《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》課件 （秦?zé)觯┑?章-防火墻技術(shù)與入侵防御技術(shù)

第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.1通過圖形界面管理防火墻

計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測(cè)或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時(shí)刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時(shí)阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡(jiǎn)單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對(duì)外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財(cái)務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對(duì)外提供服務(wù)的WEB服務(wù)器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動(dòng)態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實(shí)現(xiàn)這些功能，需要對(duì)ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測(cè)功能。任務(wù)2.1通過圖形界面管理防火墻

一、在EVE-NG平臺(tái)中搭建實(shí)驗(yàn)拓?fù)?/p>

通過VMwareWorkstation啟動(dòng)EVE-NG平臺(tái)和五臺(tái)虛擬機(jī)。通過瀏覽器連接和登陸到EVE-NG平臺(tái)，在平臺(tái)中搭建如圖2-0-1所示的實(shí)驗(yàn)拓?fù)洹Ｍ負(fù)浒ㄒ慌_(tái)防火墻、三臺(tái)路由器和四朵云。這四朵云分別關(guān)聯(lián)到剛才啟動(dòng)的五臺(tái)VMware虛擬機(jī)，即三臺(tái)Win2003虛擬機(jī)、一臺(tái)win7虛擬機(jī)和一臺(tái)KaliLinux虛擬機(jī)。具體如下：1.在EVE-NG平臺(tái)中添加路由器和防火墻，方法如下：（1）在EVE-NG平臺(tái)的實(shí)驗(yàn)界面空白處右擊，在彈出菜單中選擇“Node”，在出現(xiàn)的Template列表中選用“CiscovIOS”作為內(nèi)網(wǎng)路由器、在“Name/prefix”框中為其命名為“R_Inside”；（2）用同樣方法添加“Node”，選用“CiscovIOS”作為DMZ路由器、命名為“R_DMZ”；（3）用同樣方法添加“Node”，選用“CiscovIOS”作為Outside路由器、命名為“R_Outside”；（4）用同樣方法添加“Node”，選用“CiscoASAv”作為防火墻、保留默認(rèn)名稱“ASAv”。2.在EVE-NG平臺(tái)中添加四朵云，用來關(guān)聯(lián)五臺(tái)VMware虛擬機(jī)，方法如下：（1）在EVE-NG平臺(tái)的實(shí)驗(yàn)界面空白處右擊，在彈出菜單中選擇“Network”，在Type列表中選用“Cloud1”,在“Name/prefix”框中為其命名為Net1，用來關(guān)聯(lián)內(nèi)網(wǎng)的win2003服務(wù)器（該VMware虛擬機(jī)的網(wǎng)卡連到VMnet1）；（2）用同樣方法添加“Network”中的“Cloud2”作為第2朵云，命名為Net2，用來關(guān)聯(lián)網(wǎng)絡(luò)管理員的win7計(jì)算機(jī)（該虛擬機(jī)的網(wǎng)卡連到VMnet2）；（3）用同樣方法添加“Network”中的“Cloud3”作為第3朵云，命名為Net3，用來關(guān)聯(lián)外網(wǎng)的win2003服務(wù)器（該虛擬機(jī)的網(wǎng)卡連到VMnet3）和外網(wǎng)的KaliLinux主機(jī)（該虛擬機(jī)的網(wǎng)卡也連到VMnet3）；（4）用同樣方法添加“Network”中的“Cloud4”作為第4朵云，命名為Net4，用來關(guān)聯(lián)DMZ區(qū)的win2003服務(wù)器（該虛擬機(jī)的網(wǎng)卡連到VMnet4）。3.按圖2-0-1所示連線，完成實(shí)驗(yàn)拓?fù)涞拇罱?。二、配置防火墻的管理接?.啟動(dòng)防火墻，從用戶模式進(jìn)入特權(quán)模式，命令如下：ciscoasa>enablePassword://默認(rèn)密碼為空，此處直接回車即可2．從特權(quán)模式進(jìn)入全局配置模式，命令如下：ciscoasa#configureterminal3．防火墻的各個(gè)接口需要?jiǎng)澐值讲煌陌踩珔^(qū)域，方法是為各個(gè)接口命名和分配安全級(jí)別。安全級(jí)別的取值范圍是從0到100，安全級(jí)別高的區(qū)域是接受防火墻保護(hù)的區(qū)域，安全級(jí)別低的區(qū)域是相對(duì)危險(xiǎn)的區(qū)域。下面，將管理接口的IP地址配為：54/24、接口命名為：Mgmt、安全級(jí)別設(shè)為：100，命令如下：ciscoasa(config)#intManagement0/0//從全局配置模式進(jìn)入接口配置模式ciscoasa(config-if)#nameifMgmt//將管理接口命名為Mgmtciscoasa(config-if)#security-level100//將管理接口的安全級(jí)別設(shè)為100ciscoasa(config-if)#ipadd54//為管理接口配置IP地址ciscoasa(config-if)#noshu//開啟管理接口ciscoasa(config-if)#exit//從接口配置模式返回全局配置模式ciscoasa(config)#exit//從全局配置模式模式返回特權(quán)模式4．查看接口IP地址的配置情況，命令如下：ciscoasa#showintipbInterfaceIP-AddressOK?MethodStatusProtocolManagement0/054YESmanualupup5．查看接口的名稱和安全級(jí)別，命令如下：ciscoasa#shownameifInterfaceNameSecurityManagement0/0Mgmt100三、通過圖形界面網(wǎng)管防火墻1．開啟允許通過圖形界面匿名連接和管理防火墻的功能，方法如下：（1）激活https，以便可以使用https訪問和管理ASAv防火墻，命令如下：ciscoasa#configureterminalciscoasa(config)#httpserverenable（2）允許網(wǎng)段的電腦通過https連接防火墻的MGMT接口，命令如下：ciscoasa(config)#httpMgmt2.在網(wǎng)絡(luò)管理員的win7電腦上，匿名管理防火墻。（1）啟動(dòng)win7虛擬機(jī)，將它的網(wǎng)卡連到VMnet2，用作網(wǎng)絡(luò)管理員電腦。為它配置地址/24。關(guān)閉win7自帶的防火墻。在win7上用“ping54”命令測(cè)試win7電腦與ASAv防火墻管理口的互通性，可以ping通。（2）為了通過圖形界面網(wǎng)管ASAv防火墻，網(wǎng)絡(luò)管理員的win7電腦需要安裝32位的java運(yùn)行環(huán)境。如圖2-1-1所示，在客戶機(jī)win7上，安裝jre-8u101-windows-i586。圖2-1-1安裝JAVA運(yùn)行環(huán)境（3）如圖2-1-2所示，打開瀏覽器，輸入網(wǎng)址54，點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站（不推薦）”選項(xiàng)。圖2-1-2打開瀏覽器輸入網(wǎng)址（4)如圖2-1-3所示，點(diǎn)擊上方的提示欄，在出現(xiàn)的菜單中點(diǎn)擊的“運(yùn)行加載項(xiàng)”。如圖2-1-4所示，在彈出的“安全警告”框中，點(diǎn)擊的“運(yùn)行”按鈕。最后，再點(diǎn)擊圖2-1-3所示的“InstallASDMLauncher”按鈕。圖2-1-3

安裝ASDM的運(yùn)行加載項(xiàng)界面（6）如圖2-1-5所示，不用輸入用戶名和密碼，直接點(diǎn)擊“確定”按鈕。圖2-1-4

運(yùn)行ActiveX控件界面圖2-1-5Windows安全界面（7）如圖2-1-6所示，點(diǎn)擊“運(yùn)行”按鈕。（8）如圖2-1-7所示，點(diǎn)擊“Next”按鈕，直至安裝成功。圖2-1-6

文件運(yùn)行和保存界面圖2-1-7ASDM安裝向?qū)В?）安裝成功后，為虛擬機(jī)的當(dāng)前狀態(tài)保持快照。讀者在進(jìn)行實(shí)驗(yàn)時(shí)，請(qǐng)自行為各虛擬機(jī)的各種實(shí)驗(yàn)狀態(tài)保存快照，以便在后續(xù)實(shí)驗(yàn)中遇到類似場(chǎng)景時(shí)，可通過還原快照的方式，快速完成新實(shí)驗(yàn)環(huán)境的搭建。后文不再提醒。（10）雙擊桌面的“CiscoASDM-IDMLauncher”圖標(biāo)，可通過ASDM圖形界面連接和管理防火墻。如圖2-1-8所示，輸入防火墻的地址，不用輸入用戶名和密碼，點(diǎn)擊“OK”按鈕。圖2-1-8ASDM登錄界面（11）如圖2-1-9所示，點(diǎn)擊“繼續(xù)”按鈕。（12）如圖2-1-10所示，出現(xiàn)了ASAv的圖形管理界面。圖2-1-9

安全警告界面圖2-1-10ASA管理界面（13）除了通過以上介紹的匿名訪問和管理防火墻的方法，還可以通過本地用戶名及密碼訪問和管理防火墻。方法是在防火墻上輸入以下命令：ciscoasa(config)#usernameuser1passwordciscoprivilege15//創(chuàng)建本地用戶及密碼ciscoasa(config)#aaaauthenticationhttpconsoleLOCAL//開啟https的本地認(rèn)證此時(shí)管理員再通過電腦用ASDM圖形界面訪問防火墻時(shí)，會(huì)彈出如圖2-1-11所示的認(rèn)證對(duì)話框中，正確輸入用戶名user1和密碼cisco后，才能繼續(xù)后續(xù)的操作。圖2-1-11

用戶認(rèn)證界面謝謝欣賞第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.2配置防火墻的安全區(qū)域

計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測(cè)或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時(shí)刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時(shí)阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡(jiǎn)單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對(duì)外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財(cái)務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對(duì)外提供服務(wù)的WEB服務(wù)器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動(dòng)態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實(shí)現(xiàn)這些功能，需要對(duì)ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測(cè)功能。任務(wù)2.2配置防火墻的安全區(qū)域

根據(jù)各網(wǎng)絡(luò)的可信度及其是否需要保護(hù)，可將防火墻所連接的各網(wǎng)絡(luò)劃分到不同安全級(jí)別的安全區(qū)域中。防火墻的各個(gè)接口屬于不同的安全區(qū)域，每個(gè)接口都需要命名和分配安全級(jí)別，安全級(jí)別的取值范圍是0到100。通過命令配置接口時(shí)，命名為Inside（不區(qū)分大小寫）的接口的安全級(jí)別就會(huì)自動(dòng)被設(shè)置為100，其它名稱的接口的安全級(jí)別會(huì)自動(dòng)設(shè)為0。管理員可手動(dòng)調(diào)整各接口的安全級(jí)別。安全級(jí)別高的區(qū)域是接受防火墻保護(hù)的區(qū)域，安全級(jí)別低的區(qū)域是相對(duì)危險(xiǎn)的區(qū)域。防火墻會(huì)放行從高安全級(jí)流向低安全級(jí)的流量，阻攔從低安全級(jí)流向高安全級(jí)的流量。

前面，我們已經(jīng)通過命令為防火墻的管理接口（Mgmt）配置了IP地址、設(shè)置了接口的名稱和接口的安全級(jí)別。防火墻的其它接口可用類似的命令來配置，也可通過圖形界面來配置。下面，我們分別通過圖形界面和通過命令的方式為防火墻的其它接口配置IP地址、開啟接口、設(shè)置接口名稱、設(shè)置接口的安全級(jí)別。

一、外網(wǎng)區(qū)域各設(shè)備地址的配置

1.外網(wǎng)是最不安全的區(qū)域，所以我們將防火墻外網(wǎng)接口的安全級(jí)別規(guī)劃為0。下面，我們配置防火墻外網(wǎng)接口Gi0/2的IP地址為：54/24、接口名稱為：Outside、安全級(jí)別為：0。通過圖形界面配置防火墻外網(wǎng)接口的方法如下：圖2-2-1ASAv圖形配置界面（1）如圖2-2-1所示，在ASAv的圖形配置界面中，點(diǎn)擊”Configuraiton”,選中其中的“DeviceSetup”，再選擇“InterfaceSetting”下的“Interfaces”，選中“GigabitEthernet0/2”。（2）點(diǎn)擊右側(cè)的“Edit”按鈕，在彈出的“EditInterface”對(duì)話框中，為“InterfaceName”項(xiàng)輸入“Outside”，“SecurityLevel”項(xiàng)輸入“0”，勾選上“EnableInterface”前的復(fù)選框，“IPAddress”項(xiàng)填入“0”,”SubnetMask”項(xiàng)選擇“”，點(diǎn)擊“OK”按鈕，點(diǎn)擊“Apply”按鈕，完成配置。2.除了用圖形界面配置，還可用命令配置，相同功能的命令如下：ciscoasa(config)#intg0/2ciscoasa(config-if)#nameifOutsideINFO:Securitylevelfor"Outside"setto0bydefault.//提示接口的安全級(jí)別被自動(dòng)設(shè)置為0ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動(dòng)外網(wǎng)路由器，將其命名為R_Outside，將它與防火墻相連的接口g0/0的地址配置為/24，在路由器上通過ping命令測(cè)試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_OutsideR_Outside(config)#intg0/0R_Outside(config-if)#ipaddR_Outside(config-if)#noshuR_Outside(config-if)#endR_Outside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//測(cè)試結(jié)果為“！”號(hào)，表示成功ping通了防火墻4.外網(wǎng)路由器的g0/1接口連接了外網(wǎng)服務(wù)器，為g0/1接口配置地址54/24，命令如下：R_Outside#configureterminalR_Outside(config)#intg0/1R_Outside(config-if)#ipadd54R_Outside(config-if)#noshu5.啟動(dòng)一臺(tái)win2003虛擬機(jī)，將它連接到VMnet3，用作外網(wǎng)服務(wù)器。為它配置地址/24、缺省網(wǎng)關(guān)54、首選DNS服務(wù)器。用“ping54”命令測(cè)試它與外網(wǎng)路由器間的互通性，可以ping通。6.啟動(dòng)一臺(tái)KaliLinux虛擬機(jī)，將它連接到VMnet3，用作外網(wǎng)的滲透測(cè)試主機(jī)。為它配置地址0/24、缺省網(wǎng)關(guān)54、首選DNS服務(wù)器。方法如下：（1）編輯interfaces文件，配置eth0網(wǎng)卡，命令如下：root@kali:~#vim/etc/network/interfacesautoeth0ifaceeth0inetstaticaddress0netmaskgateway54pre-upifconfigeth0hwether60:60:60:60:60:60按ESC鍵并輸入:wq命令，存盤退出。（2）編輯DNS配置文件,將設(shè)置為DNS服務(wù)器的地址，命令如下：root@eve-ng:~#vim/etc/resolv.confnameserver//輸入的內(nèi)容按ESC鍵并輸入:wq命令，存盤退出。（3）重啟eth0網(wǎng)卡，使配置生效。命令如下：root@kali:~#ifdowneth0root@kali:~#ifupeth0（4）在外網(wǎng)KaliLinux主機(jī)上用“ping54”命令測(cè)試它與外網(wǎng)路由器間的互通性，可以ping通。

二、外網(wǎng)區(qū)域各設(shè)備路由表的配置

外網(wǎng)共兩個(gè)網(wǎng)段，外網(wǎng)路由器與這兩個(gè)網(wǎng)段直連，所以其路由表已認(rèn)識(shí)這兩個(gè)網(wǎng)段，無需配置路由表。防火墻只與外網(wǎng)的一個(gè)網(wǎng)段直連，需要為防火墻的外網(wǎng)接口配一條靜態(tài)路由或默認(rèn)路由或動(dòng)態(tài)路由，用來識(shí)別非直連的那個(gè)網(wǎng)段。因?yàn)楝F(xiàn)實(shí)中的外網(wǎng)由成千上萬的網(wǎng)段組成，外出流量比較適合于用默認(rèn)路由來實(shí)現(xiàn)，所以此處我們采用默認(rèn)路由，方法如下：

1.防火墻外網(wǎng)接口配默認(rèn)路由之前測(cè)試，防火墻ping不通外網(wǎng)服務(wù)器。

2.用圖形界面為防火墻的外網(wǎng)接口配默認(rèn)路由，方法如下：

（1）如圖2-2-2所示，在網(wǎng)絡(luò)管理員的win7電腦上，進(jìn)入ASAv的圖形配置界面ASDM，找到Configuration>DeviceSetup>Routing>StaticRoutes,點(diǎn)擊“Add”按鈕，接口Interface選擇“Outside”，Network設(shè)置為“0/0”用作目標(biāo)，GatewayIP設(shè)置為“”用作去往目標(biāo)的下一跳，點(diǎn)擊“OK”按鈕后，點(diǎn)擊“Apply”按鈕完成配置。

（2）在防火墻ASAv上進(jìn)行ping外網(wǎng)服務(wù)器測(cè)試，能ping通。

3.與用圖形界面為防火墻的外網(wǎng)接口配默認(rèn)路由一樣功能的命令如下：ciscoasa(config)#routeOutside00圖2-2-2ASAv的圖形配置界面配置默認(rèn)路由三、內(nèi)網(wǎng)區(qū)域各設(shè)備地址的配置1.我們規(guī)劃防火墻內(nèi)網(wǎng)接口Gi0/0的IP地址為：54/24、接口名稱為：Inside、安全級(jí)別為：100。用圖形界面配置防火墻內(nèi)網(wǎng)接口與之前介紹的配置外網(wǎng)接口的方法類似，請(qǐng)讀者自行完成。2.除了用圖形界面，也可用命令實(shí)現(xiàn)相同功能，配置防火墻內(nèi)網(wǎng)接口的命令如下：ciscoasa(config)#intg0/0ciscoasa(config-if)#nameifInsideINFO:Securitylevelfor"Inside"setto100bydefault.//當(dāng)命名為Inside時(shí)，安全級(jí)別自動(dòng)設(shè)為100ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動(dòng)內(nèi)網(wǎng)的路由器，將其命名為R_Inside，將它與防火墻相連的接口g0/0的地址配置為/24，在內(nèi)網(wǎng)路由器上通過ping命令測(cè)試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_InsideR_Inside(config)#intg0/0R_Inside(config-if)#ipaddR_Inside(config-if)#noshuR_Inside(config-if)#endR_Inside#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//測(cè)試結(jié)果“！”號(hào)表示ping通了目標(biāo)

4.內(nèi)網(wǎng)路由器連接內(nèi)網(wǎng)電腦的接口是g0/1，為該接口配置地址54/24。命令如下：R_Inside(config)#intg0/1R_Inside(config-if)#ipadd54R_Inside(config-if)#noshu

5.啟動(dòng)一臺(tái)win2003虛擬機(jī)，將它連接到VMnet1，用作內(nèi)網(wǎng)電腦。為它配置地址/24、缺省網(wǎng)關(guān)54、首選DNS服務(wù)器。在內(nèi)網(wǎng)電腦上用ping54命令測(cè)試它與內(nèi)網(wǎng)路由器間的互通性，可以ping通。四、內(nèi)網(wǎng)區(qū)域各設(shè)備的路由表配置內(nèi)網(wǎng)共兩個(gè)網(wǎng)段，這兩個(gè)網(wǎng)段都與內(nèi)網(wǎng)路由器直連，內(nèi)網(wǎng)路由器的路由表已經(jīng)認(rèn)識(shí)這兩個(gè)網(wǎng)段，無需再配置。內(nèi)網(wǎng)中與防火墻直連的網(wǎng)段只有一個(gè)，防火墻的路由表只認(rèn)識(shí)這個(gè)直連網(wǎng)段，需要為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由或動(dòng)態(tài)路由，以便讓它認(rèn)識(shí)這個(gè)非直連網(wǎng)段，下面用靜態(tài)路由來實(shí)現(xiàn)：1.防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由之前測(cè)試，防火墻ping不通內(nèi)網(wǎng)電腦。2.用圖形界面為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由，方法如下：（1）如圖2-2-3所示，在網(wǎng)絡(luò)管理員的win7電腦上，進(jìn)入ASAv的ASDM圖形配置界面，找到Configuration>DeviceSetup>Routing>StaticRoutes,點(diǎn)擊“Add”按鈕，接口Interface選擇“Inside”，Network設(shè)置為“/24”作為目標(biāo)網(wǎng)段，GatewayIP設(shè)置為“”作為去往目標(biāo)的下一跳地址，點(diǎn)擊“OK”后，點(diǎn)擊“Apply”按鈕完成配置。

（2）配置完成之后，防火墻ASAv能ping通內(nèi)網(wǎng)電腦。

3.除了用圖形界面為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由，也可用命令實(shí)現(xiàn)，命令如下：ciscoasa(config)#routeInside4.為防火墻的內(nèi)網(wǎng)接口配好靜態(tài)路由后，在ASAv上測(cè)試，它可以ping通內(nèi)網(wǎng)電腦。圖2-2-3ASAv的圖形配置界面配置靜態(tài)路由五、?；饏^(qū)（DMZ）各設(shè)備地址的配置?；饏^(qū)（DMZ）用于存放對(duì)外提供服務(wù)的服務(wù)器，可供內(nèi)網(wǎng)和外網(wǎng)同時(shí)訪問，其安全級(jí)別應(yīng)該處于內(nèi)網(wǎng)和外網(wǎng)之間，我們將其安全級(jí)別規(guī)劃為50。1.規(guī)劃防火墻內(nèi)網(wǎng)接口Gi0/1的IP地址為：54/24、接口名稱為：DMZ、安全級(jí)別為：50。請(qǐng)讀者參照?qǐng)D形界面配置外網(wǎng)接口的方法，用圖形界面實(shí)現(xiàn)防火墻?；饏^(qū)接口的配置。2.除了用圖形界面配置，也可用命令實(shí)現(xiàn)相同的功能，命令如下：ciscoasa(config)#intg0/1ciscoasa(config-if)#nameifDMZciscoasa(config-if)#security-level50ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu3.啟動(dòng)?；饏^(qū)的路由器，將其命名為R_DMZ，將它與防火墻相連的接口g0/0的地址配置為/24，在停火區(qū)路由器上通過ping命令測(cè)試它與防火墻的互通性。命令如下：Router>enableRouter#configureterminalRouter(config)#hostnameR_DMZR_DMZ(config)#intg0/0R_DMZ(config-if)#ipaddR_DMZ(config-if)#noshuR_DMZ(config-if)#endR_DMZ#ping54Sending5,100-byteICMPEchosto,timeoutis2seconds:.!!!!//測(cè)試結(jié)果的“！”號(hào)表示成功ping通防火墻4.?；饏^(qū)路由器連接?；饏^(qū)服務(wù)器的接口是g0/1，為g0/1接口配置地址54/24。命令如下：R_DMZ#configureterminalR_IDMZ(config)#intg0/1R_DMZ(config-if)#ipadd54R_DMZ(config-if)#noshu5.啟動(dòng)一臺(tái)win2003虛擬機(jī)，將它連接到VMnet4，用作?；饏^(qū)的服務(wù)器。為它配置地址/24、缺省網(wǎng)關(guān)54。在停火區(qū)服務(wù)器上用ping54命令測(cè)試它與?；饏^(qū)路由器間的互通性，可以ping通。

六、?；饏^(qū)（DMZ）各設(shè)備的路由表配置

?；饏^(qū)共兩個(gè)網(wǎng)段，這兩個(gè)網(wǎng)段都與?；饏^(qū)的路由器直連，?；饏^(qū)路由器的路由表已經(jīng)認(rèn)識(shí)它們，無需配置。停火區(qū)中，防火墻的路由表只認(rèn)識(shí)與它直連的網(wǎng)段，需要為防火墻的?；饏^(qū)接口配靜態(tài)路由或動(dòng)態(tài)路由，以便讓它能識(shí)別?；饏^(qū)中未與之直連的那個(gè)網(wǎng)段。下面用OSPF動(dòng)態(tài)路由來實(shí)現(xiàn)（動(dòng)態(tài)路由需要在?；饏^(qū)的路由器和防火墻的DMZ接口上都配置，以便它們能通過互相學(xué)習(xí)學(xué)到未知網(wǎng)段）：

1.為防火墻的?；饏^(qū)接口配動(dòng)態(tài)路由之前先測(cè)試，此時(shí)防火墻無法ping通?；饏^(qū)的服務(wù)器。2.用圖形界面為防火墻的DMZ接口配OSPF動(dòng)態(tài)路由，方法如下：（1）如圖2-2-4所示，在網(wǎng)絡(luò)管理員的win7電腦上，登錄進(jìn)入ASAv的ASDM圖形配置界面，找到Configuation>DeviceSetup>Routing>OSPF>Setup。在出現(xiàn)的“ProcessInstances”選項(xiàng)夾中勾選OSPFProcess1欄的“EnablethisOSPF...”選項(xiàng)（此處啟用第一個(gè)進(jìn)程，最多支持兩個(gè)OSPF進(jìn)程），在“OSPFProce...”選項(xiàng)填入“1”作為該OSPF進(jìn)程的進(jìn)程號(hào)（取值范圍是1-65535）。進(jìn)程號(hào)只在本設(shè)備有效，無需與其它設(shè)備匹配。圖2-2-4ASAv的圖形配置界面配置OSPF動(dòng)態(tài)路由（2）點(diǎn)擊上圖7號(hào)位的“Advanced”按鈕，然后在圖2-2-5所示彈框的“RouterID”選擇“IPAddress”選項(xiàng)，并在其后輸入“54”。圖2-2-5ASAv圖形配置界面配置OSPF動(dòng)態(tài)路由的高級(jí)屬性彈框（3）如圖2-2-6所示，轉(zhuǎn)到“Area/Networks”標(biāo)簽，點(diǎn)擊“Add”按鈕，選擇OSPF進(jìn)程“1”，區(qū)域填寫“0”。AreaType保留默認(rèn)值“No...”(即Normal)，宣告的網(wǎng)段填寫“”和“”,點(diǎn)擊“Add”按鈕，點(diǎn)擊“OK”按鈕，點(diǎn)擊“Apply”按鈕。此時(shí)防火墻的OSPF已經(jīng)配置完成，與防火墻相連的?；饏^(qū)路由器也要進(jìn)行OSPF配置，以便互相學(xué)習(xí)。圖2-2-6ASAv圖形配置界面OSPF動(dòng)態(tài)路由的area配置框

3.除了用圖形界面，也可用命令為防火墻的DMZ接口配OSPF動(dòng)態(tài)路由，命令如下：ciscoasa(config)#routerospf1ciscoasa(config-router)#router-id54ciscoasa(config-router)#networkarea0

4.在DMZ的路由器上，配置OSPF動(dòng)態(tài)路由，命令如下：R_DMZ(config)#routerospf1R_DMZ(config-router)#router-idR_DMZ(config-router)#network55area0R_DMZ(config-router)#network55area0兩臺(tái)配置了OSPF動(dòng)態(tài)路由的設(shè)備可以互相學(xué)習(xí)對(duì)方宣告的網(wǎng)段，從而防火墻的路由表中學(xué)到了網(wǎng)段。

5.在ASAv上測(cè)試防火墻能否ping通?；饏^(qū)的服務(wù)器，命令如下：ciscoasa#pingSending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!//測(cè)試結(jié)果中的“！”表示ping通了謝謝欣賞第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.3遠(yuǎn)程管理防火墻

計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測(cè)或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時(shí)刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時(shí)阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡(jiǎn)單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對(duì)外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財(cái)務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對(duì)外提供服務(wù)的WEB服務(wù)器放在停火區(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動(dòng)態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實(shí)現(xiàn)這些功能，需要對(duì)ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測(cè)功能。任務(wù)2.3遠(yuǎn)程管理防火墻一、使用telnet遠(yuǎn)程管理ASAv防火墻1.允許內(nèi)網(wǎng)用戶通過telnet訪問管理ASAv防火墻。命令如下：ciscoasa(config)#telnet00Inside2.在Inside主機(jī)上，輸入telnet54，系統(tǒng)提示輸入密碼，因?yàn)榉阑饓ι线€未為telnnet設(shè)置過密碼，因此，主機(jī)無法進(jìn)一步連接。3.設(shè)置telnet訪問密碼，使內(nèi)網(wǎng)用戶通過該密碼（不使用用戶名），能用telnet命令連接到ASAv防火墻。方法如下：（1）在防火墻上，輸入如下命令：ciscoasa(config)#passwd123（2）在Inside主機(jī)上，輸入telnet命令連接防火墻。命令如下：C:\DocumentsandSettings\Administrator>telnet54UserAccessVerificationPassword://在此輸入密碼123，不會(huì)顯示出來，輸入完成后，按回車鍵即可ciscoasa>//成功連接到了防火墻3.除了只用密碼遠(yuǎn)程連接防火墻，還可要求遠(yuǎn)程連接的用戶通過ASAv的本地用戶名及密碼驗(yàn)證后，才能通過telnet連接到防火墻。方法如下：（1）在防火墻上，輸入如下命令：ciscoasa(config)#aaaauthenticationtelnetconsoleLOCAL（2）之前已經(jīng)在防火墻上創(chuàng)建了本地用戶user1和密碼cisco。此時(shí)，在Inside主機(jī)上，輸入telnet命令，再按提示輸入用戶名user1，密碼cisco，就可成功連接到防火墻上：C:\DocumentsandSettings\Administrator>telnet54UserAccessVerificationUsername:user1//輸入用戶名Password:*****//輸入密碼ciscoasa>//成功連接到防火墻三、使用ssh管理ASAv防火墻由于telnet的密碼是明文傳輸?shù)?，不太安全，所以建議改用經(jīng)過加密處理的ssh來遠(yuǎn)程管理防火墻。下面，先介紹SSH的配置方法。SSH的工作原理留待下一章數(shù)據(jù)加密技術(shù)中講解。（一）使用ssh管理ASAv防火墻，配置方法如下：1.在防火墻上，輸入以下命令，允許內(nèi)網(wǎng)和外網(wǎng)的用戶通過ssh管理ASAv防火墻。ciscoasa(config)#ssh00Insideciscoasa(config)#ssh00Outside2.生成用于SSH連接的密鑰對(duì)，方法如下：ciscoasa(config)#cryptokeygeneratersamodulus7683.為防火墻配置本地用戶名及密碼，啟用SSH的本地驗(yàn)證，命令如下：ciscoasa(config)#usernameuser1passwordciscoprivilege15ciscoasa(config)#aaaauthenticationsshconsoleLOCAL（二）在內(nèi)網(wǎng)路由器上遠(yuǎn)程連接防火墻，命令如下：R_Inside#ssh-luser154Password://此處輸入密碼ciscociscoasa>//成功連接到了防火墻（三）在外網(wǎng)路由器上遠(yuǎn)程連接防火墻，命令如下：R_Outside#ssh-luser154Password://此處輸入密碼ciscociscoasa>//成功連接到了防火墻謝謝欣賞第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.4安全區(qū)域間通過NAT訪問

計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測(cè)或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時(shí)刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時(shí)阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡(jiǎn)單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對(duì)外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財(cái)務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對(duì)外提供服務(wù)的WEB服務(wù)器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動(dòng)態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實(shí)現(xiàn)這些功能，需要對(duì)ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測(cè)功能。任務(wù)2.4安全區(qū)域間通過NAT訪問

NAT是一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，分為靜態(tài)NAT、動(dòng)態(tài)NAT、PAT等。靜態(tài)NAT可實(shí)現(xiàn)內(nèi)部地址與外部地址的一對(duì)一轉(zhuǎn)換，可用于服務(wù)器對(duì)外提供服務(wù)，同時(shí)對(duì)外隱藏內(nèi)部地址。PAT（PortAddressTranslation）也稱為NAPT（NetworkAddressPortTranslation），可實(shí)現(xiàn)內(nèi)網(wǎng)多臺(tái)主機(jī)共用一個(gè)外部地址訪問其它區(qū)域，不同主機(jī)的區(qū)分通過分配不同的端口號(hào)來實(shí)現(xiàn)，對(duì)其他區(qū)域隱藏主機(jī)的內(nèi)部地址，避免來自其它區(qū)域的攻擊。下面首先介紹如何在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)訪問停火區(qū)（DMZ）的WEB服務(wù)、外網(wǎng)的WEB服務(wù)和外網(wǎng)的DNS服務(wù)。然后介紹如何配置靜態(tài)NAT，實(shí)現(xiàn)外網(wǎng)用戶訪問停火區(qū)（DMZ）的WEB服務(wù)。具體任務(wù)如下：1.在DMZ區(qū)域的win2003服務(wù)器上安裝WEB服務(wù)（IIS）。通過配置IIS，創(chuàng)建一個(gè)網(wǎng)站，為該網(wǎng)站新建首頁。2.在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)對(duì)停火區(qū)（DMZ）的WEB服務(wù)的訪問，對(duì)停火區(qū)隱藏主機(jī)的內(nèi)部地址。3.在外網(wǎng)的win2003服務(wù)器上安裝DNS服務(wù)和WEB服務(wù)（IIS）。通過配置DNS服務(wù)，實(shí)現(xiàn)對(duì)域名和的解釋，讓它們都指向外網(wǎng)的WEB服務(wù)器。通過配置IIS，創(chuàng)建兩個(gè)網(wǎng)站，分別是和，為這兩個(gè)網(wǎng)站新建首頁。4.在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)對(duì)外網(wǎng)兩個(gè)網(wǎng)站和的訪問，訪問時(shí)對(duì)外隱藏主機(jī)的內(nèi)部地址。5.在防火墻上配置靜態(tài)NAT，實(shí)現(xiàn)外網(wǎng)對(duì)?；饏^(qū)（DMZ）的WEB服務(wù)的訪問，訪問的地址是經(jīng)過NAT轉(zhuǎn)換后的停火區(qū)WEB服務(wù)器的外部地址，對(duì)外隱藏WEB服務(wù)器的內(nèi)部地址。具體配置如下：一、在?；饏^(qū)（DMZ）架設(shè)WEB服務(wù)器1.在DMZ區(qū)域的win2003服務(wù)器上安裝WEB服務(wù)（IIS）。配置IIS，先停用默認(rèn)網(wǎng)站，再創(chuàng)建一個(gè)新網(wǎng)站，為該網(wǎng)站新建首頁。2.在服務(wù)器的瀏覽器上輸入“/”測(cè)試，網(wǎng)站可正常訪問。二、內(nèi)網(wǎng)通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）實(shí)現(xiàn)對(duì)DMZ服務(wù)器的訪問在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)對(duì)停火區(qū)（DMZ）的WEB服務(wù)的訪問，并隱藏主機(jī)的內(nèi)部地址。1.通過圖形界面為防火墻配置PAT的方法如下：（1）如圖2-4-1所示，在網(wǎng)絡(luò)管理員的win7電腦上，登錄進(jìn)入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>NATRules，點(diǎn)擊“Add”按鈕。在彈出的對(duì)話框中，OriginalPacket欄的SourceInterface選擇“Inside”，DestinationInterface選擇“DMZ”，TranslatedPacket欄的SourceNATType選“DynamicPAT(Hide)”，SourceAddress選“DMZ”，點(diǎn)擊“OK”按鈕，點(diǎn)擊“Apply”按鈕。圖2-4-1圖形界面中為防火墻配置PAT2.與圖形界面配置PAT相同功能的命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_1subnetnat(Inside,DMZ)dynamicpat-poolinside_dmz3.內(nèi)網(wǎng)訪問?；饏^(qū)（DMZ）所需的路由配置（1）內(nèi)網(wǎng)路由器的路由表中沒有DMZ的網(wǎng)段信息，可通過給內(nèi)網(wǎng)路由器配置默認(rèn)路由，下一跳指向防火墻，由防火墻負(fù)責(zé)進(jìn)一步的轉(zhuǎn)發(fā)。命令如下：R_Inside(config)#iproute54（2）之前的配置已經(jīng)使防火墻的路由表認(rèn)識(shí)了內(nèi)網(wǎng)、外網(wǎng)和停火區(qū)（DMZ）的所有網(wǎng)段，防火墻無需再作路由配置。（3）內(nèi)網(wǎng)電腦的地址到達(dá)?；饏^(qū)時(shí)，已經(jīng)被轉(zhuǎn)換成?；饏^(qū)網(wǎng)段的地址，所以?；饏^(qū)路由器的路由表無需認(rèn)識(shí)內(nèi)網(wǎng)地址，也無需再作路由配置。4.在內(nèi)網(wǎng)電腦的瀏覽器中，輸入進(jìn)行測(cè)試，結(jié)果是內(nèi)網(wǎng)可以訪問DMZ區(qū)域的網(wǎng)站。三、在外網(wǎng)的win2003服務(wù)器上安裝DNS服務(wù)和WEB服務(wù)（IIS）。通過配置DNS服務(wù)，實(shí)現(xiàn)對(duì)域名和的解釋，讓它們都指向外網(wǎng)的WEB服務(wù)器。通過配置IIS，創(chuàng)建兩個(gè)網(wǎng)站，分別是和，為這兩個(gè)網(wǎng)站新建首頁。在服務(wù)器自身的瀏覽器中，輸入進(jìn)行測(cè)試，結(jié)果是可以訪問網(wǎng)站。輸入進(jìn)行測(cè)試，結(jié)果是可以訪問網(wǎng)站。四、在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)對(duì)外網(wǎng)兩個(gè)網(wǎng)站和的訪問，訪問時(shí)對(duì)外隱藏主機(jī)的內(nèi)部地址。方法可參看圖2-4-1所示用PAT實(shí)現(xiàn)的對(duì)DMZ服務(wù)器的訪問。同樣也可以通過命令實(shí)現(xiàn)，具體命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_2subnetnat(Inside,Outside)dynamicinterface因?yàn)檠赝驹O(shè)備的路由表已經(jīng)具備所需路由條目，所以在內(nèi)網(wǎng)電腦的瀏覽器中，輸入進(jìn)行測(cè)試，結(jié)果是內(nèi)網(wǎng)可以訪問外網(wǎng)的網(wǎng)站。在內(nèi)網(wǎng)電腦的瀏覽器中，輸入進(jìn)行測(cè)試，結(jié)果是內(nèi)網(wǎng)可以訪問外網(wǎng)的網(wǎng)站。五、在防火墻上配置靜態(tài)NAT，實(shí)現(xiàn)外網(wǎng)對(duì)?；饏^(qū)（DMZ）的WEB服務(wù)的訪問，訪問時(shí)訪問的是?；饏^(qū)（DMZ）的WEB服務(wù)器經(jīng)過NAT轉(zhuǎn)換后的外部地址，而隱藏了WEB服務(wù)器的內(nèi)部地址。1.通過圖形界面為防火墻配置靜態(tài)NAT的方法，請(qǐng)讀者參考前例實(shí)現(xiàn)。2.通過命令配置的方法，可在ASAv防火墻上，輸入以下命令實(shí)現(xiàn)：objectnetworkDMZ_Serverhostnat(DMZ,Outside)static3.通過在ASAv防火墻上配置ACL，允許外網(wǎng)訪問?；饏^(qū)的WEB服務(wù)，命令如下：access-listOutside_DMZextendedpermittcpanyobjectDMZ_Servereqwwwaccess-groupOutside_DMZininterfaceOutside4.沿途設(shè)備所需的路由配置，思路如下：（1）?；饏^(qū)（DMZ）路由器的路由表中沒有外網(wǎng)的網(wǎng)段信息，可通過給?；饏^(qū)（DMZ）路由器配置默認(rèn)路由，下一跳指向防火墻，由防火墻負(fù)責(zé)進(jìn)一步的轉(zhuǎn)發(fā)。命令如下：R_DMZ(config)#iproute54（2）之前的配置使防火墻的路由表已經(jīng)認(rèn)識(shí)了內(nèi)網(wǎng)、外網(wǎng)和停火區(qū)（DMZ）的所有網(wǎng)段，防火墻無需再作路由配置。（3）DMZ服務(wù)器的地址進(jìn)入外網(wǎng)時(shí)，會(huì)經(jīng)NAT轉(zhuǎn)換為，所以要為外網(wǎng)路由器配置去往網(wǎng)段的路由，命令如下：R_Outside(config)#iproute545.在外網(wǎng)瀏覽器上輸入進(jìn)行測(cè)試，能成功訪問DMZ區(qū)域的WEB服務(wù)。謝謝欣賞第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.5控制穿越防火墻的流量

計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測(cè)或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時(shí)刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時(shí)阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡(jiǎn)單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對(duì)外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財(cái)務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對(duì)外提供服務(wù)的WEB服務(wù)器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動(dòng)態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實(shí)現(xiàn)這些功能，需要對(duì)ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測(cè)功能。任務(wù)2.5控制穿越防火墻的流量

一、通過監(jiān)控ICMP實(shí)現(xiàn)不同區(qū)域間的互ping

ASA是狀態(tài)化監(jiān)控防火墻，通過安全級(jí)別來控制流量對(duì)防火墻的穿越。默認(rèn)情況下，高安全級(jí)別可訪問低安全級(jí)別，并監(jiān)控TCP和UDP流量，維護(hù)它們的狀態(tài)化信息。例如telnet屬于tcp流量，從內(nèi)部的高安全級(jí)別的接口去往外部低安全級(jí)別的外網(wǎng)，默認(rèn)是放行的，telnet出去的同時(shí)，防火墻記錄了telnet的狀態(tài)化信息?；貋頃r(shí)，從低安全級(jí)別的外部接口回到高安全級(jí)別的內(nèi)部接口，默認(rèn)是不放行的，但由于記錄了從內(nèi)到外的狀態(tài)化信息，知道這是telnet返回的流量，就能放行了。

而ping不屬于防火墻默認(rèn)的狀態(tài)監(jiān)控范圍?；ハ嘀g能ping通的含義是指icmp數(shù)據(jù)包可以去到目標(biāo)，并從目標(biāo)返回。ping的時(shí)候，icmp數(shù)據(jù)包可以從高安全級(jí)別的內(nèi)網(wǎng)去往低安全級(jí)別的外網(wǎng)，但卻無法從低安全級(jí)別的外網(wǎng)返回高安全級(jí)別的內(nèi)網(wǎng)。若要使ping能穿越ASA防火墻返回，就要手動(dòng)配置防火墻，讓它監(jiān)控icmp的狀態(tài)化信息。監(jiān)控icmp需要用到：service-policy、policy-map和class-map。其中：service-policy用來指定策略是對(duì)某個(gè)接口生效，還是對(duì)所有接口生效。policy-map用來指定策略的行為，如：進(jìn)行狀態(tài)化監(jiān)控、做優(yōu)先級(jí)隊(duì)列、限制連接數(shù)量等。1.命令行方式的配置，分析如下：用“showrun”命令和“class-mapinspection_default”下的“match?”命令，可以查看系統(tǒng)默認(rèn)的MPF（ModularPolicyFramework）。通過這些命令，可以看到：service-policyglobal_policyglobal ①policy-mapglobal_policy ②classinspection_default

③inspectip-options ④inspectnetbiosinspectrtspinspectsunrpcinspecttftpinspectxdmcpinspectdnspreset_dns_mapinspectftpinspecth323h225inspecth323rasinspectrshinspectesmtpinspectsqlnetinspectsipinspectskinny

⑤class-mapinspection_default ⑥matchdefault-inspection-traffic ⑦default-inspection-traffic: ⑧ctiqbe----tcp--2748diameter--tcp--3868diameter--tcp/tls--5868diameter--sctp-3868dns-------udp--53ftp-------tcp--21gtp-------udp--2123,3386h323-h225-tcp--1720h323-ras--udp--1718-1719http------tcp--80icmp------icmpils-------tcp--389ip-options-----rsvpm3ua------sctp-2905mgcp------udp--2427,2727netbios---udp--137-138radius-acct----udp--1646rpc-------udp--111rsh-------tcp--514rtsp------tcp--554sip-------tcp--5060sip-------udp--5060skinny----tcp--2000smtp------tcp--25sqlnet----tcp--1521tftp------udp--69vxlan-----udp--4789waas------tcp--1-65535xdmcp-----udp--177①service-policyglobal_policyglobal,表示系統(tǒng)默認(rèn)的global_policy生效范圍是global的，不僅僅是對(duì)某個(gè)接口生效，而是對(duì)所有接口都生效。②、③、④、⑤說明系統(tǒng)默認(rèn)的global_policy對(duì)符合class條件的流量，監(jiān)控從④到⑤之間的流量，比如ip-optons、ftp等。那么，class條件是什么呢？通過③:classinspection_default可以知道，class條件是inspection_default。通過⑥和⑦可以知道，inspection_default條件是符合default-inspection-traffic的所有流量。通過⑧可以知道，default-inspection-traffic包括DNS、FTP、ICMP等。也就是說，ICMP屬于默認(rèn)的class條件，但不屬于默認(rèn)的監(jiān)控行為，因此，只要在policy-mapglobal_policy和classinspection_default后，加上命令inspecticmp，就可以開啟對(duì)ICMP的監(jiān)控了。即先寫上這兩條默認(rèn)命令：ciscoasa(config)#policy-mapglobal_policyciscoasa(config-pmap)#classinspection_default再加上一條對(duì)ICMP監(jiān)控的命令，就可以讓ping穿越防火墻，實(shí)現(xiàn)內(nèi)網(wǎng)ping通外網(wǎng)及DMZ區(qū)域了。命令如下：ciscoasa(config-pmap-c)#inspecticmp2.也可用圖形界面進(jìn)行配置。例如，實(shí)現(xiàn)內(nèi)網(wǎng)-的電腦可以ping通外網(wǎng)和?；饏^(qū)，方法如圖2-4-2、2-4-3、2-4-4、2-4-5所示。在網(wǎng)絡(luò)管理員的win7電腦上，登錄進(jìn)入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>ServicePolicyRules，點(diǎn)擊“Add”按鈕。在彈出的對(duì)話框中，Interface選擇“Inside”，點(diǎn)擊“Next”按鈕，在彈出的對(duì)話框中，創(chuàng)建的trafficClass用默認(rèn)值“Inside-Class”，勾選“SourceandDestinationIPAddress(useACL)”，點(diǎn)擊“Next”按鈕,在彈出的對(duì)話框中，Action用默認(rèn)值“Match”，Source設(shè)置為“/30”，Destination設(shè)置為“any”，Service設(shè)置為“icmp”，點(diǎn)擊“Next”按鈕，在彈出的對(duì)話框中，勾選“ICMP”，點(diǎn)擊“Finish”按鈕，點(diǎn)擊“Apply”按鈕，完成配置。圖2-4-2圖形界面開啟對(duì)ICMP或HTTP的監(jiān)控1圖2-4-3圖形界面開啟對(duì)ICMP或HTTP的監(jiān)控2圖2-4-4圖形界面開啟對(duì)ICMP的監(jiān)控1

完成以上配置后，內(nèi)網(wǎng)-的電腦可以ping通外網(wǎng)和?；饏^(qū)了。

二、通過ACL控制不同區(qū)域間互ping

除了通過監(jiān)控ICMP實(shí)現(xiàn)高安全級(jí)區(qū)域ping通低安全級(jí)區(qū)域，還可通過配置ACL來實(shí)現(xiàn)。例如，為了實(shí)現(xiàn)高安全級(jí)的內(nèi)網(wǎng)ping通低安全級(jí)的外網(wǎng)，可在防火墻上輸入以下命令：ciscoasa(config)#access-listpingACLextendedpermiticmpanyanyciscoasa(config)#access-grouppingACLininterfaceOutside圖2-4-5圖形界面開啟對(duì)ICMP的監(jiān)控2謝謝欣賞第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.6控制主機(jī)對(duì)外網(wǎng)的訪問

計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測(cè)或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時(shí)刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時(shí)阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡(jiǎn)單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對(duì)外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財(cái)務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對(duì)外提供服務(wù)的WEB服務(wù)器放在停火區(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動(dòng)態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實(shí)現(xiàn)這些功能，需要對(duì)ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測(cè)功能。任務(wù)2.6控制主機(jī)對(duì)外網(wǎng)的訪問一、控制主機(jī)只能訪問指定網(wǎng)站通過對(duì)ASAv防火墻進(jìn)行ACL和Policy-map配置，控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站。下面分別通過圖形界面和命令實(shí)現(xiàn)。1.圖形界面實(shí)現(xiàn)的方法如下：如圖2-4-2、2-4-3、2-4-6、2-4-7、2-4-8、2-4-9、2-4-10、2-4-11、2-4-12所示，在網(wǎng)絡(luò)管理員的win7電腦上，登錄進(jìn)入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>ServicePolicyRules，點(diǎn)擊“Add”按鈕。在彈出的對(duì)話框中，Interface選擇“Inside”，點(diǎn)擊“Next”按鈕，在彈出的對(duì)話框中，創(chuàng)建的trafficClass用默認(rèn)值“Inside-Class”，勾選“SourceandDestinationIPAddress(useACL)”，點(diǎn)擊“Next”按鈕,在彈出的對(duì)話框中，Action用默認(rèn)值“Match”，Source設(shè)置為“/29”，Destination設(shè)置為“any”，Service設(shè)置為“tcp/http”，點(diǎn)擊“Next”按鈕，在彈出的對(duì)話框中，勾選“HTTP”，點(diǎn)擊“Configure...”按鈕，在彈出的對(duì)話框中選擇“SelectanHTTPinspectmapforfinecontroloverinspection”選項(xiàng)，點(diǎn)擊“Add”按鈕，在彈出的對(duì)話框中，Name命名為“policy2”，點(diǎn)擊“Details”按鈕，在彈出的對(duì)話框中，選擇“Inspections”選項(xiàng)夾，點(diǎn)擊“Add”按鈕，在彈出的對(duì)話框中，選擇“SingleMatch”選項(xiàng)，MatchType選擇“NoMatch”選項(xiàng)，Criterion選擇“RequestHeaderField”選項(xiàng)，F(xiàn)ield的Predefined值選擇“host”，Value的RegularExpression點(diǎn)擊“Manage...”按鈕自行定義，在彈出的對(duì)話框中，Name命名為“url1”，Value值設(shè)置為“\.lcvc\.cn”，用來代表以“”結(jié)尾的網(wǎng)址，多次點(diǎn)擊“OK”按鈕，完成配置。圖2-4-6圖形界面開啟對(duì)HTTP的監(jiān)控1圖2-4-7圖形界面開啟對(duì)HTTP的監(jiān)控2圖2-4-8圖形界面開啟對(duì)HTTP的監(jiān)控3圖2-4-9圖形界面開啟對(duì)HTTP的監(jiān)控4圖2-4-10圖形界面開啟對(duì)HTTP的監(jiān)控5圖2-4-11圖形界面開啟對(duì)HTTP的監(jiān)控6圖2-4-12圖形界面開啟對(duì)HTTP的監(jiān)控72.與圖形界面相同功能的命令如下：access-listfilter1extendedpermittcp48anyeqwwwclass-mapclass1matchaccess-listfilter1//class1用于匹配IP地址屬于-的主機(jī)。regexurl1"\.lcvc\.cn"http://正則表達(dá)式url1用于匹配“.”。class-maptypeinspecthttpmatch-allclass2matchnotrequestheaderhostregexurl1//class2用于匹配不是以“.”結(jié)尾的網(wǎng)站。policy-maptypeinspecthttppolicy1classclass2drop-connectionlog//對(duì)于符合class2條件的網(wǎng)站，即不以“.”結(jié)尾的網(wǎng)站，拒絕其連接并做日志記錄。policy-mappolicy2classclass1inspecthttppolicy1//對(duì)于符合class1條件的主機(jī)，即IP地址屬于-的主機(jī)，調(diào)用policy1這條policy-map。service-policypolicy2interfaceInside//將policy2應(yīng)用到Inside接口上。3.測(cè)試內(nèi)網(wǎng)-的主機(jī)能否訪問外網(wǎng)和這兩個(gè)網(wǎng)站。（1）在內(nèi)網(wǎng)主機(jī)上測(cè)試。為避免上次實(shí)驗(yàn)緩存對(duì)本次測(cè)試的影響，先關(guān)閉瀏覽器，再重新打開瀏覽器。（2）在瀏覽器上，輸入，可正常訪問。（3）在瀏覽器上，輸入，無法訪問。4.測(cè)試內(nèi)網(wǎng)不屬于-的主機(jī)能否訪問外網(wǎng)和這兩個(gè)網(wǎng)站。（1）將內(nèi)網(wǎng)主機(jī)的地址改為。（2）為避免上次實(shí)驗(yàn)緩存對(duì)本次測(cè)試的影響，先關(guān)閉瀏覽器，再重新打開瀏覽器。（3）在瀏覽器上，輸入，可正常訪問。（4）在瀏覽器上，輸入，可正常訪問。二、禁止主機(jī)訪問指定網(wǎng)站禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站，圖形界面的配置請(qǐng)讀者參看前例自行完成，用命令行配置的方法如下：1.在ASAv防火墻上，輸入以下命令：access-listfilter2extendedpermittcpanyanyeqwwwclass-mapclass3matchaccess-listfilter2regexurl2"\.game\.com"class-maptypeinspecthttpmatch-allclass4matchrequestheaderhostregexurl2policy-maptypeinspecthttppolicy3classclass4drop-connectionlogpolicy-mappolicy2classclass3inspecthttppolicy3//policy2已經(jīng)在上例中應(yīng)用到了Inside接口上，因此，不需要再次執(zhí)行service-policypolicy2interfaceInside命令。2.測(cè)試內(nèi)網(wǎng)IP地址不屬于-范圍的主機(jī)能否正常訪問外網(wǎng)和這兩個(gè)網(wǎng)站。我們以IP地址為的主機(jī)進(jìn)行測(cè)試：（1）為避免上次實(shí)驗(yàn)緩存對(duì)本次測(cè)試的影響，先關(guān)閉瀏覽器，再重新打開瀏覽器。（2）在瀏覽器上，輸入，可正常訪問。（3）在瀏覽器上，輸入，不能正常訪問。3.測(cè)試內(nèi)網(wǎng)IP地址屬于-的主機(jī)能否正常訪問外網(wǎng)和這兩個(gè)網(wǎng)站。我們將內(nèi)網(wǎng)主機(jī)的地址改為后測(cè)試：（1）為避免上次實(shí)驗(yàn)緩存對(duì)本次測(cè)試的影響，先關(guān)閉瀏覽器，再重新打開瀏覽器。（2）在瀏覽器上，輸入，可正常訪問。（3）在瀏覽器上，輸入，不能正常訪問。謝謝欣賞第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.7穿越防火墻的灰鴿子木馬實(shí)驗(yàn)任務(wù)2.7穿越防火墻的灰鴿子木馬實(shí)驗(yàn)

實(shí)驗(yàn)拓?fù)淙鐖D2-7-1所示。其中，內(nèi)網(wǎng)的win1和外網(wǎng)的win2都采用win2003。圖2-7-1穿越防火墻的木馬實(shí)驗(yàn)拓?fù)湟?、防火墻配置代碼清單ciscoasa>enPassword://默認(rèn)密碼為空ciscoasa#conftciscoasa(config)#intg0/0ciscoasa(config-if)#ipaddciscoasa(config-if)#noshuciscoasa(config-if)#nameifDMZINFO:Securitylevelfor"DMZ"setto0bydefault.ciscoasa(config-if)#security-level50ciscoasa(config-if)#intg0/1ciscoasa(config-if)#ipaddciscoasa(config-if)#noshuciscoasa(config-if)#nameifoutsideINFO:Securitylevelfor"outside"setto0bydefault.ciscoasa(config-if)#exitciscoasa(config)#objectnetworkdmzwebciscoasa(config-network-object)#host0ciscoasa(config-network-object)#nat(dmz,outside)staticinterfaceservicetcp8080

//啟用靜態(tài)PAT，外網(wǎng)訪問outside接口公網(wǎng)地址的80端口將轉(zhuǎn)換為訪問DMZ服務(wù)器網(wǎng)站ciscoasa(config-network-object)#exitciscoasa(config)#objectnetworkdmzweb2ciscoasa(config-network-object)#host0ciscoasa(config-network-object)#nat(DMZ,outside)staticinterfaceservicetcp80008000//啟用靜態(tài)PAT，外網(wǎng)訪問outside接口公網(wǎng)地址的8000端口將轉(zhuǎn)換為訪問DMZ服務(wù)器木馬ciscoasa(config-network-object)#exitciscoasa(config)#access-listoutaclpermittcpanyhost0eq80//允許外網(wǎng)通過防火墻的outside接口訪問DMZ服務(wù)器網(wǎng)站ciscoasa(config)#access-listoutaclpermittcpanyhost0eq8000

//允許外網(wǎng)通過防火墻的outside接口訪問DMZ服務(wù)器木馬ciscoasa(config)#access-groupoutaclinintoutside

二、新建網(wǎng)站攻擊者在D