防火墙初始化配置的子任务优化

学习目标

·设置主机名

·设置域名

·设置时间与时区

·启用特权密码管理

·启用远程管理

任务引言

Cisco ASA可在一台设备中提供高级状态防火墙和VPN集中器功能，以及带有附加模块的集成服务。ASA包括许多高级功能，例如多个安全上下文(类似于虚拟防火墙)、群集(将多个防火墙合并到一个防火墙中)、透明(第2层)防火墙或路由(第3层)防火墙操作、高级检查引擎、IPSec VPN、SSL VPN和无客户端SSL VPN支持等。本任务介绍如何在ASA上进行基本设置。

知识引入

主机名最多可以包含63个字符，必须以字母或数字开头和结尾，并且只能包含字母、数字或连字符。

完全限定域名(Fully Qualified Domain Name，FQDN)是Internet上特定计算机或主机的完整域名。FQDN由两部分组成:主机名和域名。例如，假设防火墙设备的FQDN是fw.example.com，则主机名是fw，主机位于域名example.com中。

时间相关术语:

UTC:整个地球分为24时区，每个时区都有自己的本地时间。在国际无线电通信场合，为了统一起见，使用一个统一的时间，称为通用协调时(Universal Time Coordinated，UTC)。

GMT:格林尼治标准时间(Greenwich Mean Time)，指位于英国伦敦郊区的皇家格林尼治天文台的标准时间。

CST:中国标准时间(China Standard Time)，GMT＋8＝UTC＋8＝CST。

DST:夏令时(Daylight Saving Time)，指在夏天太阳升起得比较早时，将时间拨快1小时。

硬件时间:RTC(Real－Time Clock)或CMOS时间，一般在主板上靠电池供电，服务器断电后也会继续运行。仅保存日期时间数值，无法保存时区和夏令时设置。

系统时间:一般在服务器启动时复制RTC时间，之后独立运行，保存了时间、时区和夏令时设置。

工作任务——防火墙初始化配置

【工作任务背景】

企业A总公司在出口网络边界放置一台防火墙，先要对该防火墙进行初始化设定，并配置安全的访问规则，以实现网络管理员远程调控。详细参数要求见表5－1－1。

表5－1－1　网络设备信息

【任务实现】

1.初始化设定——配置主机名，默认主机名为ciscoasa。

2.初始化设定——配置域名，默认域名是default.domain.invalid。

3.初始化设定——启用接口，设定名称、安全等级和网络地址。

4.检查接口网络地址设定情况。

5.设置特权密码。

(www.xing528.com)

6.查看特权密码。

7.初始化设定——设置时区。

8.查看当前设备时间。

9.启用远程管理——Telnet。

10.进行客户端连接。打开PuTTY，在会话面板中，在服务器地址栏输入防火墙地址“192.168.1.254”，连接协议选择“Telnet”，连接端口保持默认“23”，单击“Open”按钮，如图5－1－1所示。连接成功后，根据提示输入用户名和密码即可登录，如图5－1－2所示。

图5－1－1　Telnet连接测试(1)

图5－1－2　Telnet连接测试(2)

11.启用远程管理——SSH。

图5－1－3　SSH连接测试(1)

12.进行客户端连接。打开PuTTY，在会话面板中，在服务器地址栏输入防火墙地址“192.168.1.254”，连接协议选择“SSH”，连接端口保持默认“22”，单击“Open”按钮，打开对话框，如图5－1－3和图5－1－4所示。连接成功后，根据提示输入用户名和密码即可登录，如图5－1－5所示。

图5－1－4　SSH连接测试(2)

图5－1－5　SSH连接测试(3)

问题探究

1.简述如何通过DHCP获取IP地址。

2.简述如何部署DHCP服务为客户端提供自动地址分发功能。

3.简述防火墙安全等级的作用。

知识拓展

防火墙安全级别:

每个接口都有一个安全级别，范围是0～100，数值越大，安全级别越高。一般情况下，配置接口为inside(内网接口)时，将其安全级别设置为100；为outside(外网接口)时，将其安全级别设置为0；为DMZ(隔离区)时，安全级别介于inside和outside之间即可。

不同安全级别的接口之间相互访问时，遵从以下默认规则:

1.允许出站连接:允许从高安全级别接口到低安全级别接口的流量通过。比如从inside访问outside是允许的。

2.禁止入站连接:禁止从低安全级别接口到高安全级别接口的流量通过。比如从outside访问inside是禁止的。

3.禁止相同安全级别的接口之间通信。

项目拓展

根据所学知识，初始化设置分公司防火墙设备。