防火墙防火墙实训项目指导书(金小江)

广州现代信息工程职业技术学院

《防火墙综合实训》

实训指导书

20102011学年度第 二 学期

编写科目  防火墙综合实训

编写教师 金小江

防火墙综合实训指导书

第一部分防火墙综合实训课程基本知识

一、实训目的

通过对Cisco PIX 515E防火墙、ASA防火墙与蓝盾防火墙的配置与管理让学生掌握防火墙的部署方式策略管理路由配置访问列表NAT 网络地址转换 DDos攻击及防御等功能模块及具体策略配置等并按要求编写实训报告。

二、实训形式

将学生分组集中进行实训。

三、实训内容

一 Cisco PIX 515E防火墙与蓝盾防火墙配置线与交叉线的制作。

双绞线的制作和应用

二 Cisco PIX 515E防火墙的配置与管理

Cisco PIX 515E防火墙的连接与初始配置

1 配置防火墙接口的名字并指定安全级别nameif 。

2配置以太口参数interface

3配置内外网卡的IP地址ip address

4指定要进行转换的内部地址nat 网络地址翻译nat作用是将内网的私有ip转换为外网的

公有ip.

5指定外部地址范围global global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。

6设置指向内网和外网的静态路由route 定义一条静态路由。

三蓝盾防火墙的配置与管理

1.蓝盾防火墙的连接与登录配置

2.蓝盾防火墙的系统配置

3.蓝盾防火墙的网络配置

4.蓝盾防火墙的策略管理

5.蓝盾防火墙的流量控制

6.蓝盾防火墙的日志管理

(四) ASA防火墙的配置与管理

1.防火墙对流量的控制

2.初始设置Initial Setup

3.配置接口参数

4. IP Routing

5.ACL

6.NAT

7.AAA

五其他自选课题

如果实训内容不是以上课题允许可以根据自已的情况 自选课题。 自选课题应事先请指导老师审核。第二部分实训基本操作方法

1、按照系统用户手册及文档规范要求进行操作养成查阅手册、文档的良好习惯

2、根据实训步骤要求进行操作注意积累正确操作方法

3、操作过程中注意记录错误提示并利用各种资源进行更正积累错误诊断经验增强独立解决问题的能力

4、对特殊疑难问题采用讨论、协作等方式进行解决有意识地训练团队合作意识

5、实训报告应多包含在实训过程中出现的错误及解决方法。

第三部分实训项目

一 Cisco PIX 515E防火墙与蓝盾防火墙配置线与交叉线的制作。

1.直连双绞线的制作和应用

以小组为单位每组5人制作相应的UTP线缆用电缆测试仪测试所做的网线是否合格

表1 T568B标准

2.交叉双绞线的制作和应用

以小组为单位每组5人制作相应的UTP线缆用电缆测试仪测试所做的网线是否合格

3.防火墙配置线的连接与转接口的使用

能够将Cisco PIX 515E防火墙与蓝盾防火墙的配置线连接到PC机线不够长的情况下能够通过转接口进行连接

二 Cisco PIX 515E防火墙的配置与管理

1. Cisco PIX 515E防火墙的连接与初始配置

PIX防火墙提供4种管理访问模式

非特权模式。 PIX防火墙开机自检后就是处于这种模式。系统显示为pixfirewall>

特权模式。 输入enable进入特权模式可以改变当前配置。显示为pixfirewall#

配置模式。 输入configure terminal进入此模式绝大部分的系统配置都在这里进行。显示为pixfirewall (config)#

监视模式。 PIX防火墙在开机或重启过程中按住Escape键或发送一个“Break”字符进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>

1 配置防火墙接口的名字并指定安全级别nameif 。

Pix515(config)#nameif ethernet0 outside security0

Pix515(config)#nameif ethernet1 inside security100

Pix515(config)#nameif dmz security50

提示在缺省配置中 以太网0被命名为外部接口 outside 安全级别是0 以太网1被命名为内部接口 inside 安全级别是100.安全级别取值范围为199数字越大安全级别越高。若添加新的接

口语句可以这样写

Pix515(config)#nameif pix/intf3 security40 安全级别任取

2配置以太口参数interface

Pix515(config)#interface ethernet0 auto  auto选项表明系统自适应网卡类型 

Pix515(config)#interface ethernet1 100full 100full选项表示100Mbit/s以太网全双工通信

Pix515(config)#interface ethernet1 100full shutdown shutdown选项表示关闭这个接口若启用接口去掉shutdown 

3配置内外网卡的IP地址ip address

Pix515(config)#ip address outside 61. 144.51.42 255.255.255.248

Pix515(config)#ip address inside 192. 168.0. 1 255.255.255.0

很明显 Pix515防火墙在外网的ip地址是61. 144.51.42 内网ip地址是192. 168.0. 1 4指定要

进行转换的内部地址nat 网络地址翻译nat作用是将内网的私有ip转换为外网的公有ip.

Nat命令总是与global命令一起使用这是因为nat命令可以指定一台主机或一段范围的主机访问外网访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法nat (if_name) nat_id local_ip [netmark]

其中if_name表示内网接口名字例如inside. Nat_id用来标识全局地址池使它与其相应的global命令相匹配 local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。 [netmark]表示内网ip地址的子网掩码。

例1 Pix515(config)#nat (inside) 1 0 0

表示启用nat,内网的所有主机都可以访问外网用0可以代表0.0.0.0

例2 Pix515(config)#nat (inside) 1 172. 16.5.0 255.255.0.0

表示只有172. 16.5.0这个网段内的主机可以访问外网。

5指定外部地址范围global  global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。

Global命令的配置语法 global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中if_name表示外网接口名字例如outside. 。 Nat_id用来标识全局地址池使它与其相应的nat命令相匹配 ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。 [netmarkglobal_mask]表示全局ip地址的网络掩码。

例1 Pix515(config)#global (outside) 1 61. 144.51.42-61. 144.51.48

表示内网的主机通过pix防火墙要访问外网时 pix防火墙将使用61. 144.51.42-61. 144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。

例2 Pix515(config)#global (outside) 1 61. 144.51.42表示内网要访问外网时 pix防火墙将为访问外网的所有主机统一使用61. 144.51.42这个单一ip地址。

例3. Pix515(config)#no global (outside) 1 61. 144.51.42表示删除这个全局表项。 6设置指向内网和外网的静态路由route 定义一条静态路由。route命令配置语法 route (if_name) 0 0 gateway_ip [metric]

其中if_name表示接口名字例如inside outside。 Gateway_ip表示网关路由器的ip地址。 [metric]表示到gateway_ip的跳数。通常缺省是1。

例1 Pix515(config)#route outside 0 0 61. 144.51. 168 1

表示一条指向边界路由器ip地址61. 144.51. 168的缺省路由。

例2 Pix515(config)#route inside 10. 1. 1.0 255.255.255.0 172. 16.0. 1 1

Pix515(config)#route inside 10.2.0.0 255.255.0.0 172. 16.0. 1 1

如果内部网络只有一个网段按照例1那样设置一条缺省路由即可如果内部存在多个网络需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10. 1. 1.0的静态路由静态路由的下一条路由器ip地址是172. 16.0. 1

2. Cisco PIX 515E防火墙的高级配置

1配置静态IP地址翻译static

如果从外网发起一个会话会话的目的地址是一个内网的ip地址 static就把内部地址翻译成一个指定的全局地址允许这个会话建立。static命令配置语法static (internal_if_name external_if_name) outside_ip_address inside_ ip_address

其中internal_if_name表示内部网络接口安全级别较高。如inside. external_if_name为外部网络接口安全级别较低。如outside等。 outside_ip_address为正在访问的较低安全级别的接口上的ip地址。 inside_ ip_address为内部网络的本地ip地址。

例1 Pix515(config)#static (inside, outside) 61. 144.51.62 192. 168.0.8

表示ip地址为192. 168.0.8的主机对于通过pix防火墙建立的每个会话都被翻译成61. 144.51.62这个全局地址也可以理解成static命令创建了内部ip地址192. 168.0.8和外部ip地址61. 144.51.62之间的静态映射。

例2 Pix515(config)#static (inside, outside) 192. 168.0.2 10.0. 1.3

例3 Pix515(config)#static (dmz, outside) 211.48. 16.2 172. 16. 10.8

注释同例1。

通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口使它们可以进入到具有较高安全级别的指定接口。

2管道命令conduit

前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接 static和conduit命令将一起使用来指定会话的建立。conduit命令配置语法conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]permit | deny允许|拒绝访问global_ip指的是先前由global或static命令定义的全局ip地址如果global_ip为0就用any代替0如果global_ip是一台主机就用host命令参数。por t指的是服务所作用的端口例如www使用80 smt p使用25等等我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议 比如 TCP、 UDP、 ICMP等。foreign_ip表示可访问global_ip的外部ip。对于任意主机可以用any表示。如果foreign_ip是一台主机就用host命令参数。

例1. Pix515(config)#conduit permit tcp host 192. 168.0.8 eq www any

这个例子表示允许任何外部主机对全局地址192. 168.0.8的这台主机进行ht tp访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。 Eq ftp就是指允许或拒绝只对ftp的访问。

例2. Pix515(config)#conduit deny tcp any eq ftp host 61. 144.51.89

表示不允许外部主机61. 144.51.89对任何全局地址进行f tp访问。

例3. Pix525(config)#conduit permit icmp any any

表示允许icmp消息向内部和外部通过。

例4. Pix515(config)#static (inside, outside) 61. 144.51.62 192. 168.0.3

Pix515(config)#conduit permit tcp host 61. 144.51.62 eq www any

这个例子说明static和conduit的关系。 192. 168.0.3在内网是一台web服务器现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射 192. 168.0.3>61. 144.51.62 全局 然后利用conduit命令允许任何外部主机对全局地址61. 144.51.62进行http访问。

总结access-list问题:access-list和conduit都可以实现策略访问,我是习惯用conduitaccess-list格式如下;access-list acl_name or acl_number {deny | permit} protocol source-address source_netmaskdestination-address destination_netmask [eq destination port]

把他应用到端口上命令格式为access-group acl

例子:access-list 101 permit tcp any host 209. 168.202.5 eq www

把他应用到outiside口上,方向为inaccess-group 101 in interface outsideacl的原理就不用我解释了吧,和路由器里面的acl没区别的

3配置f ixup协议f ixup命令作用是启用禁止改变一个服务或协议通过pix防火墙 由f ixup命令指定的端口是pix防火墙要侦听的服务。见下面例子

例1 Pix515(config)#fixup protocol ftp 21启用ftp协议并指定ftp的端口号为21

例2 Pix515(config)#fixup protocol http 80

Pix515(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。

例3 Pix515(config)#no fixup protocol smtp 80 禁用smtp协议。

4设置telnettelnet有一个版本的变化。在pix OS 5.0 pix*作系统的版本号之前只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时 telnet数据流需要用ipsec提供保护也就是说用户必须配置pix来建立一条到另外一台pix路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH然后用SSH client从外部telnet到PIX防火墙 PIX支持SSH1和SSH2不过SSH1是免费软件 SSH2是商业软件。相比之下cisco路由器的telnet需要进一步改进。telnet配置语法 telnet local_ip [netmask] local_ip

表示被授权通过telnet访问到pix的ip地址。如果不设此项 pix的配置方式只能由console进行。

下面给出一个配置实例供参考。

Welcome to the PIX firewall

Type help or '?' for a list of available commands.

PIX515> en

Password:

PIX515#sh config :

Saved :

PIX Version 6.0(1) ------ PIX当前的*作系统版本为6.0

Nameif ethernet0 outside security0

Nameif ethernet1 inside security100 ------显示目前pix只有2个接口

Enable password 7Y051HhCcoiRTSQZ encrypted

Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密在配置文件中不会以明文显示 telnet密码缺省为cisco

Hostname PIX515 ------主机名称为PIX515

Domain-name 123.com ------本地的一个域名服务器123.com通常用作为外部访问

Fixup protocol ftp 21

Fixup protocol http 80fixup protocol h323 1720fixup protocol rsh 514fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol sip 5060 ------当前启用的一些服务或协议注意rsh服务是不能改变端口号names------解析本地主机名到ip地址在配置中可以用名字代替ip地址 当前没有设置所以列表为空pager lines 24 ------每24行一分页interface ethernet0 autointerface ethernet1 auto ------设置两个网卡的类型为自适应mtu outside 1500mtu inside 1500 ------以太网标准的MTU长度为1500字节ip address outside 61. 144.51.42 255.255.255.248ip address inside 192. 168.0. 1 255.255.255.0 ------ pix外网的ip地址61. 144.51.42 内网的ip地址192. 168.0. 1ip audit info action alarmip audit attack action alarm------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时 pix将采取报警动作缺省动作  向指定的日志记录主机产生系统日志消息此外还可以作出丢弃数据包和发出tcp连接复位信号等动作需另外配置。pdm history enable ------ PIX设备管理器可以图形化的监视

PIX arp timeout 14400 ------ arp表的超时时间global (outside) 1 61. 144.51.46 ------如果你访问外部论坛或用QQ聊天等等上面显示的ip就是这个nat (inside) 1 0.0.0.0 0.0.0.0 0 0static (inside, outside) 61. 144.51.43 192. 168.0.8 netmask 255.255.255.255 0 0conduit permit icmp any anyconduit permit tcp host 61. 144.51.43 eq www anyconduit permit udp host 61. 144.51.43 eq domain any ------用61. 144.51.43这个ip地址提供

domain-name服务而且只允许外部用户访问domain的udp端口route outside 0.0.0.0 0.0.0.0 61. 144.51.61 1 ------外部网关61. 144.51.61timeout xlate 3:00:00 ------某个内部设备向外部发出的ip包经过翻译(global)后在缺省3个小时之后此数据包若没有活动此前创建的表项将从翻译表中删除释放该设备占用的全局地址timeout conn 1:00:00 half-closed 0: 10:00 udp 0:02:00 rpc 0: 10:00 h323 0:05:00 sip 0:30:00sip_media 0:02:00timeout uauth 0:05:00 absolute ------ AAA认证的超时时间 absolute表示连续运行uauth定时器用户超时后将强制重新认证aaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。 AAA是指认证授权审计。P i x防火墙可以通过AAA服务器增加内部网络的安全no snmp-server location no snmp-server contact snmp-server community public ------由于没有设置snmp工作站也就没有snmp工作站的位置和联系人no snmp-server enable traps ------发送snmp陷阱floodguard enable ------防止有人伪造大量认证请求将p i x的AAA资源用完no sysopt route dnat telnet timeout 5 ssh timeout 5 ------使用ssh访问pix的超时时间terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6add4f5e7

PIX515#

PIX515#write memory ------将配置保存

上面这个配置实例需要说明一下 pix防火墙直接摆在了与internet接口处此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办你可以添加router放在pix的前面或者global使用单一ip地址和外部接口的ip地址相同即可。另外有几个维护命令也很有用 show interface查看端口状态 show static查看静态地址映射 show ip查看接口ip地址 pingoutside | inside ip_address确定连通性。

三蓝盾防火墙的配置与管理

1.蓝盾防火墙的连接与登录配置

防火墙在出厂时都对网络接口进行初始配置通常情况下网络接口与其IP地址定义如

下

LAN1 192.168.0.1/24

LAN2 172.16.0.1/24

LAN3 202.96.140.1/29

LAN4 10.10.10.1/24.

打开I E 在I E输入http s://防火墙IP地址便可登录防火墙防火墙w eb界面的用户名为“adm in”

从此可以看出 内网为 192.168.0.0段 外网是2个不同网段 分别是 192.168.128.0段与

100.100.100.0段这2个网段是互不通信。

2.蓝盾防火墙的系统配置

1系统信息

上图为蓝盾防火墙系统当前信息如系统序列号主机名 内核信息 CPU信息和内存信息等等。

2系统配置

此项使用于配置防火墙系统的基本信息如下图所示

语言 网页显示的语言可选“中文简体” “中文繁体”或者“英文”。

主机名防火墙设备的主机名最长输入30个字符。

域名防火墙是被的域名最长输入30个字符

当前日期系统当前的日期。

当前时间系统当前的时间。

工作模式防火墙使用的工作模式。

3登录管理

用于管理用户包括登录管理和权限管理。 admin用户可以管理所有用户除了不能删除audit用户修改audit用户权限外可以拥有最大权限。配置主页面如下图所示

此页面显示了用户最后登录信息 admin可以查看用户的最后登录信息其它用户只能查看自身最后登录信息。

进入系统管理>系统配置>登录管理, 点击添加按钮进入用户添加界面如下图所示

基本信息为必选项包括用户名密码最大尝试次数于有效时间。

添加管理员 如下图