《计算机网络安全防护技术（第二版）》 课件 第2章-任务2.1 通过图形界面管理防火墙.pptx

第2章

防火墙技术与入侵防御技术;计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。;为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。

;为实现这些功能，需要对ASAv进行以下基本配置：

1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。

2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。

3.配置各设备的路由表。

4.配置NAT。

（1）使内网用户能访问外网的网站；

（2）使内网用户能访问DMZ区域的网站；

（3）使外网用户能访问DMZ区域的网站。

5.配置ACL和Policy-map。

（1）控制内网-的主机只能访问域名末尾是的网站；

（2）禁止内网的所有主机访问域名末尾是的网站。

6.配置ASAv的入侵检测功能。;任务2.1通过图形界面管理防火墙;1.在EVE-NG平台中添加路由器和防火墙，方法如下：

（1）在EVE-NG平台的实验界面空白处右击，在弹出菜单中选择“Node”，在出现的Template列表中选用“CiscovIOS”作为内网路由器、在“Name/prefix”框中为其命名为“R_Inside”；

（2）用同样方法添加“Node”，选用“CiscovIOS”作为DMZ路由器、命名为“R_DMZ”；

（3）用同样方法添加“Node”，选用“CiscovIOS”作为Outside路由器、命名为“R_Outside”；

（4）用同样方法添加“Node”，选用“CiscoASAv”作为防火墙、保留默认名称“ASAv”。;2.在EVE-NG平台中添加四朵云，用来关联五台VMware虚拟机，方法如下：

（1）在EVE-NG平台的实验界面空白处右击，在弹出菜单中选择“Network”，在Type列表中选用“Cloud1”,在“Name/prefix”框中为其命名为Net1，用来关联内网的win2003服务器（该VMware虚拟机的网卡连到VMnet1）；

（2）用同样方法添加“Network”中的“Cloud2”作为第2朵云，命名为Net2，用来关联网络管理员的win7计算机（该虚拟机的网卡连到VMnet2）；

（3）用同样方法添加“Network”中的“Cloud3”作为第3朵云，命名为Net3，用来关联外网的win2003服务器（该虚拟机的网卡连到VMnet3）和外网的KaliLinux主机（该虚拟机的网卡也连到VMnet3）；

（4）用同样方法添加“Network”中的“Cloud4”作为第4朵云，命名为Net4，用来关联DMZ区的win2003服务器（该虚拟机的网卡连到VMnet4）。

3.按图2-0-1所示连线，完成实验拓扑的搭建。;二、配置防火墙的管理接口

1.启动防火墙，从用户模式进入特权模式，命令如下：

ciscoasaenable

Password://默认密码为空，此处直接回车即可

2．从特权模式进入全局配置模式，命令如下：

ciscoasa#configureterminal

3．防火墙的各个接口需要划分到不同的安全区域，方法是为各个接口命名和分配安全级别。安全级别的取值范围是从0到100，安全级别高的区域是接受防火墙保护的区域，安全级别低的区域是相对危险的区域。下面，将管理接口的IP地址配为：54/24、接口命名为：Mgmt、安全级别设为：100，命令如下：

ciscoasa(config)#intManagement0/0//从全局配置模式进入接口配置模式

ciscoasa(config-if)#nameifMgmt//将管理接口命名为Mgmt

ciscoasa(config-if)#security-level100//将管理接口的安全级别设为100

ciscoasa(config-if)#ipadd54//为管理接口配