初步了解防火墙配置与工作原理

学习目标

·了解防火墙的工作原理

·熟悉防火墙配置方法

任务引言

防火墙是一种位于内部网络与外部网络之间的网络安全系统，它由软件与硬件设备组合而成。

知识引入

防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域，制定出不同区域间的访问控制策略来控制不同程度区域间传送的数据流。

防火墙的类型主要有网络层防火墙、应用层防火墙和代理服务。

工作任务——防火墙Console与ASDM配置

【工作任务背景】

防火墙是特殊的路由器，是保护内网进行内外网隔离的重要设备，如图1－3－1所示。本任务演示通过使用Console配置线和远程ASDM的方式管理防火墙。

图1－3－1　防火墙面板

【工作任务分析】

配置环境:一台PC、一台防火墙、一根双绞线和一根Console配置线。

用Console线将PC和防火墙相连，可进行防火墙的Console配置。

用双绞线将PC与防火墙相连，配置好IP地址，则可进行防火墙的ASDM配置。

【任务实现——防火墙的Console配置】

1.在PC下载PuTTY工具，双击打开，选择“Session”选项卡，选择“Serial”连接类型，并输入“COM3”接口，输入波特率为“9600”。设置好连接参数后，单击“Open”按钮进行连接，如图1－3－2所示。

2.如图1－3－3所示，使用Console连接到防火墙后，默认进入用户配置模式。在特权用户配置模式中，用户可以查询防火墙配置信息、端口连接情况等。

3.在防火墙的CLI界面，输入“enable”，然后会提示输入密码，默认情况，防火墙密码为空，此时按Enter键，就能进入特权模式，如图1－3－4所示。

图1－3－2　防火墙Console接线图

图1－3－3　防火墙一般用户配置模式

图1－3－4　防火墙Console配置模式

4.在特权模式下输入“configure terminal”，则可进入全局配置模式。全局配置模式是配置全局系统和相应的详细配置。当它应用于特定的配置细节时，例如防火墙访问规则、黑名单和白名单、网络地址转换等，这里配置的命令会影响整体情况，如图1－3－5所示。

图1－3－5　防火墙全局配置模式

【任务实现——防火墙的ASDM配置】

1.为ASA防火墙设备配置接口名称、安全等级及网络地址信息。

2.使用ASDM指令关联图形管理固件“ASDM－792－152.bin”。该固件需要提前通过TFTP的方式传输到防火墙的Flash中。使用HTTP指令授权192.168.10.0/24网段主机通过Inside接口进行访问，并且创建管理用户“admin”，密码为“P＠ssw0rd123”，用户等级为“15”，该用户用于登录ASDM管理防火墙。(www.xing528.com)

图1－3－6　配置PC主机的网络地址

3.用直通双绞线连接PC与防火墙，然后修改PC的IP地址:192.168.10.100/24，如图1－3－6所示。

4.在PC主机上打开IE浏览器，并在地址栏中输入“https://192.168.10.254/admin”，进入防火墙ASDM下载页面，如图1－3－7所示。默认情况下，防火墙采用自签名证书运行管理站点。此时单击“转到此网页”，即可跳转到管理页面。

5.此时打开ASDM的说明页面，安装防火墙管理软件之前，需要单击“Install JavaWeb Start”下载安装Java程序，以支持Java，如图1－3－8所示。也可以通过“https://www.java.com/zh＿CN/download/”进行下载。

6.安装好Java后，单击“Install ASDM Launcher”进行安装。会提示需要输入用户名和密码验证。输入预设的用户名“admin”和密码“P＠ssw0rd123”，如图1－3－9所示。

图1－3－7　默认站点证书不信任

图1－3－8　ASDM下载页面

图1－3－9　身份证验证页面

7.登录成功后，浏览器自动下载“dm－launcher.mis”文件，单击“保存”按钮。等待下载，如图1－3－10所示。

图1－3－10　下载ASDM管理工具

8.双击运行下载好的“dm－launcher.msi”程序，进行ASDM管理工具安装。安装过程中，单击“Next”按钮进入安装过程，整个过程保持默认安装即可，如图1－3－11所示。

图1－3－11　安装ASDM(开始安装)

9.安装成功后打开该软件，在“Device IP Address/Name”栏中输入防火墙的地址，在“Username”栏中输入预设的用户名“admin”，在“Password”栏中输入预设的该用户密码“P＠ssw0rd123”。单击“OK”按钮进行登录，如图1－3－12所示。

10.登录成功后，可以看到，通过ASDM管理工具可以进行接口属性管理、VLAN管理、VPN远程访问管理等，如图1－3－13所示。

图1－3－12　使用ASDM登录防火墙

图1－3－13　防火墙ASDM登录界面

问题探究

1.比较防火墙的Console配置与W eb配置。

2.交换机和路由器是否支持图形化管理?

知识拓展

超文本传输协议HTTP被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等支付信息。

为了解决HTTP协议的这一缺陷，需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

项目拓展

1.使用ASDM完成防火墙名称的更改。

2.使用ASDM完成接口名称、安全等级、网络地址等的配置。