版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
第2章
防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.1通過圖形界面管理防火墻編著:
秦?zé)鰟诖浣?/p>
計算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開,并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi),入侵檢測或入侵防御系統(tǒng)(IDS或IPS)則可看作監(jiān)視器,它可以時刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時阻斷,進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。
本章以思科ASAv為例,介紹防火墻的基本操作與應(yīng)用,以及簡單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實驗拓?fù)鋱D
為了提高企業(yè)網(wǎng)絡(luò)的安全性,引入了ASAv,并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務(wù)的DMZ區(qū)域,不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中,對外提供服務(wù)的WEB服務(wù)器放在?;饏^(qū)(DMZ區(qū)域)中,內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器,DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實現(xiàn)這些功能,需要對ASAv進(jìn)行以下基本配置:1.配置接口,ping通ASAv。ping能到達(dá)防火墻,但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。(1)使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站;(2)使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站;(3)使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。(1)控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站;(2)禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務(wù)2.1通過圖形界面管理防火墻
一、在EVE-NG平臺中搭建實驗拓?fù)?/p>
通過VMwareWorkstation啟動EVE-NG平臺和五臺虛擬機(jī)。通過瀏覽器連接和登陸到EVE-NG平臺,在平臺中搭建如圖2-0-1所示的實驗拓?fù)洹M負(fù)浒ㄒ慌_防火墻、三臺路由器和四朵云。這四朵云分別關(guān)聯(lián)到剛才啟動的五臺VMware虛擬機(jī),即三臺Win2003虛擬機(jī)、一臺win7虛擬機(jī)和一臺KaliLinux虛擬機(jī)。具體如下:1.在EVE-NG平臺中添加路由器和防火墻,方法如下:(1)在EVE-NG平臺的實驗界面空白處右擊,在彈出菜單中選擇“Node”,在出現(xiàn)的Template列表中選用“CiscovIOS”作為內(nèi)網(wǎng)路由器、在“Name/prefix”框中為其命名為“R_Inside”;(2)用同樣方法添加“Node”,選用“CiscovIOS”作為DMZ路由器、命名為“R_DMZ”;(3)用同樣方法添加“Node”,選用“CiscovIOS”作為Outside路由器、命名為“R_Outside”;(4)用同樣方法添加“Node”,選用“CiscoASAv”作為防火墻、保留默認(rèn)名稱“ASAv”。2.在EVE-NG平臺中添加四朵云,用來關(guān)聯(lián)五臺VMware虛擬機(jī),方法如下:(1)在EVE-NG平臺的實驗界面空白處右擊,在彈出菜單中選擇“Network”,在Type列表中選用“Cloud1”,在“Name/prefix”框中為其命名為Net1,用來關(guān)聯(lián)內(nèi)網(wǎng)的win2003服務(wù)器(該VMware虛擬機(jī)的網(wǎng)卡連到VMnet1);(2)用同樣方法添加“Network”中的“Cloud2”作為第2朵云,命名為Net2,用來關(guān)聯(lián)網(wǎng)絡(luò)管理員的win7計算機(jī)(該虛擬機(jī)的網(wǎng)卡連到VMnet2);(3)用同樣方法添加“Network”中的“Cloud3”作為第3朵云,命名為Net3,用來關(guān)聯(lián)外網(wǎng)的win2003服務(wù)器(該虛擬機(jī)的網(wǎng)卡連到VMnet3)和外網(wǎng)的KaliLinux主機(jī)(該虛擬機(jī)的網(wǎng)卡也連到VMnet3);(4)用同樣方法添加“Network”中的“Cloud4”作為第4朵云,命名為Net4,用來關(guān)聯(lián)DMZ區(qū)的win2003服務(wù)器(該虛擬機(jī)的網(wǎng)卡連到VMnet4)。3.按圖2-0-1所示連線,完成實驗拓?fù)涞拇罱?。二、配置防火墻的管理接?.啟動防火墻,從用戶模式進(jìn)入特權(quán)模式,命令如下:ciscoasa>enablePassword://默認(rèn)密碼為空,此處直接回車即可2.從特權(quán)模式進(jìn)入全局配置模式,命令如下:ciscoasa#configureterminal3.防火墻的各個接口需要劃分到不同的安全區(qū)域,方法是為各個接口命名和分配安全級別。安全級別的取值范圍是從0到100,安全級別高的區(qū)域是接受防火墻保護(hù)的區(qū)域,安全級別低的區(qū)域是相對危險的區(qū)域。下面,將管理接口的IP地址配為:54/24、接口命名為:Mgmt、安全級別設(shè)為:100,命令如下:ciscoasa(config)#intManagement0/0//從全局配置模式進(jìn)入接口配置模式ciscoasa(config-if)#nameifMgmt//將管理接口命名為Mgmtciscoasa(config-if)#security-level100//將管理接口的安全級別設(shè)為100ciscoasa(config-if)#ipadd54//為管理接口配置IP地址ciscoasa(config-if)#noshu//開啟管理接口ciscoasa(config-if)#exit//從接口配置模式返回全局配置模式ciscoasa(config)#exit//從全局配置模式模式返回特權(quán)模式4.查看接口IP地址的配置情況,命令如下:ciscoasa#showintipbInterfaceIP-AddressOK?MethodStatusProtocolManagement0/054YESmanualupup5.查看接口的名稱和安全級別,命令如下:ciscoasa#shownameifInterfaceNameSecurityManagement0/0Mgmt100三、通過圖形界面網(wǎng)管防火墻1.開啟允許通過圖形界面匿名連接和管理防火墻的功能,方法如下:(1)激活https,以便可以使用https訪問和管理ASAv防火墻,命令如下:ciscoasa#configureterminalciscoasa(config)#httpserverenable(2)允許網(wǎng)段的電腦通過https連接防火墻的MGMT接口,命令如下:ciscoasa(config)#httpMgmt2.在網(wǎng)絡(luò)管理員的win7電腦上,匿名管理防火墻。(1)啟動win7虛擬機(jī),將它的網(wǎng)卡連到VMnet2,用作網(wǎng)絡(luò)管理員電腦。為它配置地址/24。關(guān)閉win7自帶的防火墻。在win7上用“ping54”命令測試win7電腦與ASAv防火墻管理口的互通性,可以ping通。(2)為了通過圖形界面網(wǎng)管ASAv防火墻,網(wǎng)絡(luò)管理員的win7電腦需要安裝32位的java運(yùn)行環(huán)境。如圖2-1-1所示,在客戶機(jī)win7上,安裝jre-8u101-windows-i586。圖2-1-1安裝JAVA運(yùn)行環(huán)境(3)如圖2-1-2所示,打開瀏覽器,輸入網(wǎng)址54,點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站(不推薦)”選項。圖2-1-2打開瀏覽器輸入網(wǎng)址(4)如圖2-1-3所示,點(diǎn)擊上方的提示欄,在出現(xiàn)的菜單中點(diǎn)擊的“運(yùn)行加載項”。如圖2-1-4所示,在彈出的“安全警告”框中,點(diǎn)擊的“運(yùn)行”按鈕。最后,再點(diǎn)擊圖2-1-3所示的“InstallASDMLauncher”按鈕。圖2-1-3
安裝ASDM的運(yùn)行加載項界面(6)如圖2-1-5所示,不用輸入用戶名和密碼,直接點(diǎn)擊“確定”按鈕。圖2-1-4
運(yùn)行ActiveX控件界面圖2-1-5Windows安全界面(7)如圖2-1-6所示,點(diǎn)擊“運(yùn)行”按鈕。(8)如圖2-1-7所示,點(diǎn)擊“Next”按鈕,直至安裝成功。圖2-1-6
文件運(yùn)行和保存界面圖2-1-7ASDM安裝向?qū)В?)安裝成功后,為虛擬機(jī)的當(dāng)前狀態(tài)保持快照。讀者在進(jìn)行實驗時,請自行為各虛擬機(jī)的各種實驗狀態(tài)保存快照,以便在后續(xù)實驗中遇到類似場景時,可通過還原快照的方式,快速完成新實驗環(huán)境的搭建。后文不再提醒。(10)雙擊桌面的“CiscoASDM-IDMLauncher”圖標(biāo),可通過ASDM圖形界面連接和管理防火墻。如圖2-1-8所示,輸入防火墻的地址,不用輸入用戶名和密碼,點(diǎn)擊“OK”按鈕。圖2-1-8ASDM登錄界面(11)如圖2-1-9所示,點(diǎn)擊“繼續(xù)”按鈕。(12)如圖2-1-10所示,出現(xiàn)了ASAv的圖形管理界面。圖2-1-9
安全警告界面圖2-1-10ASA管理界面(13)除了通過以上介紹的匿名訪問和管理防火墻的方法,還可以通過本地用戶名及密碼訪問和管理防火墻。方法是在防火墻上輸入以下命令:ciscoasa(config)#usernameuser1passwordcisco
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 北師大版 四年級下冊心理健康 第二十七課 我堅持我成功 教案
- 第5單元 單元分析2024-2025學(xué)年五年級語文上冊同步教學(xué)設(shè)計(統(tǒng)編版)
- 北師大版(2019)選擇性必修第一冊Unit 3 Conservation Lesson 1 The Sixth Extinction 單元整體教學(xué)設(shè)計
- 黑龍江省孫吳縣第一中學(xué)2024-2025學(xué)年教研聯(lián)合體高考模擬(三)化學(xué)試題含解析
- (大單元整體教學(xué))1.3認(rèn)識線段教學(xué)設(shè)計
- 人教版九年級上冊24.4弧長和扇形面積教學(xué)設(shè)計
- 關(guān)于海南自由貿(mào)易港藥品、醫(yī)療器械“零關(guān)稅”政策
- 十天搞定考研單詞默寫本
- 2025屆高考語文復(fù)習(xí):賞析析詩歌表達(dá)技巧和表現(xiàn)手法+課件
- 職測資料分析:比重變化趨勢的逆向考查
- 《經(jīng)濟(jì)學(xué)基礎(chǔ)(含活頁練習(xí)冊)》思政教學(xué)設(shè)計 姚君
- 2.《走月亮》說課課件
- 【《“雙減”背景下的小學(xué)英語作業(yè)設(shè)計探究(論文)》3700字】
- DIN-EN-ISO-2409-CN國際標(biāo)準(zhǔn)文檔
- 大單元教學(xué)設(shè)計及“教學(xué)評一體化”-策略
- 安全教育培訓(xùn)記錄表-(大全)
- 金屬硫化物礦物的紅外光譜
- 光伏電纜橋架敷設(shè)施工方案
- excel中自動滾屏的方法
- 新課標(biāo)背景下統(tǒng)編《道德與法治》的大單元教學(xué)
- 【語文期中試卷】2023-2024學(xué)年度五年級上冊語文期中測試卷
評論
0/150
提交評論