《計算機網(wǎng)絡(luò)安全防護技術(shù)（第二版）》 課件 第2章-任務(wù)2.2配置防火墻的安全區(qū)域

第2章

防火墻技術(shù)與入侵防御技術(shù)編著：

秦?zé)鰟诖浣?/p>

任務(wù)2.2配置防火墻的安全區(qū)域

計算機網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時阻斷，進(jìn)一步保護網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實驗拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對外提供服務(wù)的WEB服務(wù)器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實現(xiàn)這些功能，需要對ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務(wù)2.2配置防火墻的安全區(qū)域

根據(jù)各網(wǎng)絡(luò)的可信度及其是否需要保護，可將防火墻所連接的各網(wǎng)絡(luò)劃分到不同安全級別的安全區(qū)域中。防火墻的各個接口屬于不同的安全區(qū)域，每個接口都需要命名和分配安全級別，安全級別的取值范圍是0到100。通過命令配置接口時，命名為Inside（不區(qū)分大小寫）的接口的安全級別就會自動被設(shè)置為100，其它名稱的接口的安全級別會自動設(shè)為0。管理員可手動調(diào)整各接口的安全級別。安全級別高的區(qū)域是接受防火墻保護的區(qū)域，安全級別低的區(qū)域是相對危險的區(qū)域。防火墻會放行從高安全級流向低安全級的流量，阻攔從低安全級流向高安全級的流量。

前面，我們已經(jīng)通過命令為防火墻的管理接口（Mgmt）配置了IP地址、設(shè)置了接口的名稱和接口的安全級別。防火墻的其它接口可用類似的命令來配置，也可通過圖形界面來配置。下面，我們分別通過圖形界面和通過命令的方式為防火墻的其它接口配置IP地址、開啟接口、設(shè)置接口名稱、設(shè)置接口的安全級別。

一、外網(wǎng)區(qū)域各設(shè)備地址的配置

1.外網(wǎng)是最不安全的區(qū)域，所以我們將防火墻外網(wǎng)接口的安全級別規(guī)劃為0。下面，我們配置防火墻外網(wǎng)接口Gi0/2的IP地址為：54/24、接口名稱為：Outside、安全級別為：0。通過圖形界面配置防火墻外網(wǎng)接口的方法如下：圖2-2-1ASAv圖形配置界面（1）如圖2-2-1所示，在ASAv的圖形配置界面中，點擊”Configuraiton”,選中其中的“DeviceSetup”，再選擇“InterfaceSetting”下的“Interfaces”，選中“GigabitEthernet0/2”。（2）點擊右側(cè)的“Edit”按鈕，在彈出的“EditInterface”對話框中，為“InterfaceName”項輸入“Outside”，“SecurityLevel”項輸入“0”，勾選上“EnableInterface”前的復(fù)選框，“IPAddress”項填入“0”,”SubnetMask”項選擇“”，點擊“OK”按鈕，點擊“Apply”按鈕，完成配置。2.除了用圖形界面配置，還可用命令配置，相同功能的命令如下：ciscoasa(config)#intg0/2ciscoasa(config-if)#nameifOutsideINFO:Securitylevelfor"Outside"setto0bydefault.//提示接口的安全級別被自動設(shè)置為0ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動外網(wǎng)路由器，將其命名為R_Outside，將它與防火墻相連的接口g0/0的地址配置為/24，在路由器上通過ping命令測試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_OutsideR_Outside(config)#intg0/0R_Outside(config-if)#ipaddR_Outside(config-if)#noshuR_Outside(config-if)#endR_Outside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//測試結(jié)果為“！”號，表示成功ping通了防火墻4.外網(wǎng)路由器的g0/1接口連接了外網(wǎng)服務(wù)器，為g0/1接口配置地址54/24，命令如下：R_Outside#configureterminalR_Outside(config)#intg0/1R_Outside(config-if)#ipadd54R_Outside(config-if)#noshu5.啟動一臺win2003虛擬機，將它連接到VMnet3，用作外網(wǎng)服務(wù)器。為它配置地址/24、缺省網(wǎng)關(guān)54、首選DNS服務(wù)器。用“ping54”命令測試它與外網(wǎng)路由器間的互通性，可以ping通。6.啟動一臺KaliLinux虛擬機，將它連接到VMnet3，用作外網(wǎng)的滲透測試主機。為它配置地址0/24、缺省網(wǎng)關(guān)54、首選DNS服務(wù)器。方法如下：（1）編輯interfaces文件，配置eth0網(wǎng)卡，命令如下：root@kali:~#vim/etc/network/interfacesautoeth0ifaceeth0inetstaticaddress0netmaskgateway54pre-upifconfigeth0hwether60:60:60:60:60:60按ESC鍵并輸入:wq命令，存盤退出。（2）編輯DNS配置文件,將設(shè)置為DNS服務(wù)器的地址，命令如下：root@eve-ng:~#vim/etc/resolv.confnameserver//輸入的內(nèi)容按ESC鍵并輸入:wq命令，存盤退出。（3）重啟eth0網(wǎng)卡，使配置生效。命令如下：root@kali:~#ifdowneth0root@kali:~#ifupeth0（4）在外網(wǎng)KaliLinux主機上用“ping54”命令測試它與外網(wǎng)路由器間的互通性，可以ping通。

二、外網(wǎng)區(qū)域各設(shè)備路由表的配置

外網(wǎng)共兩個網(wǎng)段，外網(wǎng)路由器與這兩個網(wǎng)段直連，所以其路由表已認(rèn)識這兩個網(wǎng)段，無需配置路由表。防火墻只與外網(wǎng)的一個網(wǎng)段直連，需要為防火墻的外網(wǎng)接口配一條靜態(tài)路由或默認(rèn)路由或動態(tài)路由，用來識別非直連的那個網(wǎng)段。因為現(xiàn)實中的外網(wǎng)由成千上萬的網(wǎng)段組成，外出流量比較適合于用默認(rèn)路由來實現(xiàn)，所以此處我們采用默認(rèn)路由，方法如下：

1.防火墻外網(wǎng)接口配默認(rèn)路由之前測試，防火墻ping不通外網(wǎng)服務(wù)器。

2.用圖形界面為防火墻的外網(wǎng)接口配默認(rèn)路由，方法如下：

（1）如圖2-2-2所示，在網(wǎng)絡(luò)管理員的win7電腦上，進(jìn)入ASAv的圖形配置界面ASDM，找到Configuration>DeviceSetup>Routing>StaticRoutes,點擊“Add”按鈕，接口Interface選擇“Outside”，Network設(shè)置為“0/0”用作目標(biāo)，GatewayIP設(shè)置為“”用作去往目標(biāo)的下一跳，點擊“OK”按鈕后，點擊“Apply”按鈕完成配置。

（2）在防火墻ASAv上進(jìn)行ping外網(wǎng)服務(wù)器測試，能ping通。

3.與用圖形界面為防火墻的外網(wǎng)接口配默認(rèn)路由一樣功能的命令如下：ciscoasa(config)#routeOutside00圖2-2-2ASAv的圖形配置界面配置默認(rèn)路由三、內(nèi)網(wǎng)區(qū)域各設(shè)備地址的配置1.我們規(guī)劃防火墻內(nèi)網(wǎng)接口Gi0/0的IP地址為：54/24、接口名稱為：Inside、安全級別為：100。用圖形界面配置防火墻內(nèi)網(wǎng)接口與之前介紹的配置外網(wǎng)接口的方法類似，請讀者自行完成。2.除了用圖形界面，也可用命令實現(xiàn)相同功能，配置防火墻內(nèi)網(wǎng)接口的命令如下：ciscoasa(config)#intg0/0ciscoasa(config-if)#nameifInsideINFO:Securitylevelfor"Inside"setto100bydefault.//當(dāng)命名為Inside時，安全級別自動設(shè)為100ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動內(nèi)網(wǎng)的路由器，將其命名為R_Inside，將它與防火墻相連的接口g0/0的地址配置為/24，在內(nèi)網(wǎng)路由器上通過ping命令測試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_InsideR_Inside(config)#intg0/0R_Inside(config-if)#ipaddR_Inside(config-if)#noshuR_Inside(config-if)#endR_Inside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//測試結(jié)果“！”號表示ping通了目標(biāo)

4.內(nèi)網(wǎng)路由器連接內(nèi)網(wǎng)電腦的接口是g0/1，為該接口配置地址54/24。命令如下：R_Inside(config)#intg0/1R_Inside(config-if)#ipadd54R_Inside(config-if)#noshu

5.啟動一臺win2003虛擬機，將它連接到VMnet1，用作內(nèi)網(wǎng)電腦。為它配置地址/24、缺省網(wǎng)關(guān)54、首選DNS服務(wù)器。在內(nèi)網(wǎng)電腦上用ping54命令測試它與內(nèi)網(wǎng)路由器間的互通性，可以ping通。四、內(nèi)網(wǎng)區(qū)域各設(shè)備的路由表配置內(nèi)網(wǎng)共兩個網(wǎng)段，這兩個網(wǎng)段都與內(nèi)網(wǎng)路由器直連，內(nèi)網(wǎng)路由器的路由表已經(jīng)認(rèn)識這兩個網(wǎng)段，無需再配置。內(nèi)網(wǎng)中與防火墻直連的網(wǎng)段只有一個，防火墻的路由表只認(rèn)識這個直連網(wǎng)段，需要為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由或動態(tài)路由，以便讓它認(rèn)識這個非直連網(wǎng)段，下面用靜態(tài)路由來實現(xiàn)：1.防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由之前測試，防火墻ping不通內(nèi)網(wǎng)電腦。2.用圖形界面為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由，方法如下：（1）如圖2-2-3所示，在網(wǎng)絡(luò)管理員的win7電腦上，進(jìn)入ASAv的ASDM圖形配置界面，找到Configuration>DeviceSetup>Routing>StaticRoutes,點擊“Add”按鈕，接口Interface選擇“Inside”，Network設(shè)置為“/24”作為目標(biāo)網(wǎng)段，GatewayIP設(shè)置為“”作為去往目標(biāo)的下一跳地址，點擊“OK”后，點擊“Apply”按鈕完成配置。

（2）配置完成之后，防火墻ASAv能ping通內(nèi)網(wǎng)電腦。

3.除了用圖形界面為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由，也可用命令實現(xiàn)，命令如下：ciscoasa(config)#routeInside4.為防火墻的內(nèi)網(wǎng)接口配好靜態(tài)路由后，在ASAv上測試，它可以ping通內(nèi)網(wǎng)電腦。圖2-2-3ASAv的圖形配置界面配置靜態(tài)路由五、?；饏^(qū)（DMZ）各設(shè)備地址的配置?；饏^(qū)（DMZ）用于存放對外提供服務(wù)的服務(wù)器，可供內(nèi)網(wǎng)和外網(wǎng)同時訪問，其安全級別應(yīng)該處于內(nèi)網(wǎng)和外網(wǎng)之間，我們將其安全級別規(guī)劃為50。1.規(guī)劃防火墻內(nèi)網(wǎng)接口Gi0/1的IP地址為：54/24、接口名稱為：DMZ、安全級別為：50。請讀者參照圖形界面配置外網(wǎng)接口的方法，用圖形界面實現(xiàn)防火墻?；饏^(qū)接口的配置。2.除了用圖形界面配置，也可用命令實現(xiàn)相同的功能，命令如下：ciscoasa(config)#intg0/1ciscoasa(config-if)#nameifDMZciscoasa(config-if)#security-level50ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動停火區(qū)的路由器，將其命名為R_DMZ，將它與防火墻相連的接口g0/0的地址配置為/24，在?；饏^(qū)路由器上通過ping命令測試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_DMZR_DMZ(config)#intg0/0R_DMZ(config-if)#ipaddR_DMZ(config-if)#noshuR_DMZ(config-if)#endR_DMZ#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//測試結(jié)果的“！”號表示成功ping通防火墻4.停火區(qū)路由器連接?；饏^(qū)服務(wù)器的接口是g0/1，為g0/1接口配置地址54/24。命令如下：R_DMZ#configureterminalR_IDMZ(config)#intg0/1R_DMZ(config-if)#ipadd54R_DMZ(config-if)#noshu5.啟動一臺win2003虛擬機，將它連接到VMnet4，用作停火區(qū)的服務(wù)器。為它配置地址/24、缺省網(wǎng)關(guān)54。在?；饏^(qū)服務(wù)器上用ping54命令測試它與?；饏^(qū)路由器間的互通性，可以ping通。

六、?；饏^(qū)（DMZ）各設(shè)備的路由表配置

停火區(qū)共兩個網(wǎng)段，這兩個網(wǎng)段都與停火區(qū)的路由器直連，?；饏^(qū)路由器的路由表已經(jīng)認(rèn)識它們，無需配置。停火區(qū)中，防火墻的路由表只認(rèn)識與它直連的網(wǎng)段，需要為防火墻的?；饏^(qū)接口配靜態(tài)路由或動態(tài)路由，以便讓它能識別?；饏^(qū)中未與之直連的那個網(wǎng)段。下面用OSPF動態(tài)路由來實現(xiàn)（動態(tài)路由需要在?；饏^(qū)的路由器和防火墻的DMZ接口上都配置，以便它們能通過互相學(xué)習(xí)學(xué)到未知網(wǎng)段）：

1.為防火墻的?；饏^(qū)接口配動態(tài)路由之前先測試，此時防火墻無法ping通停火區(qū)的服務(wù)器。2.用圖形界面為防火墻的DMZ接口配OSPF動態(tài)路由，方法如下：（1）如圖2-2-4所示，在網(wǎng)絡(luò)管理員的win7電腦上，登錄進(jìn)入ASAv的ASDM圖形配置界面，找到Configuation>DeviceSetup>Routing>OSPF>Setup。在出現(xiàn)的“ProcessInstances”選項夾中勾選OSPFProcess1欄的“EnablethisOSPF...”選項（此處啟用第一個進(jìn)程，最多支持兩個OSPF進(jìn)程），在“OSPFProce...”選項填入“1”作為該OSPF進(jìn)程的進(jìn)程號（取值范圍是1-65535）。進(jìn)程號只在本設(shè)備有效，無需與其它設(shè)備匹配。圖2-2-4ASAv的圖形配置界面配置OSPF動態(tài)路由（2）點擊上圖7號位的“Advanced”按鈕，然后在圖2-2-5所示彈框的“RouterID”選擇“IPAddress”選項，并在其后輸入“54”。圖2-2-5ASAv圖形配置界面配置OSPF動態(tài)路由