下一代互聯(lián)網(wǎng)（IPv6）搭建與運(yùn)維（初級 ） 課件單元4 防火墻基本管理 任務(wù)1

單元4防火墻基本管理單元概述本單元主要介紹防火墻管理，防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理。管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。在防火墻的管理中，最為常見的是通過SNMP進(jìn)行管理，是由Internet工程任務(wù)組織(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。任務(wù)1登錄防火墻任務(wù)情景祥云公司為了讓維護(hù)人員配置某機(jī)房防火墻設(shè)備的時候方便一些，委托某集成公司在公司機(jī)房中的防火墻設(shè)備上通過使用Console線纜對防火墻進(jìn)行CLI界面配置，開啟接口的ssh功能和telnet功能，使得后面維護(hù)人員不用通過Console線纜到現(xiàn)場進(jìn)行CLI界面配置，可以通過遠(yuǎn)程終端配置該防火墻設(shè)備。任務(wù)拓?fù)洌鐖D4-1-1所示。圖4-1-1網(wǎng)絡(luò)拓?fù)鋵W(xué)習(xí)目標(biāo)

使用Console線連接配置防火墻使用Telnet配置防火墻使用SSH配置防火墻任務(wù)分析本任務(wù)是學(xué)習(xí)如何入門使用防火墻，通過以下兩方面先認(rèn)識防火墻的外觀和連接。一、防火墻設(shè)備全部模塊一共有8個模塊，當(dāng)中有6個為電口模塊，2個為光口模塊，ge0-ge5都為電口模塊，ge6-ge7都為光口模塊，臺式計算機(jī)使用以太網(wǎng)線連接防火墻上的6個電口模塊進(jìn)行測試，模塊的led燈是否正常亮起。實驗方法：使用PC以太網(wǎng)線連接防火墻GE0口，查看是否正常亮燈如圖4-1-2所示。圖4-1-2PC連接防火墻二、通過光纖電纜互相連接ge6口和ge7口模塊進(jìn)行測試，觀察模塊的led燈是否正常亮起。實驗方法：使用光纖電纜互相連接到防火墻中的Ge6和Ge7口進(jìn)行測試，查看是否正常亮燈如圖4-1-3所示。圖4-1-3光纖電纜互連預(yù)備知識防火墻的基本概念：所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)（如Internet）分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制手段，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、復(fù)制和毀壞你的重要信息。防火墻模塊分兩種，一種為電口模塊，一種為光纖模塊。RJ45模塊：RJ45插頭又稱為RJ45水晶頭（RJ45ModularPlug），用于數(shù)據(jù)電纜的端接，實現(xiàn)設(shè)備、配線架模塊間的連接及變更。對RJ45水晶頭要求具有良好的導(dǎo)通性能；滿足超5類傳輸標(biāo)準(zhǔn)，符合T568A和T568B線序；具有防止松動、插拔、自鎖等功能。SFP光模塊：作用就是光電轉(zhuǎn)換，發(fā)送端把電信號轉(zhuǎn)換成光信號，通過光纖傳輸后，接收端再把光信號轉(zhuǎn)換成電信號，由于其體積小，集成度高等特點。防火墻支持本地與遠(yuǎn)程兩種環(huán)境配置方法，分別為CLI、Telnet、SSH三種方式進(jìn)行配置。CLI：命令行界面是在圖形用戶界面得到普及之前使用最為廣泛的用戶界面，它通常不支持鼠標(biāo)，用戶通過鍵盤輸入指令，計算機(jī)接收到指令后，予以執(zhí)行。也有人稱之為字符用戶界面（CUI）。Telnet：Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式，它為用戶提供了在本地計算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。SSH：SSH為建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議。SSH是較可靠，專為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題。防火墻的ge0接口是作為防火墻設(shè)備的默認(rèn)管理接口，默認(rèn)管理IP地址為，該接口下默認(rèn)開啟了ssh功能的，默認(rèn)沒有開啟telnet功能要自己進(jìn)入CLI界面對接口進(jìn)行配置，所以可以通過電腦直連該接口進(jìn)行上面的遠(yuǎn)程配置實驗。任務(wù)實施第1步：建立本地配置環(huán)境1.用標(biāo)準(zhǔn)的RS-232電纜將PC的USB轉(zhuǎn)串口連接，然后插到設(shè)備的COM口，然后查看USB轉(zhuǎn)串口的驅(qū)動安裝，安裝完成后有以下這個效果如圖4-1-4所示：圖4-1-4查看serial端口2.在計算機(jī)上運(yùn)行終端仿真程序（系統(tǒng)的超級終端等）建立不同設(shè)備的連接。如圖4-1-5所示圖4-1-5SecureCRT連接設(shè)置按照下表配置終端參數(shù)如下：

端口：COM3波特率：9600數(shù)據(jù)位：8奇偶校驗：無

停止位：1流量控制：無

（任何一個都不要勾選上，否則進(jìn)入不了配置界面）1.測試結(jié)果與分析給設(shè)備上電，設(shè)備會進(jìn)行自檢，并且自動進(jìn)行系統(tǒng)初始化配置。如果系統(tǒng)啟動成功，會出現(xiàn)登錄提示“l(fā)ogin：”。在登錄提示后輸入默認(rèn)管理員名稱“admin”并敲回車鍵，界面出現(xiàn)密碼提示“password”，輸入默認(rèn)密碼“admin”并敲回車鍵，此時用戶便成功登錄并且進(jìn)入CLI配置界面。成功進(jìn)入CLI配置界面如圖4-1-6所示：圖4-1-6CLI配置界面注意事項：?要是進(jìn)入不了配置界面的話，就得查看設(shè)備管理器USB轉(zhuǎn)COM口的驅(qū)動有沒有安裝成功了，沒有安裝肯定進(jìn)不去，然后安裝成功了還是進(jìn)不去的話就有兩個原因，第一是驅(qū)動有問題，安裝完了雖然也會出現(xiàn)com字眼的接口，但是進(jìn)不去配置界面；第二是流控問題，不要勾選上三個流控三個選項的其中一個，勾選上了都進(jìn)不了配置界面。溫馨提示：?用命令對設(shè)備進(jìn)行配置或者查看設(shè)備的運(yùn)行狀態(tài)。使用命令時可隨時鍵入“？”尋求幫助。第2步：通過CLI配置界面配置接口上的Telnet功能要用

Telnet通過局域網(wǎng)或廣域網(wǎng)登錄到設(shè)備并對其進(jìn)行配置，滿足下面的條件：1.已經(jīng)為設(shè)備被連接接口配置了正確的

IP地址，并且開啟了被連接接口的Telnet管理功能。開啟接口的Telnet管理功能，在接口配置模式執(zhí)行allowtelnet命令。2.在配置終端不設(shè)備之間有可達(dá)路由。3.將計算機(jī)的以太網(wǎng)口跟設(shè)備的ge0接口相連接，使用console線進(jìn)入配置界面運(yùn)行

allowtelnet命令開啟被連接接口的

Telnet管理功能驗證配置：4.修改本機(jī)IP地址、掩碼、網(wǎng)關(guān)修改自己的本機(jī)IP地址為/24位網(wǎng)段內(nèi)的ip地址，這里使用的是，網(wǎng)關(guān)為ge0口上的IP地址。如圖4-1-7所示。圖4-1-7電腦IP地址配置5.測試結(jié)果在計算機(jī)上運(yùn)行終端仿真程序（系統(tǒng)的超級終端等）建立不同設(shè)備的連接，按照下表配置終端參數(shù)如下：如圖4-1-8所示。1.SecureCRTTelnet連接方法：如圖4-1-8、4-1-9所示。實驗方法：圖4-1-8SecureCRTTelnet連接設(shè)置圖4-1-9SecureCRTTelnet連接后顯示2.CMDTelnet連接方法：如圖4-1-10、4-1-11所示。實驗方法：1.在Windows系統(tǒng)下，按Win+R鍵打開“運(yùn)行”2.輸入CMD命令。3.輸入Telnet[設(shè)備IP地址]，回車輸入賬號密碼登錄即可。如圖4-1-10和4-1-11所示。圖4-1-10CMDTelnet連接配置圖4-1-11CMDTelnet連接后顯示使用CMD終端使用Telnet命令的話需要安裝Telnet此服務(wù)，安裝此服務(wù)的方法：進(jìn)入控制面板——點擊程序和功能——點擊啟用或關(guān)閉windows功能——找到Telnetclient勾選確定。如圖4-1-12、4-1-13、4-1-14所示。圖4-1-12安裝Telnet客戶端(1)圖4-1-14安裝Telnet客戶端(3)圖4-1-13安裝Telnet客戶端(2)注意事項：用Telnet方法配置設(shè)備時，請不要隨意改變設(shè)備上配置了Telnet連接的接口的IP地址，改變該接口IP地址會導(dǎo)致Telnet斷開連接。第3步：通過CLI配置界面配置接口上的SSH功能1.要用SSH通過局域網(wǎng)或廣域網(wǎng)登錄到設(shè)備并對其進(jìn)行配置，首先必須保證以下各項條件都已經(jīng)滿足：（1）已經(jīng)為設(shè)備被連接接口配置了正確的IP地址，并且開啟了被連接接口的SSH管理功能。開啟接口的SSH管理功能，在接口配置模式執(zhí)行allowssh命令。（2）在配置終端設(shè)備之間有可達(dá)路由。（3）將計算機(jī)的以太網(wǎng)口跟設(shè)備的ge0接口相連接。（4）運(yùn)行allowssh命令開啟被連接接口的SSH管理功能（默認(rèn)ge0口上是有開啟這個功能的，也可以不用輸入該命令，只是要通過其他接口進(jìn)行SSH遠(yuǎn)程控制的話就需要配置）（5）修改自己的本機(jī)IP地址為/24位網(wǎng)段內(nèi)的ip地址，這里使用的是，網(wǎng)關(guān)為我們ge0口上的IP地址。

2.在計算機(jī)上運(yùn)行終端仿真程序（系統(tǒng)的超級終端等）建立不同設(shè)備的連接。按照圖片4-1-15、4-1-16、4-1-17所示步驟配置終端參數(shù)：圖4-1-15SecureCRTSSH連接配置圖4-1-16SSH允許加密密鑰圖4-1-17SecureCRTSSH連接登錄成功如圖4-1-18所示。圖4-1-18SecureCRTSSH連接后顯示

3.使用CMD終端使用SSH命令，Win10默認(rèn)安裝了ssh客戶端功能所以不需要手動去安裝，這里直接進(jìn)入CMD使用命令：sshadmin@，@前面為用戶名，提示是否繼續(xù)連接，輸入yes，然后輸入密碼進(jìn)入到配置界面即測試成功。如圖4-1-19所示。圖4-1-19CMDSSH連接防火墻設(shè)備注意事項：用SSH方法配置設(shè)備時，請不要隨意改變設(shè)備上配置了SSH連接的接口的IP地址，改變該接口IP地址會導(dǎo)致SSH斷開連接。任務(wù)總結(jié)此任務(wù)讓我們對防火墻進(jìn)行了一個初步的了解和認(rèn)識，防火墻的概念是什么、有什么模塊、有什么作用、有什么功能等等。1.通過本任務(wù)可以了解到進(jìn)入防火墻配置的幾種方法：console線配置方法適用于現(xiàn)場調(diào)試或者排障使用，telnet和ssh一般都是使用遠(yuǎn)程登錄來進(jìn)行配置或管理，更簡單方便，不用去到現(xiàn)場使用配置線就能進(jìn)行配置和調(diào)試。2.Telnet和SSH的安全問題。網(wǎng)絡(luò)被攻擊，很多情況是由于服務(wù)器提供了Telnet服務(wù)引起的。Telnet服務(wù)有一個致命的弱點——它以明文的方式傳輸用戶名及口令，所以，很容易被別有用心的人竊取口令。目前，一種有效代替Telnet服務(wù)的有用工具就是SSH服務(wù)。SSH客戶端與服務(wù)器端通訊時，用戶名及口令均進(jìn)行了加密，有效防止了對口令的竊聽。設(shè)備支持以SSH的方式對設(shè)備的管理。任何一個有SSH功能的工作站都能通過TCP/IP網(wǎng)絡(luò)連接到設(shè)備。任務(wù)評價請根據(jù)實際情況填寫任務(wù)評價表4-1-1。表4-1-1任務(wù)評價表評價內(nèi)容評價目的標(biāo)準(zhǔn)方式學(xué)生自評教師評價表述連接防火墻的方式。學(xué)生掌握知識和技能的程度正確（2分）錯誤（0分）任務(wù)滿分為10分，根據(jù)學(xué)生任務(wù)完成情況評分。

規(guī)定時間內(nèi)，完成telnet連接防火墻。正確（2分）錯誤（0分）

規(guī)定時間內(nèi)，完成SSH連接防火墻。完成（3分）未完成（0分）

學(xué)生參與表現(xiàn)學(xué)生參與學(xué)習(xí)任務(wù)的態(tài)度與能力，團(tuán)隊合作的情況等。3分

合計*合計=學(xué)生自評40%+教師評價60%知識小測單選題1.Telnet協(xié)議和SSH協(xié)議比較的話，哪一個比較安全（

）

A.Telnet B.SSHB2.要通過telnet的方式登錄設(shè)備，命令是那一條（