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.启动外网路由器，将其命名为R_Outside，将它与防火墙相连的接口g0/0的地址配置为/24，在路由器上通过ping命令测试它与防火墙的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_OutsideR_Outside(config)#intg0/0R_Outside(config-if)#ipaddR_Outside(config-if)#noshuR_Outside(config-if)#endR_Outside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//测试结果为“！”号，表示成功ping通了防火墙4.外网路由器的g0/1接口连接了外网服务器，为g0/1接口配置地址54/24，命令如下：R_Outside#configureterminalR_Outside(config)#intg0/1R_Outside(config-if)#ipadd54R_Outside(config-if)#noshu5.启动一台win2003虚拟机，将它连接到VMnet3，用作外网服务器。为它配置地址/24、缺省网关54、首选DNS服务器。用“ping54”命令测试它与外网路由器间的互通性，可以ping通。6.启动一台KaliLinux虚拟机，将它连接到VMnet3，用作外网的渗透测试主机。为它配置地址0/24、缺省网关54、首选DNS服务器。方法如下：（1）编辑interfaces文件，配置eth0网卡，命令如下：root@kali:~#vim/etc/network/interfacesautoeth0ifaceeth0inetstaticaddress0netmaskgateway54pre-upifconfigeth0hwether60:60:60:60:60:60按ESC键并输入:wq命令，存盘退出。（2）编辑DNS配置文件,将设置为DNS服务器的地址，命令如下：root@eve-ng:~#vim/etc/resolv.confnameserver//输入的内容按ESC键并输入:wq命令，存盘退出。（3）重启eth0网卡，使配置生效。命令如下：root@kali:~#ifdowneth0root@kali:~#ifupeth0（4）在外网KaliLinux主机上用“ping54”命令测试它与外网路由器间的互通性，可以ping通。

二、外网区域各设备路由表的配置

外网共两个网段，外网路由器与这两个网段直连，所以其路由表已认识这两个网段，无需配置路由表。防火墙只与外网的一个网段直连，需要为防火墙的外网接口配一条静态路由或默认路由或动态路由，用来识别非直连的那个网段。因为现实中的外网由成千上万的网段组成，外出流量比较适合于用默认路由来实现，所以此处我们采用默认路由，方法如下：

1.防火墙外网接口配默认路由之前测试，防火墙ping不通外网服务器。

2.用图形界面为防火墙的外网接口配默认路由，方法如下：

（1）如图2-2-2所示，在网络管理员的win7电脑上，进入ASAv的图形配置界面ASDM，找到Configuration>DeviceSetup>Routing>StaticRoutes,点击“Add”按钮，接口Interface选择“Outside”，Network设置为“0/0”用作目标，GatewayIP设置为“”用作去往目标的下一跳，点击“OK”按钮后，点击“Apply”按钮完成配置。

（2）在防火墙ASAv上进行ping外网服务器测试，能ping通。

3.与用图形界面为防火墙的外网接口配默认路由一样功能的命令如下：ciscoasa(config)#routeOutside00图2-2-2ASAv的图形配置界面配置默认路由三、内网区域各设备地址的配置1.我们规划防火墙内网接口Gi0/0的IP地址为：54/24、接口名称为：Inside、安全级别为：100。用图形界面配置防火墙内网接口与之前介绍的配置外网接口的方法类似，请读者自行完成。2.除了用图形界面，也可用命令实现相同功能，配置防火墙内网接口的命令如下：ciscoasa(config)#intg0/0ciscoasa(config-if)#nameifInsideINFO:Securitylevelfor"Inside"setto100bydefault.//当命名为Inside时，安全级别自动设为100ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.启动内网的路由器，将其命名为R_Inside，将它与防火墙相连的接口g0/0的地址配置为/24，在内网路由器上通过ping命令测试它与防火墙的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_InsideR_Inside(config)#intg0/0R_Inside(config-if)#ipaddR_Inside(config-if)#noshuR_Inside(config-if)#endR_Inside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//测试结果“！”号表示ping通了目标

4.内网路由器连接内网电脑的接口是g0/1，为该接口配置地址54/24。命令如下：R_Inside(config)#intg0/1R_Inside(config-if)#ipadd54R_Inside(config-if)#noshu

5.启动一台win2003虚拟机，将它连接到VMnet1，用作内网电脑。为它配置地址/24、缺省网关54、首选DNS服务器。在内网电脑上用ping54命令测试它与内网路由器间的互通性，可以ping通。四、内网区域各设备的路由表配置内网共两个网段，这两个网段都与内网路由器直连，内网路由器的路由表已经认识这两个网段，无需再配置。内网中与防火墙直连的网段只有一个，防火墙的路由表只认识这个直连网段，需要为防火墙的内网接口配静态路由或动态路由，以便让它认识这个非直连网段，下面用静态路由来实现：1.防火墙的内网接口配静态路由之前测试，防火墙ping不通内网电脑。2.用图形界面为防火墙的内网接口配静态路由，方法如下：（1）如图2-2-3所示，在网络管理员的win7电脑上，进入ASAv的ASDM图形配置界面，找到Configuration>DeviceSetup>Routing>StaticRoutes,点击“Add”按钮，接口Interface选择“Inside”，Network设置为“/24”作为目标网段，GatewayIP设置为“”作为去往目标的下一跳地址，点击“OK”后，点击“Apply”按钮完成配置。

（2）配置完成之后，防火墙ASAv能ping通内网电脑。

3.除了用图形界面为防火墙的内网接口配静态路由，也可用命令实现，命令如下：ciscoasa(config)#routeInside4.为防火墙的内网接口配好静态路由后，在ASAv上测试，它可以ping通内网电脑。图2-2-3ASAv的图形配置界面配置静态路由五、停火区（DMZ）各设备地址的配置停火区（DMZ）用于存放对外提供服务的服务器，可供内网和外网同时访问，其安全级别应该处于内网和外网之间，我们将其安全级别规划为50。1.规划防火墙内网接口Gi0/1的IP地址为：54/24、接口名称为：DMZ、安全级别为：50。请读者参照图形界面配置外网接口的方法，用图形界面实现防火墙停火区接口的配置。2.除了用图形界面配置，也可用命令实现相同的功能，命令如下：ciscoasa(config)#intg0/1ciscoasa(config-if)#nameifDMZciscoasa(config-if)#security-level50ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.启动停火区的路由器，将其命名为R_DMZ，将它与防火墙相连的接口g0/0的地址配置为/24，在停火区路由器上通过ping命令测试它与防火墙的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_DMZR_DMZ(config)#intg0/0R_DMZ(config-if)#ipaddR_DMZ(config-if)#noshuR_DMZ(config-if)#endR_DMZ#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//测试结果的“！”号表示成功ping通防火墙4.停火区路由器连接停火区服务器的接口是g0/1，为g0/1接口配置地址54/24。命令如下：R_DMZ#configureterminalR_IDMZ(config)#intg0/1R_DMZ(config-if)#ipadd54R_DMZ(config-if)#noshu5.启动一台win2003虚拟机，将它连接到VMnet4，用作停火区的服务器。为它配置地址/24、缺省网关54。在停火区服务器上用ping54命令测试它与停火区路由器间的互通性，可以ping通。

六、停火区（DMZ）各设备的路由表配置

停火区共两个网段，这两个网段都与停火区的路由器直连，停火区路由器的路由表已经认识它们，无需配置。停火区中，防火墙的路由表只认识与它直连的网段，需要为防火墙的停火区接口配静态路由或动态路由，以便让它能识别停火区中未与之直连的那个网段。下面用OSPF动态路由来实现（动态路由需要在停火区的路由器和防火墙的DMZ接口上都配置，以便它们能通过互相学习学到未知网段）：

1.为防火墙的停火区接口配动态路由之前先测试，此时防火墙无法ping通停火区的服务器。2.用图形界面为防火墙的DMZ接口配OSPF动态路由，方法如下：（1）如图2-2-4所示，在网络管理员的win7电脑上，登录进入ASAv的ASDM图形配置界面，找到Configuation>DeviceSetup>Routing>OSPF>Setup。在出现的“ProcessInstances”选项夹中勾选OSPFProcess1栏的“EnablethisOSPF...”选项（此处启用第一个进程，最多支持两个OSPF进程），在“OSPFProce...”选项填入“1”作为该OSPF进程的进程号（取值范围是1-65535）。进程号只在本设备有效，无需与其它设备匹配。图2-2-4ASAv的图形配置界面配置OSPF动态路由（2）点击上图7号位的“Advanced”按钮，然后在图2-2-5所示弹框的“RouterID”选择“IPAddress”选项，并在其后输入“54”。图2-2-5ASAv图形配置界面配置OSPF动态路由的高级属性弹框（3）如图2-2-6所示，转到“Area/Networks”标签，点击“Add”按钮，选择OSPF进程“1”，区域填写“0”。AreaType保留默认值“No...”(即Normal)，宣告的网段填写“”和“”,点击“Add”按钮，点击“OK”按钮，点击“Apply”按钮。此时防火墙的OSPF已经配置完成，与防火墙相连的停火区路由器也要进行OSPF配置，以便互相学习。图2-2-6ASAv图形配置界面OSPF动态路由的area配置框

3.除了用图形界面，也可用命令为防火墙的DMZ接口配OSPF动态路由，命令如下：ciscoasa(config)#routerospf1ciscoasa(config-router)#router-id54ciscoasa(config-router)#networkarea0

4.在DMZ的路由器上，配置OSPF动态路由，命令如下：R_DMZ(config)#routerospf1R_DMZ(config-router)#router-idR_DMZ(config-router)#network55area0R_DMZ(config-router)#network55area0两台配置了OSPF动态路由的设备可以互相学习对方宣告的网段，从而防火墙的路由表中学到了网段。

5.在ASAv上测试防火墙能否ping通停火区的服务器，命令如下：ciscoasa#pingSending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//测试结果中的“！”表示ping通了谢谢欣赏第2章

防火墙技术与入侵防御技术任务2.3远程管理防火墙

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.3远程管理防火墙一、使用telnet远程管理ASAv防火墙1.允许内网用户通过telnet访问管理ASAv防火墙。命令如下：ciscoasa(config)#telnet00Inside2.在Inside主机上，输入telnet54，系统提示输入密码，因为防火墙上还未为telnnet设置过密码，因此，主机无法进一步连接。3.设置telnet访问密码，使内网用户通过该密码（不使用用户名），能用telnet命令连接到ASAv防火墙。方法如下：（1）在防火墙上，输入如下命令：ciscoasa(config)#passwd123（2）在Inside主机上，输入telnet命令连接防火墙。命令如下：C:\DocumentsandSettings\Administrator>telnet54UserAccessVerificationPassword://在此输入密码123，不会显示出来，输入完成后，按回车键即可ciscoasa>//成功连接到了防火墙3.除了只用密码远程连接防火墙，还可要求远程连接的用户通过ASAv的本地用户名及密码验证后，才能通过telnet连接到防火墙。方法如下：（1）在防火墙上，输入如下命令：ciscoasa(config)#aaaauthenticationtelnetconsoleLOCAL（2）之前已经在防火墙上创建了本地用户user1和密码cisco。此时，在Inside主机上，输入telnet命令，再按提示输入用户名user1，密码cisco，就可成功连接到防火墙上：C:\DocumentsandSettings\Administrator>telnet54UserAccessVerificationUsername:user1//输入用户名Password:*****//输入密码ciscoasa>//成功连接到防火墙三、使用ssh管理ASAv防火墙由于telnet的密码是明文传输的，不太安全，所以建议改用经过加密处理的ssh来远程管理防火墙。下面，先介绍SSH的配置方法。SSH的工作原理留待下一章数据加密技术中讲解。（一）使用ssh管理ASAv防火墙，配置方法如下：1.在防火墙上，输入以下命令，允许内网和外网的用户通过ssh管理ASAv防火墙。ciscoasa(config)#ssh00Insideciscoasa(config)#ssh00Outside2.生成用于SSH连接的密钥对，方法如下：ciscoasa(config)#cryptokeygeneratersamodulus7683.为防火墙配置本地用户名及密码，启用SSH的本地验证，命令如下：ciscoasa(config)#usernameuser1passwordciscoprivilege15ciscoasa(config)#aaaauthenticationsshconsoleLOCAL（二）在内网路由器上远程连接防火墙，命令如下：R_Inside#ssh-luser154Password://此处输入密码ciscociscoasa>//成功连接到了防火墙（三）在外网路由器上远程连接防火墙，命令如下：R_Outside#ssh-luser154Password://此处输入密码ciscociscoasa>//成功连接到了防火墙谢谢欣赏第2章

防火墙技术与入侵防御技术任务2.4安全区域间通过NAT访问

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.4安全区域间通过NAT访问

NAT是一种网络地址转换技术，分为静态NAT、动态NAT、PAT等。静态NAT可实现内部地址与外部地址的一对一转换，可用于服务器对外提供服务，同时对外隐藏内部地址。PAT（PortAddressTranslation）也称为NAPT（NetworkAddressPortTranslation），可实现内网多台主机共用一个外部地址访问其它区域，不同主机的区分通过分配不同的端口号来实现，对其他区域隐藏主机的内部地址，避免来自其它区域的攻击。下面首先介绍如何在防火墙上配置PAT，实现内网访问停火区（DMZ）的WEB服务、外网的WEB服务和外网的DNS服务。然后介绍如何配置静态NAT，实现外网用户访问停火区（DMZ）的WEB服务。具体任务如下：1.在DMZ区域的win2003服务器上安装WEB服务（IIS）。通过配置IIS，创建一个网站，为该网站新建首页。2.在防火墙上配置PAT，实现内网主机对停火区（DMZ）的WEB服务的访问，对停火区隐藏主机的内部地址。3.在外网的win2003服务器上安装DNS服务和WEB服务（IIS）。通过配置DNS服务，实现对域名和的解释，让它们都指向外网的WEB服务器。通过配置IIS，创建两个网站，分别是和，为这两个网站新建首页。4.在防火墙上配置PAT，实现内网主机对外网两个网站和的访问，访问时对外隐藏主机的内部地址。5.在防火墙上配置静态NAT，实现外网对停火区（DMZ）的WEB服务的访问，访问的地址是经过NAT转换后的停火区WEB服务器的外部地址，对外隐藏WEB服务器的内部地址。具体配置如下：一、在停火区（DMZ）架设WEB服务器1.在DMZ区域的win2003服务器上安装WEB服务（IIS）。配置IIS，先停用默认网站，再创建一个新网站，为该网站新建首页。2.在服务器的浏览器上输入“/”测试，网站可正常访问。二、内网通过网络地址转换（NAT）实现对DMZ服务器的访问在防火墙上配置PAT，实现内网主机对停火区（DMZ）的WEB服务的访问，并隐藏主机的内部地址。1.通过图形界面为防火墙配置PAT的方法如下：（1）如图2-4-1所示，在网络管理员的win7电脑上，登录进入ASAv的ASDM图形配置界面，找到Configuation>Firewall>NATRules，点击“Add”按钮。在弹出的对话框中，OriginalPacket栏的SourceInterface选择“Inside”，DestinationInterface选择“DMZ”，TranslatedPacket栏的SourceNATType选“DynamicPAT(Hide)”，SourceAddress选“DMZ”，点击“OK”按钮，点击“Apply”按钮。图2-4-1图形界面中为防火墙配置PAT2.与图形界面配置PAT相同功能的命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_1subnetnat(Inside,DMZ)dynamicpat-poolinside_dmz3.内网访问停火区（DMZ）所需的路由配置（1）内网路由器的路由表中没有DMZ的网段信息，可通过给内网路由器配置默认路由，下一跳指向防火墙，由防火墙负责进一步的转发。命令如下：R_Inside(config)#iproute54（2）之前的配置已经使防火墙的路由表认识了内网、外网和停火区（DMZ）的所有网段，防火墙无需再作路由配置。（3）内网电脑的地址到达停火区时，已经被转换成停火区网段的地址，所以停火区路由器的路由表无需认识内网地址，也无需再作路由配置。4.在内网电脑的浏览器中，输入进行测试，结果是内网可以访问DMZ区域的网站。三、在外网的win2003服务器上安装DNS服务和WEB服务（IIS）。通过配置DNS服务，实现对域名和的解释，让它们都指向外网的WEB服务器。通过配置IIS，创建两个网站，分别是和，为这两个网站新建首页。在服务器自身的浏览器中，输入进行测试，结果是可以访问网站。输入进行测试，结果是可以访问网站。四、在防火墙上配置PAT，实现内网主机对外网两个网站和的访问，访问时对外隐藏主机的内部地址。方法可参看图2-4-1所示用PAT实现的对DMZ服务器的访问。同样也可以通过命令实现，具体命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_2subnetnat(Inside,Outside)dynamicinterface因为沿途设备的路由表已经具备所需路由条目，所以在内网电脑的浏览器中，输入进行测试，结果是内网可以访问外网的网站。在内网电脑的浏览器中，输入进行测试，结果是内网可以访问外网的网站。五、在防火墙上配置静态NAT，实现外网对停火区（DMZ）的WEB服务的访问，访问时访问的是停火区（DMZ）的WEB服务器经过NAT转换后的外部地址，而隐藏了WEB服务器的内部地址。1.通过图形界面为防火墙配置静态NAT的方法，请读者参考前例实现。2.通过命令配置的方法，可在ASAv防火墙上，输入以下命令实现：objectnetworkDMZ_Serverhostnat(DMZ,Outside)static3.通过在ASAv防火墙上配置ACL，允许外网访问停火区的WEB服务，命令如下：access-listOutside_DMZextendedpermittcpanyobjectDMZ_Servereqwwwaccess-groupOutside_DMZininterfaceOutside4.沿途设备所需的路由配置，思路如下：（1）停火区（DMZ）路由器的路由表中没有外网的网段信息，可通过给停火区（DMZ）路由器配置默认路由，下一跳指向防火墙，由防火墙负责进一步的转发。命令如下：R_DMZ(config)#iproute54（2）之前的配置使防火墙的路由表已经认识了内网、外网和停火区（DMZ）的所有网段，防火墙无需再作路由配置。（3）DMZ服务器的地址进入外网时，会经NAT转换为，所以要为外网路由器配置去往网段的路由，命令如下：R_Outside(config)#iproute545.在外网浏览器上输入进行测试，能成功访问DMZ区域的WEB服务。谢谢欣赏第2章

防火墙技术与入侵防御技术任务2.5控制穿越防火墙的流量

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.5控制穿越防火墙的流量

一、通过监控ICMP实现不同区域间的互ping

ASA是状态化监控防火墙，通过安全级别来控制流量对防火墙的穿越。默认情况下，高安全级别可访问低安全级别，并监控TCP和UDP流量，维护它们的状态化信息。例如telnet属于tcp流量，从内部的高安全级别的接口去往外部低安全级别的外网，默认是放行的，telnet出去的同时，防火墙记录了telnet的状态化信息。回来时，从低安全级别的外部接口回到高安全级别的内部接口，默认是不放行的，但由于记录了从内到外的状态化信息，知道这是telnet返回的流量，就能放行了。

而ping不属于防火墙默认的状态监控范围。互相之间能ping通的含义是指icmp数据包可以去到目标，并从目标返回。ping的时候，icmp数据包可以从高安全级别的内网去往低安全级别的外网，但却无法从低安全级别的外网返回高安全级别的内网。若要使ping能穿越ASA防火墙返回，就要手动配置防火墙，让它监控icmp的状态化信息。监控icmp需要用到：service-policy、policy-map和class-map。其中：service-policy用来指定策略是对某个接口生效，还是对所有接口生效。policy-map用来指定策略的行为，如：进行状态化监控、做优先级队列、限制连接数量等。1.命令行方式的配置，分析如下：用“showrun”命令和“class-mapinspection_default”下的“match?”命令，可以查看系统默认的MPF（ModularPolicyFramework）。通过这些命令，可以看到：service-policyglobal_policyglobal ①policy-mapglobal_policy ②classinspection_default

③inspectip-options ④inspectnetbiosinspectrtspinspectsunrpcinspecttftpinspectxdmcpinspectdnspreset_dns_mapinspectftpinspecth323h225inspecth323rasinspectrshinspectesmtpinspectsqlnetinspectsipinspectskinny

⑤class-mapinspection_default ⑥matchdefault-inspection-traffic ⑦default-inspection-traffic: ⑧ctiqbe----tcp--2748diameter--tcp--3868diameter--tcp/tls--5868diameter--sctp-3868dns-------udp--53ftp-------tcp--21gtp-------udp--2123,3386h323-h225-tcp--1720h323-ras--udp--1718-1719http------tcp--80icmp------icmpils-------tcp--389ip-options-----rsvpm3ua------sctp-2905mgcp------udp--2427,2727netbios---udp--137-138radius-acct----udp--1646rpc-------udp--111rsh-------tcp--514rtsp------tcp--554sip-------tcp--5060sip-------udp--5060skinny----tcp--2000smtp------tcp--25sqlnet----tcp--1521tftp------udp--69vxlan-----udp--4789waas------tcp--1-65535xdmcp-----udp--177①service-policyglobal_policyglobal,表示系统默认的global_policy生效范围是global的，不仅仅是对某个接口生效，而是对所有接口都生效。②、③、④、⑤说明系统默认的global_policy对符合class条件的流量，监控从④到⑤之间的流量，比如ip-optons、ftp等。那么，class条件是什么呢？通过③:classinspection_default可以知道，class条件是inspection_default。通过⑥和⑦可以知道，inspection_default条件是符合default-inspection-traffic的所有流量。通过⑧可以知道，default-inspection-traffic包括DNS、FTP、ICMP等。也就是说，ICMP属于默认的class条件，但不属于默认的监控行为，因此，只要在policy-mapglobal_policy和classinspection_default后，加上命令inspecticmp，就可以开启对ICMP的监控了。即先写上这两条默认命令：ciscoasa(config)#policy-mapglobal_policyciscoasa(config-pmap)#classinspection_default再加上一条对ICMP监控的命令，就可以让ping穿越防火墙，实现内网ping通外网及DMZ区域了。命令如下：ciscoasa(config-pmap-c)#inspecticmp2.也可用图形界面进行配置。例如，实现内网-的电脑可以ping通外网和停火区，方法如图2-4-2、2-4-3、2-4-4、2-4-5所示。在网络管理员的win7电脑上，登录进入ASAv的ASDM图形配置界面，找到Configuation>Firewall>ServicePolicyRules，点击“Add”按钮。在弹出的对话框中，Interface选择“Inside”，点击“Next”按钮，在弹出的对话框中，创建的trafficClass用默认值“Inside-Class”，勾选“SourceandDestinationIPAddress(useACL)”，点击“Next”按钮,在弹出的对话框中，Action用默认值“Match”，Source设置为“/30”，Destination设置为“any”，Service设置为“icmp”，点击“Next”按钮，在弹出的对话框中，勾选“ICMP”，点击“Finish”按钮，点击“Apply”按钮，完成配置。图2-4-2图形界面开启对ICMP或HTTP的监控1图2-4-3图形界面开启对ICMP或HTTP的监控2图2-4-4图形界面开启对ICMP的监控1

完成以上配置后，内网-的电脑可以ping通外网和停火区了。

二、通过ACL控制不同区域间互ping

除了通过监控ICMP实现高安全级区域ping通低安全级区域，还可通过配置ACL来实现。例如，为了实现高安全级的内网ping通低安全级的外网，可在防火墙上输入以下命令：ciscoasa(config)#access-listpingACLextendedpermiticmpanyanyciscoasa(config)#access-grouppingACLininterfaceOutside图2-4-5图形界面开启对ICMP的监控2谢谢欣赏第2章

防火墙技术与入侵防御技术任务2.6控制主机对外网的访问

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.6控制主机对外网的访问一、控制主机只能访问指定网站通过对ASAv防火墙进行ACL和Policy-map配置，控制内网-的主机只能访问域名末尾是的网站。下面分别通过图形界面和命令实现。1.图形界面实现的方法如下：如图2-4-2、2-4-3、2-4-6、2-4-7、2-4-8、2-4-9、2-4-10、2-4-11、2-4-12所示，在网络管理员的win7电脑上，登录进入ASAv的ASDM图形配置界面，找到Configuation>Firewall>ServicePolicyRules，点击“Add”按钮。在弹出的对话框中，Interface选择“Inside”，点击“Next”按钮，在弹出的对话框中，创建的trafficClass用默认值“Inside-Class”，勾选“SourceandDestinationIPAddress(useACL)”，点击“Next”按钮,在弹出的对话框中，Action用默认值“Match”，Source设置为“/29”，Destination设置为“any”，Service设置为“tcp/http”，点击“Next”按钮，在弹出的对话框中，勾选“HTTP”，点击“Configure...”按钮，在弹出的对话框中选择“SelectanHTTPinspectmapforfinecontroloverinspection”选项，点击“Add”按钮，在弹出的对话框中，Name命名为“policy2”，点击“Details”按钮，在弹出的对话框中，选择“Inspections”选项夹，点击“Add”按钮，在弹出的对话框中，选择“SingleMatch”选项，MatchType选择“NoMatch”选项，Criterion选择“RequestHeaderField”选项，Field的Predefined值选择“host”，Value的RegularExpression点击“Manage...”按钮自行定义，在弹出的对话框中，Name命名为“url1”，Value值设置为“\.lcvc\.cn”，用来代表以“”结尾的网址，多次点击“OK”按钮，完成配置。图2-4-6图形界面开启对HTTP的监控1图2-4-7图形界面开启对HTTP的监控2图2-4-8图形界面开启对HTTP的监控3图2-4-9图形界面开启对HTTP的监控4图2-4-10图形界面开启对HTTP的监控5图2-4-11图形界面开启对HTTP的监控6图2-4-12图形界面开启对HTTP的监控72.与图形界面相同功能的命令如下：access-listfilter1extendedpermittcp48anyeqwwwclass-mapclass1matchaccess-listfilter1//class1用于匹配IP地址属于-的主机。regexurl1"\.lcvc\.cn"//正则表达式url1用于匹配“.”。class-maptypeinspecthttpmatch-allclass2matchnotrequestheaderhostregexurl1//class2用于匹配不是以“.”结尾的网站。policy-maptypeinspecthttppolicy1classclass2drop-connectionlog//对于符合class2条件的网站，即不以“.”结尾的网站，拒绝其连接并做日志记录。policy-mappolicy2classclass1inspecthttppolicy1//对于符合class1条件的主机，即IP地址属于-的主机，调用policy1这条policy-map。service-policypolicy2interfaceInside//将policy2应用到Inside接口上。3.测试内网-的主机能否访问外网和这两个网站。（1）在内网主机上测试。为避免上次实验缓存对本次测试的影响，先关闭浏览器，再重新打开浏览器。（2）在浏览器上，输入，可正常访问。（3）在浏览器上，输入，无法访问。4.测试内网不属于-的主机能否访问外网和这两个网站。（1）将内网主机的地址改为。（2）为避免上次实验缓存对本次测试的影响，先关闭浏览器，再重新打开浏览器。（3）在浏览器上，输入，可正常访问。（4）在浏览器上，输入，可正常访问。二、禁止主机访问指定网站禁止内网的所有主机访问域名末尾是的网站，图形界面的配置请读者参看前例自行完成，用命令行配置的方法如下：1.在ASAv防火墙上，输入以下命令：access-listfilter2extendedpermittcpanyanyeqwwwclass-mapclass3matchaccess-listfilter2regexurl2"\.game\.com"class-maptypeinspecthttpmatch-allclass4matchrequestheaderhostregexurl2policy-maptypeinspecthttppolicy3classclass4drop-connectionlogpolicy-mappolicy2classclass3inspecthttppolicy3//policy2已经在上例中应用到了Inside接口上，因此，不需要再次执行service-policypolicy2interfaceInside命令。2.测试内网IP地址不属于-范围的主机能否正常访问外网和这两个网站。我们以IP地址为的主机进行测试：（1）为避免上次实验缓存对本次测试的影响，先关闭浏览器，再重新打开浏览器。（2）在浏览器上，输入，可正常访问。（3）在浏览器上，输入，不能正常访问。3.测试内网IP地址属于-的主机能否正常访问外网和这两个网站。我们将内网主机的地址改为后测试：（1）为避免上次实验缓存对本次测试的影响，先关闭浏览器，再重新打开浏览器。（2）在浏览器上，输入，可正常访问。（3）在浏览器上，输入，不能正常访问。谢谢欣赏第2章

防火墙技术与入侵防御技术任务2.7穿越防火墙的灰鸽子木马实验任务2.7穿越防火墙的灰鸽子木马实验

实验拓扑如图2-7-1所示。其中，内网的win1和外网的win2都采用win2003。图2-7-1穿越防火墙的木马实验拓扑一、防火墙配置代码清单ciscoasa>enPassword://默认密码为空ciscoasa#conftciscoasa(config)#intg0/0ciscoasa(config-if)#ipaddciscoasa(config-if)#noshuciscoasa(config-if)#nameifDMZINFO:Securitylevelfor"DMZ"setto0bydefault.ciscoasa(config-if)#security-level50ciscoasa(config-if)#intg0/1ciscoasa(config-if)#ipaddciscoasa(config-if)#noshuciscoasa(config-if)#nameifoutsideINFO:Securitylevelfor"outside"setto0bydefault.ciscoasa(config-if)#exitciscoasa(config)#objectnetworkdmzwebciscoasa(config-network-object)#host0ciscoasa(config-network-object)#nat(dmz,outside)staticinterfaceservicetcp8080

//启用静态PAT，外网访问outside接口公网地址的80端口将转换为访问DMZ服务器网站ciscoasa(config-network-object)#exitciscoasa(config)#objectnetworkdmzweb2ciscoasa(config-network-object)#host0ciscoasa(config-network-object)#nat(DMZ,outside)staticinterfaceservicetcp80008000//启用静态PAT，外网访问outside接口公网地址的8000端口将转换为访问DMZ服务器木马ciscoasa(config-network-object)#exitciscoasa(config)#access-listoutaclpermittcpanyhost0eq80//允许外网通过防火墙的outside接口访问DMZ服务器网站ciscoasa(config)#access-listoutaclpermittcpanyhost0eq8000

//允许外网通过防火墙的outside接口访问DMZ服务器木马ciscoasa(config)#access-groupoutaclinintoutside

二、新建网站攻击者在D