使用QEMU與VMware虛擬機進行ASA防火墻實驗環(huán)境配置

1、使用 QEMU 與 VMware 虛擬機進行 ASA 防火墻實驗環(huán)境配置路由器是用來實現(xiàn)數(shù)據(jù)包的正確轉(zhuǎn)發(fā) 路由功能;防火墻是基于網(wǎng)絡(luò)的安全防 御設(shè)計的。通俗來講,路由器關(guān)注如何實現(xiàn) “ 通 ” ,而防火墻關(guān)注如何保證所有正常流量與合 法流量 “ 通 ” 的前提,所有非法的不安全的流量 “ 不通 ” 。很多人說路由器可以通過 ACL 等配置實現(xiàn)很多防火墻的功能,但是他們忽略了重 要的問題,路由器是三層設(shè)備,只是基于 ACL 的簡單包過濾,防火墻則是四層設(shè)備(很多防火墻都具有應(yīng)用層的功能,實現(xiàn)基于內(nèi)容的過濾 。在源和目的端互相訪問的過程中,路 由器只是一個 “ 過客 ” ;而防火墻無論與源或目的都

2、建立了端到端的通信,也就是說,外網(wǎng)的 主機如果希望訪問內(nèi)網(wǎng)的資源, 必須先與防火墻建立連接, 在此過程中防火墻可以對連接建立實施監(jiān)測,充分保障內(nèi)網(wǎng)的安全,而路由器很難做到這一點。 2005年以后 CISCO 公司更 是將旗下著名的防火墻 PIX 系列升級到 ASA , 同樣在企業(yè)應(yīng)用中具有安全防護的中堅作用。CiscoASA 防火墻優(yōu)勢:對于 VPN 的全面兼容Anti-X 服務(wù)入侵防御專業(yè)的監(jiān)控管理下面我們了解如何進行對防火墻做初始配置,通過各種管理方式來管理該設(shè)備。 步驟一:解壓縮 ISO 鏡像,進入 tools 文件夾目錄安裝 winpcap_4_0.exe.步驟二:將 asa 的網(wǎng)絡(luò)接

3、口與真機的網(wǎng)卡進行橋接。進入獲信取網(wǎng)卡參數(shù)文件夾目錄,運行 xp_獲取 gen-eth.bat 獲取網(wǎng)卡參數(shù)信息, 如 下 息 : 圖 中 紅 色 圈 起 的 是 綠 線 網(wǎng) 卡 的 參 數(shù) 信 息 , 拷 貝 網(wǎng) 卡 參 數(shù) 如 : DeviceNPF_7B5FEBF0-5347-4272-A8E9-1A7095D5DC43,然后進入 asa 模擬器目錄 中 修 改 asa_PCAP.bat文 件 , 更 改 對 應(yīng) 的 網(wǎng) 卡 信 息 :這樣防火墻的 e0/0接口與 ms loopback adapter 2網(wǎng)卡橋接,e0/1接口與 ms loopback adapter 網(wǎng)卡橋接,e0/

4、2接口與計算機的 8169網(wǎng)卡橋接。步驟三:進行 VMware 虛擬機與真機橋接。打開 VMware 虛擬機軟件 >虛擬網(wǎng)絡(luò)設(shè)置,在虛擬網(wǎng)絡(luò)編輯器進行如下設(shè)置: 在 具 體 虛 擬 機 的 設(shè) 置 下 分 別 做 如 下 橋 接 這樣, win2003r2虛擬機就與 asa 的 e0/0最終橋接,我們可以認為企業(yè)的內(nèi)網(wǎng), win2003sp1虛擬機與 asa 的 e0/1最終橋接,我們用來模擬外網(wǎng)。步驟四:開始 ASA 基本及 TELNET,SSH 管理內(nèi)部接口給 Ip 地址ciscoasa#(config#hostnamegw !改名gw(config#gw(config#userna

5、me admin password privilege 15! 建立本地特權(quán)用戶, 后面我們用該用戶管理gw(config-if#nameifinside !不同于路由器,防火墻對接口進行安全別劃分,取值 范圍 0100,默認允許高安全級別訪問低安全級別區(qū)域。如果我們將接口的名字設(shè)為 inside , 則該接口一般安全級別會被自動設(shè)為 100。INFO:Security level for "inside" set to 100by default.gw(config-if#no shutdowngw(config-if#ASA 常用的遠程管理方式:Telnet 和 SSH

6、 。 Telnet 為明文傳輸, 一般只用于內(nèi)網(wǎng)訪問。 SSH 為密文傳輸,在內(nèi)網(wǎng)和外網(wǎng)訪問都推薦使用。telnet 登陸配置gw(config#aaaauthentication telnet console LOCAL !指定 telnet 認證使用本地數(shù)據(jù)庫,需要注意 LOCAL 必須為大寫ssh 登陸配置gw(config#domain-name ! SSH 登錄必 須定義域名gw(config#crypto key generate rsa modules 1024!產(chǎn)生非 對稱密鑰對,用于 SSH 會話安全gw(config#ssh 00outsidegw(config#ssh t

7、imeout 30gw(config#ssh version 2gw(config#aaaauthentication ssh console LOCAL !指定 SSH 認證使用本地數(shù)據(jù)庫,需要注意 LOCAL 必須為大寫經(jīng)過上面的步驟設(shè)置,我們就可以在 win2003r2計算機上通過 telnet 及 ssh 進行遠程管理。步驟五:通過 ASDM 進行管理。 (如果通過 ASDM 連接需要注意,不要和 dynamips 使用 UDP 連接,否則 ASDM 將無法使用gw(config#http server enable ! asdm 使用 http 或 https 協(xié)議連接 gw(con

8、fig#aaaauthentication http console LOCAL ! 指定 http 認證使用本地數(shù)據(jù)庫, 需要注意 LOCAL 必須為大寫gw(config#asdm image flash:/asdm-613.bin!指定 asdm 鏡像文件位置, 客戶端需要下載安裝如上布驟配置完, 如果是真實的 ASA 防火墻我們就可以通過 ASDM 連接。 但我 們現(xiàn)在使用的是模擬器, 這個模擬器有一些局限性, 因為 ASDM 連接時首先 ASA 硬件型號 信息,但我們不能提供其硬件型號 (5505,5510,5520,etc。為了解決這種問題,我們可以通 過一些欺騙的方式告訴 ASD

9、M 硬件型號,贏取信任。 ASDM 檢查 QEMU 模擬的 ASA 的時 候利用的就是 HTTPS 協(xié)議,如果有中間人一些參數(shù)就可以了。介紹一個軟件 Fiddler, 一個 HTTP debugging proxy, 其 2.0版本支持 https 協(xié)議, 并且這個工具可以截獲本機發(fā)送的 HTTP 或者 HTTPS 流量進行重寫,那么我們就有機會將 ASDM 與 QEMU 模擬的 ASA 中間的 HTTPS 流量進行重寫,將硬件版本號寫進 HTTPS ,騙取 ASDM 來識別 .1. 需要的軟件(從 tools 文件夾中依次選擇安裝.net2.0frameworks (fiddler要求 Fi

10、ddlerJRE (java 虛擬機, ASDM 允許需要Firefox (IE6兼容性有問題,我們就用火狐2. 在安裝 firefox 時 , 設(shè)置 firefox 為默認瀏覽器。 firefox 安裝完后,需要打開點擊工具 >選 項 。 在 內(nèi) 容 選 項 頁 里 , 取 消 ” 阻 止 彈 出 窗 口 ” 的 復(fù) 選 框 , 如 下 圖 所 示 。3. fiddler 配置運行 fiddler, 注意定義下圖幾個地方 :首先,點擊菜單欄中 Tools->Fiddleroption->Https,如下圖勾選 Decrypt HTTPS traffic 然后,點擊菜單欄的

11、Rules->Customizerules搜索找到函數(shù)static function OnBeforeRequest(oSession:Session在該函數(shù)中加入一條 if 語句oSession.bBufferResponse =false;搜索找到函數(shù)在該函數(shù)中加入一條 if 語句oSession.utilDecodeResponse(;oSession.utilReplaceInResponse('Hardware:,','Hardware:ASA5520,' static function OnBeforeResponse(oSession:Session注意 ('Hardware:,','Hardware:ASA5520,' 中的空格保留 (3個空格,請完全復(fù)制 點擊文件 ->保存 (如果語法正確將聽到提示聲音,并無任何提示框,假如語法錯誤或者將會 提出提示框 最后,點擊 開始 ->控制面板 ->JAVA->常規(guī) ->網(wǎng)絡(luò)設(shè)置使用代理服務(wù)器,地址為 localhost 端口為 8888(fiddler的服務(wù)端口 點擊高級 ,