《計算機網(wǎng)絡安全防護技術（第二版）》課件 （秦燊）第2章-防火墻技術與入侵防御技術

第2章

防火墻技術與入侵防御技術任務2.1通過圖形界面管理防火墻

計算機網(wǎng)絡中的防火墻可以將不安全的網(wǎng)絡與需要保護的網(wǎng)絡隔離開，并根據(jù)安全策略控制進出網(wǎng)絡的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網(wǎng)絡中是否有異常流量并及時阻斷，進一步保護網(wǎng)絡的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應用，以及簡單IDS功能。本章案例拓撲如圖2-0-1所示。圖2-0-1防火墻技術實驗拓撲圖

為了提高企業(yè)網(wǎng)絡的安全性，引入了ASAv，并將網(wǎng)絡劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務系統(tǒng)等僅供內(nèi)部用戶使用的服務器放在受信息的企業(yè)內(nèi)網(wǎng)中，對外提供服務的WEB服務器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務器和外網(wǎng)的服務器，DMZ區(qū)域的服務器通過NAT靜態(tài)地址轉換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡中的異常流量。為實現(xiàn)這些功能，需要對ASAv進行以下基本配置：1.配置接口，ping通ASAv。ping能到達防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠程管理接入、配置主機名、域名、密碼。3.配置各設備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務2.1通過圖形界面管理防火墻

一、在EVE-NG平臺中搭建實驗拓撲

通過VMwareWorkstation啟動EVE-NG平臺和五臺虛擬機。通過瀏覽器連接和登陸到EVE-NG平臺，在平臺中搭建如圖2-0-1所示的實驗拓撲。拓撲包括一臺防火墻、三臺路由器和四朵云。這四朵云分別關聯(lián)到剛才啟動的五臺VMware虛擬機，即三臺Win2003虛擬機、一臺win7虛擬機和一臺KaliLinux虛擬機。具體如下：1.在EVE-NG平臺中添加路由器和防火墻，方法如下：（1）在EVE-NG平臺的實驗界面空白處右擊，在彈出菜單中選擇“Node”，在出現(xiàn)的Template列表中選用“CiscovIOS”作為內(nèi)網(wǎng)路由器、在“Name/prefix”框中為其命名為“R_Inside”；（2）用同樣方法添加“Node”，選用“CiscovIOS”作為DMZ路由器、命名為“R_DMZ”；（3）用同樣方法添加“Node”，選用“CiscovIOS”作為Outside路由器、命名為“R_Outside”；（4）用同樣方法添加“Node”，選用“CiscoASAv”作為防火墻、保留默認名稱“ASAv”。2.在EVE-NG平臺中添加四朵云，用來關聯(lián)五臺VMware虛擬機，方法如下：（1）在EVE-NG平臺的實驗界面空白處右擊，在彈出菜單中選擇“Network”，在Type列表中選用“Cloud1”,在“Name/prefix”框中為其命名為Net1，用來關聯(lián)內(nèi)網(wǎng)的win2003服務器（該VMware虛擬機的網(wǎng)卡連到VMnet1）；（2）用同樣方法添加“Network”中的“Cloud2”作為第2朵云，命名為Net2，用來關聯(lián)網(wǎng)絡管理員的win7計算機（該虛擬機的網(wǎng)卡連到VMnet2）；（3）用同樣方法添加“Network”中的“Cloud3”作為第3朵云，命名為Net3，用來關聯(lián)外網(wǎng)的win2003服務器（該虛擬機的網(wǎng)卡連到VMnet3）和外網(wǎng)的KaliLinux主機（該虛擬機的網(wǎng)卡也連到VMnet3）；（4）用同樣方法添加“Network”中的“Cloud4”作為第4朵云，命名為Net4，用來關聯(lián)DMZ區(qū)的win2003服務器（該虛擬機的網(wǎng)卡連到VMnet4）。3.按圖2-0-1所示連線，完成實驗拓撲的搭建。二、配置防火墻的管理接口1.啟動防火墻，從用戶模式進入特權模式，命令如下：ciscoasa>enablePassword://默認密碼為空，此處直接回車即可2．從特權模式進入全局配置模式，命令如下：ciscoasa#configureterminal3．防火墻的各個接口需要劃分到不同的安全區(qū)域，方法是為各個接口命名和分配安全級別。安全級別的取值范圍是從0到100，安全級別高的區(qū)域是接受防火墻保護的區(qū)域，安全級別低的區(qū)域是相對危險的區(qū)域。下面，將管理接口的IP地址配為：54/24、接口命名為：Mgmt、安全級別設為：100，命令如下：ciscoasa(config)#intManagement0/0//從全局配置模式進入接口配置模式ciscoasa(config-if)#nameifMgmt//將管理接口命名為Mgmtciscoasa(config-if)#security-level100//將管理接口的安全級別設為100ciscoasa(config-if)#ipadd54//為管理接口配置IP地址ciscoasa(config-if)#noshu//開啟管理接口ciscoasa(config-if)#exit//從接口配置模式返回全局配置模式ciscoasa(config)#exit//從全局配置模式模式返回特權模式4．查看接口IP地址的配置情況，命令如下：ciscoasa#showintipbInterfaceIP-AddressOK?MethodStatusProtocolManagement0/054YESmanualupup5．查看接口的名稱和安全級別，命令如下：ciscoasa#shownameifInterfaceNameSecurityManagement0/0Mgmt100三、通過圖形界面網(wǎng)管防火墻1．開啟允許通過圖形界面匿名連接和管理防火墻的功能，方法如下：（1）激活https，以便可以使用https訪問和管理ASAv防火墻，命令如下：ciscoasa#configureterminalciscoasa(config)#httpserverenable（2）允許網(wǎng)段的電腦通過https連接防火墻的MGMT接口，命令如下：ciscoasa(config)#httpMgmt2.在網(wǎng)絡管理員的win7電腦上，匿名管理防火墻。（1）啟動win7虛擬機，將它的網(wǎng)卡連到VMnet2，用作網(wǎng)絡管理員電腦。為它配置地址/24。關閉win7自帶的防火墻。在win7上用“ping54”命令測試win7電腦與ASAv防火墻管理口的互通性，可以ping通。（2）為了通過圖形界面網(wǎng)管ASAv防火墻，網(wǎng)絡管理員的win7電腦需要安裝32位的java運行環(huán)境。如圖2-1-1所示，在客戶機win7上，安裝jre-8u101-windows-i586。圖2-1-1安裝JAVA運行環(huán)境（3）如圖2-1-2所示，打開瀏覽器，輸入網(wǎng)址54，點擊“繼續(xù)瀏覽此網(wǎng)站（不推薦）”選項。圖2-1-2打開瀏覽器輸入網(wǎng)址（4)如圖2-1-3所示，點擊上方的提示欄，在出現(xiàn)的菜單中點擊的“運行加載項”。如圖2-1-4所示，在彈出的“安全警告”框中，點擊的“運行”按鈕。最后，再點擊圖2-1-3所示的“InstallASDMLauncher”按鈕。圖2-1-3

安裝ASDM的運行加載項界面（6）如圖2-1-5所示，不用輸入用戶名和密碼，直接點擊“確定”按鈕。圖2-1-4

運行ActiveX控件界面圖2-1-5Windows安全界面（7）如圖2-1-6所示，點擊“運行”按鈕。（8）如圖2-1-7所示，點擊“Next”按鈕，直至安裝成功。圖2-1-6

文件運行和保存界面圖2-1-7ASDM安裝向導（9）安裝成功后，為虛擬機的當前狀態(tài)保持快照。讀者在進行實驗時，請自行為各虛擬機的各種實驗狀態(tài)保存快照，以便在后續(xù)實驗中遇到類似場景時，可通過還原快照的方式，快速完成新實驗環(huán)境的搭建。后文不再提醒。（10）雙擊桌面的“CiscoASDM-IDMLauncher”圖標，可通過ASDM圖形界面連接和管理防火墻。如圖2-1-8所示，輸入防火墻的地址，不用輸入用戶名和密碼，點擊“OK”按鈕。圖2-1-8ASDM登錄界面（11）如圖2-1-9所示，點擊“繼續(xù)”按鈕。（12）如圖2-1-10所示，出現(xiàn)了ASAv的圖形管理界面。圖2-1-9

安全警告界面圖2-1-10ASA管理界面（13）除了通過以上介紹的匿名訪問和管理防火墻的方法，還可以通過本地用戶名及密碼訪問和管理防火墻。方法是在防火墻上輸入以下命令：ciscoasa(config)#usernameuser1passwordciscoprivilege15//創(chuàng)建本地用戶及密碼ciscoasa(config)#aaaauthenticationhttpconsoleLOCAL//開啟https的本地認證此時管理員再通過電腦用ASDM圖形界面訪問防火墻時，會彈出如圖2-1-11所示的認證對話框中，正確輸入用戶名user1和密碼cisco后，才能繼續(xù)后續(xù)的操作。圖2-1-11

用戶認證界面謝謝欣賞第2章

防火墻技術與入侵防御技術任務2.2配置防火墻的安全區(qū)域

計算機網(wǎng)絡中的防火墻可以將不安全的網(wǎng)絡與需要保護的網(wǎng)絡隔離開，并根據(jù)安全策略控制進出網(wǎng)絡的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網(wǎng)絡中是否有異常流量并及時阻斷，進一步保護網(wǎng)絡的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應用，以及簡單IDS功能。本章案例拓撲如圖2-0-1所示。圖2-0-1防火墻技術實驗拓撲圖

為了提高企業(yè)網(wǎng)絡的安全性，引入了ASAv，并將網(wǎng)絡劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務系統(tǒng)等僅供內(nèi)部用戶使用的服務器放在受信息的企業(yè)內(nèi)網(wǎng)中，對外提供服務的WEB服務器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務器和外網(wǎng)的服務器，DMZ區(qū)域的服務器通過NAT靜態(tài)地址轉換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡中的異常流量。為實現(xiàn)這些功能，需要對ASAv進行以下基本配置：1.配置接口，ping通ASAv。ping能到達防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠程管理接入、配置主機名、域名、密碼。3.配置各設備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務2.2配置防火墻的安全區(qū)域

根據(jù)各網(wǎng)絡的可信度及其是否需要保護，可將防火墻所連接的各網(wǎng)絡劃分到不同安全級別的安全區(qū)域中。防火墻的各個接口屬于不同的安全區(qū)域，每個接口都需要命名和分配安全級別，安全級別的取值范圍是0到100。通過命令配置接口時，命名為Inside（不區(qū)分大小寫）的接口的安全級別就會自動被設置為100，其它名稱的接口的安全級別會自動設為0。管理員可手動調(diào)整各接口的安全級別。安全級別高的區(qū)域是接受防火墻保護的區(qū)域，安全級別低的區(qū)域是相對危險的區(qū)域。防火墻會放行從高安全級流向低安全級的流量，阻攔從低安全級流向高安全級的流量。

前面，我們已經(jīng)通過命令為防火墻的管理接口（Mgmt）配置了IP地址、設置了接口的名稱和接口的安全級別。防火墻的其它接口可用類似的命令來配置，也可通過圖形界面來配置。下面，我們分別通過圖形界面和通過命令的方式為防火墻的其它接口配置IP地址、開啟接口、設置接口名稱、設置接口的安全級別。

一、外網(wǎng)區(qū)域各設備地址的配置

1.外網(wǎng)是最不安全的區(qū)域，所以我們將防火墻外網(wǎng)接口的安全級別規(guī)劃為0。下面，我們配置防火墻外網(wǎng)接口Gi0/2的IP地址為：54/24、接口名稱為：Outside、安全級別為：0。通過圖形界面配置防火墻外網(wǎng)接口的方法如下：圖2-2-1ASAv圖形配置界面（1）如圖2-2-1所示，在ASAv的圖形配置界面中，點擊”Configuraiton”,選中其中的“DeviceSetup”，再選擇“InterfaceSetting”下的“Interfaces”，選中“GigabitEthernet0/2”。（2）點擊右側的“Edit”按鈕，在彈出的“EditInterface”對話框中，為“InterfaceName”項輸入“Outside”，“SecurityLevel”項輸入“0”，勾選上“EnableInterface”前的復選框，“IPAddress”項填入“0”,”SubnetMask”項選擇“”，點擊“OK”按鈕，點擊“Apply”按鈕，完成配置。2.除了用圖形界面配置，還可用命令配置，相同功能的命令如下：ciscoasa(config)#intg0/2ciscoasa(config-if)#nameifOutsideINFO:Securitylevelfor"Outside"setto0bydefault.//提示接口的安全級別被自動設置為0ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動外網(wǎng)路由器，將其命名為R_Outside，將它與防火墻相連的接口g0/0的地址配置為/24，在路由器上通過ping命令測試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_OutsideR_Outside(config)#intg0/0R_Outside(config-if)#ipaddR_Outside(config-if)#noshuR_Outside(config-if)#endR_Outside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//測試結果為“！”號，表示成功ping通了防火墻4.外網(wǎng)路由器的g0/1接口連接了外網(wǎng)服務器，為g0/1接口配置地址54/24，命令如下：R_Outside#configureterminalR_Outside(config)#intg0/1R_Outside(config-if)#ipadd54R_Outside(config-if)#noshu5.啟動一臺win2003虛擬機，將它連接到VMnet3，用作外網(wǎng)服務器。為它配置地址/24、缺省網(wǎng)關54、首選DNS服務器。用“ping54”命令測試它與外網(wǎng)路由器間的互通性，可以ping通。6.啟動一臺KaliLinux虛擬機，將它連接到VMnet3，用作外網(wǎng)的滲透測試主機。為它配置地址0/24、缺省網(wǎng)關54、首選DNS服務器。方法如下：（1）編輯interfaces文件，配置eth0網(wǎng)卡，命令如下：root@kali:~#vim/etc/network/interfacesautoeth0ifaceeth0inetstaticaddress0netmaskgateway54pre-upifconfigeth0hwether60:60:60:60:60:60按ESC鍵并輸入:wq命令，存盤退出。（2）編輯DNS配置文件,將設置為DNS服務器的地址，命令如下：root@eve-ng:~#vim/etc/resolv.confnameserver//輸入的內(nèi)容按ESC鍵并輸入:wq命令，存盤退出。（3）重啟eth0網(wǎng)卡，使配置生效。命令如下：root@kali:~#ifdowneth0root@kali:~#ifupeth0（4）在外網(wǎng)KaliLinux主機上用“ping54”命令測試它與外網(wǎng)路由器間的互通性，可以ping通。

二、外網(wǎng)區(qū)域各設備路由表的配置

外網(wǎng)共兩個網(wǎng)段，外網(wǎng)路由器與這兩個網(wǎng)段直連，所以其路由表已認識這兩個網(wǎng)段，無需配置路由表。防火墻只與外網(wǎng)的一個網(wǎng)段直連，需要為防火墻的外網(wǎng)接口配一條靜態(tài)路由或默認路由或動態(tài)路由，用來識別非直連的那個網(wǎng)段。因為現(xiàn)實中的外網(wǎng)由成千上萬的網(wǎng)段組成，外出流量比較適合于用默認路由來實現(xiàn)，所以此處我們采用默認路由，方法如下：

1.防火墻外網(wǎng)接口配默認路由之前測試，防火墻ping不通外網(wǎng)服務器。

2.用圖形界面為防火墻的外網(wǎng)接口配默認路由，方法如下：

（1）如圖2-2-2所示，在網(wǎng)絡管理員的win7電腦上，進入ASAv的圖形配置界面ASDM，找到Configuration>DeviceSetup>Routing>StaticRoutes,點擊“Add”按鈕，接口Interface選擇“Outside”，Network設置為“0/0”用作目標，GatewayIP設置為“”用作去往目標的下一跳，點擊“OK”按鈕后，點擊“Apply”按鈕完成配置。

（2）在防火墻ASAv上進行ping外網(wǎng)服務器測試，能ping通。

3.與用圖形界面為防火墻的外網(wǎng)接口配默認路由一樣功能的命令如下：ciscoasa(config)#routeOutside00圖2-2-2ASAv的圖形配置界面配置默認路由三、內(nèi)網(wǎng)區(qū)域各設備地址的配置1.我們規(guī)劃防火墻內(nèi)網(wǎng)接口Gi0/0的IP地址為：54/24、接口名稱為：Inside、安全級別為：100。用圖形界面配置防火墻內(nèi)網(wǎng)接口與之前介紹的配置外網(wǎng)接口的方法類似，請讀者自行完成。2.除了用圖形界面，也可用命令實現(xiàn)相同功能，配置防火墻內(nèi)網(wǎng)接口的命令如下：ciscoasa(config)#intg0/0ciscoasa(config-if)#nameifInsideINFO:Securitylevelfor"Inside"setto100bydefault.//當命名為Inside時，安全級別自動設為100ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動內(nèi)網(wǎng)的路由器，將其命名為R_Inside，將它與防火墻相連的接口g0/0的地址配置為/24，在內(nèi)網(wǎng)路由器上通過ping命令測試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_InsideR_Inside(config)#intg0/0R_Inside(config-if)#ipaddR_Inside(config-if)#noshuR_Inside(config-if)#endR_Inside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//測試結果“！”號表示ping通了目標

4.內(nèi)網(wǎng)路由器連接內(nèi)網(wǎng)電腦的接口是g0/1，為該接口配置地址54/24。命令如下：R_Inside(config)#intg0/1R_Inside(config-if)#ipadd54R_Inside(config-if)#noshu

5.啟動一臺win2003虛擬機，將它連接到VMnet1，用作內(nèi)網(wǎng)電腦。為它配置地址/24、缺省網(wǎng)關54、首選DNS服務器。在內(nèi)網(wǎng)電腦上用ping54命令測試它與內(nèi)網(wǎng)路由器間的互通性，可以ping通。四、內(nèi)網(wǎng)區(qū)域各設備的路由表配置內(nèi)網(wǎng)共兩個網(wǎng)段，這兩個網(wǎng)段都與內(nèi)網(wǎng)路由器直連，內(nèi)網(wǎng)路由器的路由表已經(jīng)認識這兩個網(wǎng)段，無需再配置。內(nèi)網(wǎng)中與防火墻直連的網(wǎng)段只有一個，防火墻的路由表只認識這個直連網(wǎng)段，需要為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由或動態(tài)路由，以便讓它認識這個非直連網(wǎng)段，下面用靜態(tài)路由來實現(xiàn)：1.防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由之前測試，防火墻ping不通內(nèi)網(wǎng)電腦。2.用圖形界面為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由，方法如下：（1）如圖2-2-3所示，在網(wǎng)絡管理員的win7電腦上，進入ASAv的ASDM圖形配置界面，找到Configuration>DeviceSetup>Routing>StaticRoutes,點擊“Add”按鈕，接口Interface選擇“Inside”，Network設置為“/24”作為目標網(wǎng)段，GatewayIP設置為“”作為去往目標的下一跳地址，點擊“OK”后，點擊“Apply”按鈕完成配置。

（2）配置完成之后，防火墻ASAv能ping通內(nèi)網(wǎng)電腦。

3.除了用圖形界面為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由，也可用命令實現(xiàn)，命令如下：ciscoasa(config)#routeInside4.為防火墻的內(nèi)網(wǎng)接口配好靜態(tài)路由后，在ASAv上測試，它可以ping通內(nèi)網(wǎng)電腦。圖2-2-3ASAv的圖形配置界面配置靜態(tài)路由五、?；饏^(qū)（DMZ）各設備地址的配置?；饏^(qū)（DMZ）用于存放對外提供服務的服務器，可供內(nèi)網(wǎng)和外網(wǎng)同時訪問，其安全級別應該處于內(nèi)網(wǎng)和外網(wǎng)之間，我們將其安全級別規(guī)劃為50。1.規(guī)劃防火墻內(nèi)網(wǎng)接口Gi0/1的IP地址為：54/24、接口名稱為：DMZ、安全級別為：50。請讀者參照圖形界面配置外網(wǎng)接口的方法，用圖形界面實現(xiàn)防火墻?；饏^(qū)接口的配置。2.除了用圖形界面配置，也可用命令實現(xiàn)相同的功能，命令如下：ciscoasa(config)#intg0/1ciscoasa(config-if)#nameifDMZciscoasa(config-if)#security-level50ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動?；饏^(qū)的路由器，將其命名為R_DMZ，將它與防火墻相連的接口g0/0的地址配置為/24，在?；饏^(qū)路由器上通過ping命令測試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_DMZR_DMZ(config)#intg0/0R_DMZ(config-if)#ipaddR_DMZ(config-if)#noshuR_DMZ(config-if)#endR_DMZ#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//測試結果的“！”號表示成功ping通防火墻4.?；饏^(qū)路由器連接停火區(qū)服務器的接口是g0/1，為g0/1接口配置地址54/24。命令如下：R_DMZ#configureterminalR_IDMZ(config)#intg0/1R_DMZ(config-if)#ipadd54R_DMZ(config-if)#noshu5.啟動一臺win2003虛擬機，將它連接到VMnet4，用作?；饏^(qū)的服務器。為它配置地址/24、缺省網(wǎng)關54。在?；饏^(qū)服務器上用ping54命令測試它與停火區(qū)路由器間的互通性，可以ping通。

六、?；饏^(qū)（DMZ）各設備的路由表配置

停火區(qū)共兩個網(wǎng)段，這兩個網(wǎng)段都與?；饏^(qū)的路由器直連，?；饏^(qū)路由器的路由表已經(jīng)認識它們，無需配置。停火區(qū)中，防火墻的路由表只認識與它直連的網(wǎng)段，需要為防火墻的?；饏^(qū)接口配靜態(tài)路由或動態(tài)路由，以便讓它能識別?；饏^(qū)中未與之直連的那個網(wǎng)段。下面用OSPF動態(tài)路由來實現(xiàn)（動態(tài)路由需要在?；饏^(qū)的路由器和防火墻的DMZ接口上都配置，以便它們能通過互相學習學到未知網(wǎng)段）：

1.為防火墻的?；饏^(qū)接口配動態(tài)路由之前先測試，此時防火墻無法ping通?；饏^(qū)的服務器。2.用圖形界面為防火墻的DMZ接口配OSPF動態(tài)路由，方法如下：（1）如圖2-2-4所示，在網(wǎng)絡管理員的win7電腦上，登錄進入ASAv的ASDM圖形配置界面，找到Configuation>DeviceSetup>Routing>OSPF>Setup。在出現(xiàn)的“ProcessInstances”選項夾中勾選OSPFProcess1欄的“EnablethisOSPF...”選項（此處啟用第一個進程，最多支持兩個OSPF進程），在“OSPFProce...”選項填入“1”作為該OSPF進程的進程號（取值范圍是1-65535）。進程號只在本設備有效，無需與其它設備匹配。圖2-2-4ASAv的圖形配置界面配置OSPF動態(tài)路由（2）點擊上圖7號位的“Advanced”按鈕，然后在圖2-2-5所示彈框的“RouterID”選擇“IPAddress”選項，并在其后輸入“54”。圖2-2-5ASAv圖形配置界面配置OSPF動態(tài)路由的高級屬性彈框（3）如圖2-2-6所示，轉到“Area/Networks”標簽，點擊“Add”按鈕，選擇OSPF進程“1”，區(qū)域填寫“0”。AreaType保留默認值“No...”(即Normal)，宣告的網(wǎng)段填寫“”和“”,點擊“Add”按鈕，點擊“OK”按鈕，點擊“Apply”按鈕。此時防火墻的OSPF已經(jīng)配置完成，與防火墻相連的?；饏^(qū)路由器也要進行OSPF配置，以便互相學習。圖2-2-6ASAv圖形配置界面OSPF動態(tài)路由的area配置框

3.除了用圖形界面，也可用命令為防火墻的DMZ接口配OSPF動態(tài)路由，命令如下：ciscoasa(config)#routerospf1ciscoasa(config-router)#router-id54ciscoasa(config-router)#networkarea0

4.在DMZ的路由器上，配置OSPF動態(tài)路由，命令如下：R_DMZ(config)#routerospf1R_DMZ(config-router)#router-idR_DMZ(config-router)#network55area0R_DMZ(config-router)#network55area0兩臺配置了OSPF動態(tài)路由的設備可以互相學習對方宣告的網(wǎng)段，從而防火墻的路由表中學到了網(wǎng)段。

5.在ASAv上測試防火墻能否ping通?；饏^(qū)的服務器，命令如下：ciscoasa#pingSending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//測試結果中的“！”表示ping通了謝謝欣賞第2章

防火墻技術與入侵防御技術任務2.3遠程管理防火墻

計算機網(wǎng)絡中的防火墻可以將不安全的網(wǎng)絡與需要保護的網(wǎng)絡隔離開，并根據(jù)安全策略控制進出網(wǎng)絡的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網(wǎng)絡中是否有異常流量并及時阻斷，進一步保護網(wǎng)絡的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應用，以及簡單IDS功能。本章案例拓撲如圖2-0-1所示。圖2-0-1防火墻技術實驗拓撲圖

為了提高企業(yè)網(wǎng)絡的安全性，引入了ASAv，并將網(wǎng)絡劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務系統(tǒng)等僅供內(nèi)部用戶使用的服務器放在受信息的企業(yè)內(nèi)網(wǎng)中，對外提供服務的WEB服務器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務器和外網(wǎng)的服務器，DMZ區(qū)域的服務器通過NAT靜態(tài)地址轉換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡中的異常流量。為實現(xiàn)這些功能，需要對ASAv進行以下基本配置：1.配置接口，ping通ASAv。ping能到達防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠程管理接入、配置主機名、域名、密碼。3.配置各設備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務2.3遠程管理防火墻一、使用telnet遠程管理ASAv防火墻1.允許內(nèi)網(wǎng)用戶通過telnet訪問管理ASAv防火墻。命令如下：ciscoasa(config)#telnet00Inside2.在Inside主機上，輸入telnet54，系統(tǒng)提示輸入密碼，因為防火墻上還未為telnnet設置過密碼，因此，主機無法進一步連接。3.設置telnet訪問密碼，使內(nèi)網(wǎng)用戶通過該密碼（不使用用戶名），能用telnet命令連接到ASAv防火墻。方法如下：（1）在防火墻上，輸入如下命令：ciscoasa(config)#passwd123（2）在Inside主機上，輸入telnet命令連接防火墻。命令如下：C:\DocumentsandSettings\Administrator>telnet54UserAccessVerificationPassword://在此輸入密碼123，不會顯示出來，輸入完成后，按回車鍵即可ciscoasa>//成功連接到了防火墻3.除了只用密碼遠程連接防火墻，還可要求遠程連接的用戶通過ASAv的本地用戶名及密碼驗證后，才能通過telnet連接到防火墻。方法如下：（1）在防火墻上，輸入如下命令：ciscoasa(config)#aaaauthenticationtelnetconsoleLOCAL（2）之前已經(jīng)在防火墻上創(chuàng)建了本地用戶user1和密碼cisco。此時，在Inside主機上，輸入telnet命令，再按提示輸入用戶名user1，密碼cisco，就可成功連接到防火墻上：C:\DocumentsandSettings\Administrator>telnet54UserAccessVerificationUsername:user1//輸入用戶名Password:*****//輸入密碼ciscoasa>//成功連接到防火墻三、使用ssh管理ASAv防火墻由于telnet的密碼是明文傳輸?shù)?，不太安全，所以建議改用經(jīng)過加密處理的ssh來遠程管理防火墻。下面，先介紹SSH的配置方法。SSH的工作原理留待下一章數(shù)據(jù)加密技術中講解。（一）使用ssh管理ASAv防火墻，配置方法如下：1.在防火墻上，輸入以下命令，允許內(nèi)網(wǎng)和外網(wǎng)的用戶通過ssh管理ASAv防火墻。ciscoasa(config)#ssh00Insideciscoasa(config)#ssh00Outside2.生成用于SSH連接的密鑰對，方法如下：ciscoasa(config)#cryptokeygeneratersamodulus7683.為防火墻配置本地用戶名及密碼，啟用SSH的本地驗證，命令如下：ciscoasa(config)#usernameuser1passwordciscoprivilege15ciscoasa(config)#aaaauthenticationsshconsoleLOCAL（二）在內(nèi)網(wǎng)路由器上遠程連接防火墻，命令如下：R_Inside#ssh-luser154Password://此處輸入密碼ciscociscoasa>//成功連接到了防火墻（三）在外網(wǎng)路由器上遠程連接防火墻，命令如下：R_Outside#ssh-luser154Password://此處輸入密碼ciscociscoasa>//成功連接到了防火墻謝謝欣賞第2章

防火墻技術與入侵防御技術任務2.4安全區(qū)域間通過NAT訪問

計算機網(wǎng)絡中的防火墻可以將不安全的網(wǎng)絡與需要保護的網(wǎng)絡隔離開，并根據(jù)安全策略控制進出網(wǎng)絡的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網(wǎng)絡中是否有異常流量并及時阻斷，進一步保護網(wǎng)絡的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應用，以及簡單IDS功能。本章案例拓撲如圖2-0-1所示。圖2-0-1防火墻技術實驗拓撲圖

為了提高企業(yè)網(wǎng)絡的安全性，引入了ASAv，并將網(wǎng)絡劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務系統(tǒng)等僅供內(nèi)部用戶使用的服務器放在受信息的企業(yè)內(nèi)網(wǎng)中，對外提供服務的WEB服務器放在停火區(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務器和外網(wǎng)的服務器，DMZ區(qū)域的服務器通過NAT靜態(tài)地址轉換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡中的異常流量。為實現(xiàn)這些功能，需要對ASAv進行以下基本配置：1.配置接口，ping通ASAv。ping能到達防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠程管理接入、配置主機名、域名、密碼。3.配置各設備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務2.4安全區(qū)域間通過NAT訪問

NAT是一種網(wǎng)絡地址轉換技術，分為靜態(tài)NAT、動態(tài)NAT、PAT等。靜態(tài)NAT可實現(xiàn)內(nèi)部地址與外部地址的一對一轉換，可用于服務器對外提供服務，同時對外隱藏內(nèi)部地址。PAT（PortAddressTranslation）也稱為NAPT（NetworkAddressPortTranslation），可實現(xiàn)內(nèi)網(wǎng)多臺主機共用一個外部地址訪問其它區(qū)域，不同主機的區(qū)分通過分配不同的端口號來實現(xiàn)，對其他區(qū)域隱藏主機的內(nèi)部地址，避免來自其它區(qū)域的攻擊。下面首先介紹如何在防火墻上配置PAT，實現(xiàn)內(nèi)網(wǎng)訪問停火區(qū)（DMZ）的WEB服務、外網(wǎng)的WEB服務和外網(wǎng)的DNS服務。然后介紹如何配置靜態(tài)NAT，實現(xiàn)外網(wǎng)用戶訪問?；饏^(qū)（DMZ）的WEB服務。具體任務如下：1.在DMZ區(qū)域的win2003服務器上安裝WEB服務（IIS）。通過配置IIS，創(chuàng)建一個網(wǎng)站，為該網(wǎng)站新建首頁。2.在防火墻上配置PAT，實現(xiàn)內(nèi)網(wǎng)主機對?；饏^(qū)（DMZ）的WEB服務的訪問，對?；饏^(qū)隱藏主機的內(nèi)部地址。3.在外網(wǎng)的win2003服務器上安裝DNS服務和WEB服務（IIS）。通過配置DNS服務，實現(xiàn)對域名和的解釋，讓它們都指向外網(wǎng)的WEB服務器。通過配置IIS，創(chuàng)建兩個網(wǎng)站，分別是和，為這兩個網(wǎng)站新建首頁。4.在防火墻上配置PAT，實現(xiàn)內(nèi)網(wǎng)主機對外網(wǎng)兩個網(wǎng)站和的訪問，訪問時對外隱藏主機的內(nèi)部地址。5.在防火墻上配置靜態(tài)NAT，實現(xiàn)外網(wǎng)對?；饏^(qū)（DMZ）的WEB服務的訪問，訪問的地址是經(jīng)過NAT轉換后的?；饏^(qū)WEB服務器的外部地址，對外隱藏WEB服務器的內(nèi)部地址。具體配置如下：一、在?；饏^(qū)（DMZ）架設WEB服務器1.在DMZ區(qū)域的win2003服務器上安裝WEB服務（IIS）。配置IIS，先停用默認網(wǎng)站，再創(chuàng)建一個新網(wǎng)站，為該網(wǎng)站新建首頁。2.在服務器的瀏覽器上輸入“/”測試，網(wǎng)站可正常訪問。二、內(nèi)網(wǎng)通過網(wǎng)絡地址轉換（NAT）實現(xiàn)對DMZ服務器的訪問在防火墻上配置PAT，實現(xiàn)內(nèi)網(wǎng)主機對?；饏^(qū)（DMZ）的WEB服務的訪問，并隱藏主機的內(nèi)部地址。1.通過圖形界面為防火墻配置PAT的方法如下：（1）如圖2-4-1所示，在網(wǎng)絡管理員的win7電腦上，登錄進入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>NATRules，點擊“Add”按鈕。在彈出的對話框中，OriginalPacket欄的SourceInterface選擇“Inside”，DestinationInterface選擇“DMZ”，TranslatedPacket欄的SourceNATType選“DynamicPAT(Hide)”，SourceAddress選“DMZ”，點擊“OK”按鈕，點擊“Apply”按鈕。圖2-4-1圖形界面中為防火墻配置PAT2.與圖形界面配置PAT相同功能的命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_1subnetnat(Inside,DMZ)dynamicpat-poolinside_dmz3.內(nèi)網(wǎng)訪問?；饏^(qū)（DMZ）所需的路由配置（1）內(nèi)網(wǎng)路由器的路由表中沒有DMZ的網(wǎng)段信息，可通過給內(nèi)網(wǎng)路由器配置默認路由，下一跳指向防火墻，由防火墻負責進一步的轉發(fā)。命令如下：R_Inside(config)#iproute54（2）之前的配置已經(jīng)使防火墻的路由表認識了內(nèi)網(wǎng)、外網(wǎng)和?；饏^(qū)（DMZ）的所有網(wǎng)段，防火墻無需再作路由配置。（3）內(nèi)網(wǎng)電腦的地址到達?；饏^(qū)時，已經(jīng)被轉換成?；饏^(qū)網(wǎng)段的地址，所以?；饏^(qū)路由器的路由表無需認識內(nèi)網(wǎng)地址，也無需再作路由配置。4.在內(nèi)網(wǎng)電腦的瀏覽器中，輸入進行測試，結果是內(nèi)網(wǎng)可以訪問DMZ區(qū)域的網(wǎng)站。三、在外網(wǎng)的win2003服務器上安裝DNS服務和WEB服務（IIS）。通過配置DNS服務，實現(xiàn)對域名和的解釋，讓它們都指向外網(wǎng)的WEB服務器。通過配置IIS，創(chuàng)建兩個網(wǎng)站，分別是和，為這兩個網(wǎng)站新建首頁。在服務器自身的瀏覽器中，輸入進行測試，結果是可以訪問網(wǎng)站。輸入進行測試，結果是可以訪問網(wǎng)站。四、在防火墻上配置PAT，實現(xiàn)內(nèi)網(wǎng)主機對外網(wǎng)兩個網(wǎng)站和的訪問，訪問時對外隱藏主機的內(nèi)部地址。方法可參看圖2-4-1所示用PAT實現(xiàn)的對DMZ服務器的訪問。同樣也可以通過命令實現(xiàn)，具體命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_2subnetnat(Inside,Outside)dynamicinterface因為沿途設備的路由表已經(jīng)具備所需路由條目，所以在內(nèi)網(wǎng)電腦的瀏覽器中，輸入進行測試，結果是內(nèi)網(wǎng)可以訪問外網(wǎng)的網(wǎng)站。在內(nèi)網(wǎng)電腦的瀏覽器中，輸入進行測試，結果是內(nèi)網(wǎng)可以訪問外網(wǎng)的網(wǎng)站。五、在防火墻上配置靜態(tài)NAT，實現(xiàn)外網(wǎng)對?；饏^(qū)（DMZ）的WEB服務的訪問，訪問時訪問的是?；饏^(qū)（DMZ）的WEB服務器經(jīng)過NAT轉換后的外部地址，而隱藏了WEB服務器的內(nèi)部地址。1.通過圖形界面為防火墻配置靜態(tài)NAT的方法，請讀者參考前例實現(xiàn)。2.通過命令配置的方法，可在ASAv防火墻上，輸入以下命令實現(xiàn)：objectnetworkDMZ_Serverhostnat(DMZ,Outside)static3.通過在ASAv防火墻上配置ACL，允許外網(wǎng)訪問?；饏^(qū)的WEB服務，命令如下：access-listOutside_DMZextendedpermittcpanyobjectDMZ_Servereqwwwaccess-groupOutside_DMZininterfaceOutside4.沿途設備所需的路由配置，思路如下：（1）?；饏^(qū)（DMZ）路由器的路由表中沒有外網(wǎng)的網(wǎng)段信息，可通過給?；饏^(qū)（DMZ）路由器配置默認路由，下一跳指向防火墻，由防火墻負責進一步的轉發(fā)。命令如下：R_DMZ(config)#iproute54（2）之前的配置使防火墻的路由表已經(jīng)認識了內(nèi)網(wǎng)、外網(wǎng)和?；饏^(qū)（DMZ）的所有網(wǎng)段，防火墻無需再作路由配置。（3）DMZ服務器的地址進入外網(wǎng)時，會經(jīng)NAT轉換為，所以要為外網(wǎng)路由器配置去往網(wǎng)段的路由，命令如下：R_Outside(config)#iproute545.在外網(wǎng)瀏覽器上輸入進行測試，能成功訪問DMZ區(qū)域的WEB服務。謝謝欣賞第2章

防火墻技術與入侵防御技術任務2.5控制穿越防火墻的流量

計算機網(wǎng)絡中的防火墻可以將不安全的網(wǎng)絡與需要保護的網(wǎng)絡隔離開，并根據(jù)安全策略控制進出網(wǎng)絡的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網(wǎng)絡中是否有異常流量并及時阻斷，進一步保護網(wǎng)絡的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應用，以及簡單IDS功能。本章案例拓撲如圖2-0-1所示。圖2-0-1防火墻技術實驗拓撲圖

為了提高企業(yè)網(wǎng)絡的安全性，引入了ASAv，并將網(wǎng)絡劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務系統(tǒng)等僅供內(nèi)部用戶使用的服務器放在受信息的企業(yè)內(nèi)網(wǎng)中，對外提供服務的WEB服務器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務器和外網(wǎng)的服務器，DMZ區(qū)域的服務器通過NAT靜態(tài)地址轉換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡中的異常流量。為實現(xiàn)這些功能，需要對ASAv進行以下基本配置：1.配置接口，ping通ASAv。ping能到達防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠程管理接入、配置主機名、域名、密碼。3.配置各設備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務2.5控制穿越防火墻的流量

一、通過監(jiān)控ICMP實現(xiàn)不同區(qū)域間的互ping

ASA是狀態(tài)化監(jiān)控防火墻，通過安全級別來控制流量對防火墻的穿越。默認情況下，高安全級別可訪問低安全級別，并監(jiān)控TCP和UDP流量，維護它們的狀態(tài)化信息。例如telnet屬于tcp流量，從內(nèi)部的高安全級別的接口去往外部低安全級別的外網(wǎng)，默認是放行的，telnet出去的同時，防火墻記錄了telnet的狀態(tài)化信息?；貋頃r，從低安全級別的外部接口回到高安全級別的內(nèi)部接口，默認是不放行的，但由于記錄了從內(nèi)到外的狀態(tài)化信息，知道這是telnet返回的流量，就能放行了。

而ping不屬于防火墻默認的狀態(tài)監(jiān)控范圍。互相之間能ping通的含義是指icmp數(shù)據(jù)包可以去到目標，并從目標返回。ping的時候，icmp數(shù)據(jù)包可以從高安全級別的內(nèi)網(wǎng)去往低安全級別的外網(wǎng)，但卻無法從低安全級別的外網(wǎng)返回高安全級別的內(nèi)網(wǎng)。若要使ping能穿越ASA防火墻返回，就要手動配置防火墻，讓它監(jiān)控icmp的狀態(tài)化信息。監(jiān)控icmp需要用到：service-policy、policy-map和class-map。其中：service-policy用來指定策略是對某個接口生效，還是對所有接口生效。policy-map用來指定策略的行為，如：進行狀態(tài)化監(jiān)控、做優(yōu)先級隊列、限制連接數(shù)量等。1.命令行方式的配置，分析如下：用“showrun”命令和“class-mapinspection_default”下的“match?”命令，可以查看系統(tǒng)默認的MPF（ModularPolicyFramework）。通過這些命令，可以看到：service-policyglobal_policyglobal ①policy-mapglobal_policy ②classinspection_default

③inspectip-options ④inspectnetbiosinspectrtspinspectsunrpcinspecttftpinspectxdmcpinspectdnspreset_dns_mapinspectftpinspecth323h225inspecth323rasinspectrshinspectesmtpinspectsqlnetinspectsipinspectskinny

⑤class-mapinspection_default ⑥matchdefault-inspection-traffic ⑦default-inspection-traffic: ⑧ctiqbe----tcp--2748diameter--tcp--3868diameter--tcp/tls--5868diameter--sctp-3868dns-------udp--53ftp-------tcp--21gtp-------udp--2123,3386h323-h225-tcp--1720h323-ras--udp--1718-1719http------tcp--80icmp------icmpils-------tcp--389ip-options-----rsvpm3ua------sctp-2905mgcp------udp--2427,2727netbios---udp--137-138radius-acct----udp--1646rpc-------udp--111rsh-------tcp--514rtsp------tcp--554sip-------tcp--5060sip-------udp--5060skinny----tcp--2000smtp------tcp--25sqlnet----tcp--1521tftp------udp--69vxlan-----udp--4789waas------tcp--1-65535xdmcp-----udp--177①service-policyglobal_policyglobal,表示系統(tǒng)默認的global_policy生效范圍是global的，不僅僅是對某個接口生效，而是對所有接口都生效。②、③、④、⑤說明系統(tǒng)默認的global_policy對符合class條件的流量，監(jiān)控從④到⑤之間的流量，比如ip-optons、ftp等。那么，class條件是什么呢？通過③:classinspection_default可以知道，class條件是inspection_default。通過⑥和⑦可以知道，inspection_default條件是符合default-inspection-traffic的所有流量。通過⑧可以知道，default-inspection-traffic包括DNS、FTP、ICMP等。也就是說，ICMP屬于默認的class條件，但不屬于默認的監(jiān)控行為，因此，只要在policy-mapglobal_policy和classinspection_default后，加上命令inspecticmp，就可以開啟對ICMP的監(jiān)控了。即先寫上這兩條默認命令：ciscoasa(config)#policy-mapglobal_policyciscoasa(config-pmap)#classinspection_default再加上一條對ICMP監(jiān)控的命令，就可以讓ping穿越防火墻，實現(xiàn)內(nèi)網(wǎng)ping通外網(wǎng)及DMZ區(qū)域了。命令如下：ciscoasa(config-pmap-c)#inspecticmp2.也可用圖形界面進行配置。例如，實現(xiàn)內(nèi)網(wǎng)-的電腦可以ping通外網(wǎng)和停火區(qū)，方法如圖2-4-2、2-4-3、2-4-4、2-4-5所示。在網(wǎng)絡管理員的win7電腦上，登錄進入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>ServicePolicyRules，點擊“Add”按鈕。在彈出的對話框中，Interface選擇“Inside”，點擊“Next”按鈕，在彈出的對話框中，創(chuàng)建的trafficClass用默認值“Inside-Class”，勾選“SourceandDestinationIPAddress(useACL)”，點擊“Next”按鈕,在彈出的對話框中，Action用默認值“Match”，Source設置為“/30”，Destination設置為“any”，Service設置為“icmp”，點擊“Next”按鈕，在彈出的對話框中，勾選“ICMP”，點擊“Finish”按鈕，點擊“Apply”按鈕，完成配置。圖2-4-2圖形界面開啟對ICMP或HTTP的監(jiān)控1圖2-4-3圖形界面開啟對ICMP或HTTP的監(jiān)控2圖2-4-4圖形界面開啟對ICMP的監(jiān)控1

完成以上配置后，內(nèi)網(wǎng)-的電腦可以ping通外網(wǎng)和?；饏^(qū)了。

二、通過ACL控制不同區(qū)域間互ping

除了通過監(jiān)控ICMP實現(xiàn)高安全級區(qū)域ping通低安全級區(qū)域，還可通過配置ACL來實現(xiàn)。例如，為了實現(xiàn)高安全級的內(nèi)網(wǎng)ping通低安全級的外網(wǎng)，可在防火墻上輸入以下命令：ciscoasa(config)#access-listpingACLextendedpermiticmpanyanyciscoasa(config)#access-grouppingACLininterfaceOutside圖2-4-5圖形界面開啟對ICMP的監(jiān)控2謝謝欣賞第2章

防火墻技術與入侵防御技術任務2.6控制主機對外網(wǎng)的訪問

計算機網(wǎng)絡中的防火墻可以將不安全的網(wǎng)絡與需要保護的網(wǎng)絡隔離開，并根據(jù)安全策略控制進出網(wǎng)絡的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網(wǎng)絡中是否有異常流量并及時阻斷，進一步保護網(wǎng)絡的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應用，以及簡單IDS功能。本章案例拓撲如圖2-0-1所示。圖2-0-1防火墻技術實驗拓撲圖

為了提高企業(yè)網(wǎng)絡的安全性，引入了ASAv，并將網(wǎng)絡劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務系統(tǒng)等僅供內(nèi)部用戶使用的服務器放在受信息的企業(yè)內(nèi)網(wǎng)中，對外提供服務的WEB服務器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務器和外網(wǎng)的服務器，DMZ區(qū)域的服務器通過NAT靜態(tài)地址轉換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡中的異常流量。為實現(xiàn)這些功能，需要對ASAv進行以下基本配置：1.配置接口，ping通ASAv。ping能到達防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠程管理接入、配置主機名、域名、密碼。3.配置各設備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務2.6控制主機對外網(wǎng)的訪問一、控制主機只能訪問指定網(wǎng)站通過對ASAv防火墻進行ACL和Policy-map配置，控制內(nèi)網(wǎng)-的主機只能訪問域名末尾是的網(wǎng)站。下面分別通過圖形界面和命令實現(xiàn)。1.圖形界面實現(xiàn)的方法如下：如圖2-4-2、2-4-3、2-4-6、2-4-7、2-4-8、2-4-9、2-4-10、2-4-11、2-4-12所示，在網(wǎng)絡管理員的win7電腦上，登錄進入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>ServicePolicyRules，點擊“Add”按鈕。在彈出的對話框中，Interface選擇“Inside”，點擊“Next”按鈕，在彈出的對話框中，創(chuàng)建的trafficClass用默認值“Inside-Class”，勾選“SourceandDestinationIPAddress(useACL)”，點擊“Next”按鈕,在彈出的對話框中，Action用默認值“Match”，Source設置為“/29”，Destination設置為“any”，Service設置為“tcp/http”，點擊“Next”按鈕，在彈出的對話框中，勾選“HTTP”，點擊“Configure...”按鈕，在彈出的對話框中選擇“SelectanHTTPinspectmapforfinecontroloverinspection”選項，點擊“Add”按鈕，在彈出的對話框中，Name命名為“policy2”，點擊“Details”按鈕，在彈出的對話框中，選擇“Inspections”選項夾，點擊“Add”按鈕，在彈出的對話框中，選擇“SingleMatch”選項，MatchType選擇“NoMatch”選項，Criterion選擇“RequestHeaderField”選項，F(xiàn)ield的Predefined值選擇“host”，Value的RegularExpression點擊“Manage...”按鈕自行定義，在彈出的對話框中，Name命名為“url1”，Value值設置為“\.lcvc\.cn”，用來代表以“”結尾的網(wǎng)址，多次點擊“OK”按鈕，完成配置。圖2-4-6圖形界面開啟對HTTP的監(jiān)控1圖2-4-7圖形界面開啟對HTTP的監(jiān)控2圖2-4-8圖形界面開啟對HTTP的監(jiān)控3圖2-4-9圖形界面開啟對HTTP的監(jiān)控4圖2-4-10圖形界面開啟對HTTP的監(jiān)控5圖2-4-11圖形界面開啟對HTTP的監(jiān)控6圖2-4-12圖形界面開啟對HTTP的監(jiān)控72.與圖形界面相同功能的命令如下：access-listfilter1extendedpermittcp48anyeqwwwclass-mapclass1matchaccess-listfilter1//class1用于匹配IP地址屬于-的主機。regexurl1"\.lcvc\.cn"http://正則表達式url1用于匹配“.”。class-maptypeinspecthttpmatch-allclass2matchnotrequestheaderhostregexurl1//class2用于匹配不是以“.”結尾的網(wǎng)站。policy-maptypeinspecthttppolicy1classclass2drop-connectionlog//對于符合class2條件的網(wǎng)站，即不以“.”結尾的網(wǎng)站，拒絕其連接并做日志記錄。policy-mappolicy2classclass1inspecthttppolicy1//對于符合class1條件的主機，即IP地址屬于-的主機，調(diào)用policy1這條policy-map。service-policypolicy2interfaceInside//將policy2應用到Inside接口上。3.測試內(nèi)網(wǎng)-的主機能否訪問外網(wǎng)和這兩個網(wǎng)站。（1）在內(nèi)網(wǎng)主機上測試。為避免上次實驗緩存對本次測試的影響，先關閉瀏覽器，再重新打開瀏覽器。（2）在瀏覽器上，輸入，可正常訪問。（3）在瀏覽器上，輸入，無法訪問。4.測試內(nèi)網(wǎng)不屬于-的主機能否訪問外網(wǎng)和這兩個網(wǎng)站。（1）將內(nèi)網(wǎng)主機的地址改為。（2）為避免上次實驗緩存對本次測試的影響，先關閉瀏覽器，再重新打開瀏覽器。（3）在瀏覽器上，輸入，可正常訪問。（4）在瀏覽器上，輸入，可正常訪問。二、禁止主機訪問指定網(wǎng)站禁止內(nèi)網(wǎng)的所有主機訪問域名末尾是的網(wǎng)站，圖形界面的配置請讀者參看前例自行完成，用命令行配置的方法如下：1.在ASAv防火墻上，輸入以下命令：access-listfilter2extendedpermittcpanyanyeqwwwclass-mapclass3matchaccess-listfilter2regexurl2"\.game\.com"class-maptypeinspecthttpmatch-allclass4matchrequestheaderhostregexurl2policy-maptypeinspecthttppolicy3classclass4drop-connectionlogpolicy-mappolicy2classclass3inspecthttppolicy3//policy2已經(jīng)在上例中應用到了Inside接口上，因此，不需要再次執(zhí)行service-policypolicy2interfaceInside命令。2.測試內(nèi)網(wǎng)IP地址不屬于-范圍的主機能否正常訪問外網(wǎng)和這兩個網(wǎng)站。我們以IP地址為的主機進行測試：（1）為避免上次實驗緩存對本次測試的影響，先關閉瀏覽器，再重新打開瀏覽器。（2）在瀏覽器上，輸入，可正常訪問。（3）在瀏覽器上，輸入，不能正常訪問。3.測試內(nèi)網(wǎng)IP地址屬于-的主機能否正常訪問外網(wǎng)和這兩個網(wǎng)站。我們將內(nèi)網(wǎng)主機的地址改為后測試：（1）為避免上次實驗緩存對本次測試的影響，先關閉瀏覽器，再重新打開瀏覽器。（2）在瀏覽器上，輸入，可正常訪問。（3）在瀏覽器上，輸入，不能正常訪問。謝謝欣賞第2章

防火墻技術與入侵防御技術任務2.7穿越防火墻的灰鴿子木馬實驗任務2.7穿越防火墻的灰鴿子木馬實驗

實驗拓撲如圖2-7-1所示。其中，內(nèi)網(wǎng)的win1和外網(wǎng)的win2都采用win2003。圖2-7-1穿越防火墻的木馬實驗拓撲一、防火墻配置代碼清單ciscoasa>enPassword://默認密碼為空ciscoasa#conftciscoasa(config)#intg0/0ciscoasa(config-if)#ipaddciscoasa(config-if)#noshuciscoasa(config-if)#nameifDMZINFO:Securitylevelfor"DMZ"setto0bydefault.ciscoasa(config-if)#security-level50ciscoasa(config-if)#intg0/1ciscoasa(config-if)#ipaddciscoasa(config-if)#noshuciscoasa(config-if)#nameifoutsideINFO:Securitylevelfor"outside"setto0bydefault.ciscoasa(config-if)#exitciscoasa(config)#objectnetworkdmzwebciscoasa(config-network-object)#host0ciscoasa(config-network-object)#nat(dmz,outside)staticinterfaceservicetcp8080

//啟用靜態(tài)PAT，外網(wǎng)訪問outside接口公網(wǎng)地址的80端口將轉換為訪問DMZ服務器網(wǎng)站ciscoasa(config-network-object)#exitciscoasa(config)#objectnetworkdmzweb2ciscoasa(config-network-object)#host0ciscoasa(config-network-object)#nat(DMZ,outside)staticinterfaceservicetcp80008000//啟用靜態(tài)PAT，外網(wǎng)訪問outside接口公網(wǎng)地址的8000端口將轉換為訪問DMZ服務器木馬ciscoasa(config-network-object)#exitciscoasa(config)#access-listoutaclpermittcpanyhost0eq80//允許外網(wǎng)通過防火墻的outside接口訪問DMZ服務器網(wǎng)站ciscoasa(config)#access-listoutaclpermittcpanyhost0eq8000

//允許外網(wǎng)通過防火墻的outside接口訪問DMZ服務器木馬ciscoasa(config)#access-groupoutaclinintoutside

二、新建網(wǎng)站攻擊者在D