同学们刚学网络安全,最大的困难是环境如何搭建,而且第二章的配置命令有很多,实验步骤也很多,很多同学不知道如何去练习第二章的配置命令,这里我总结了一下环境搭建和实验的步骤,同学们可以按这个做练习!一定事半功倍,哈哈!
拓扑:
此主题相关图片如下:
网络安全第二章实验:
1.环境搭建:
准备3台虚拟机,小凡模拟器和ASA模拟器。
2.添加4个VMnet网卡用来桥接
3.使用小凡计算桥接参数,并桥接到小凡正确的端口
4.修改ASA的配置文件,把正确的网卡桥接到ASA正确的接口。
注意:ASA中的nic1对应的是e0/0口,nic2对应的是e0/1口,nic3对应的是e0/2,nic4对应的是e0/3端口。
5.调整PC1、Web、Out的网卡到正确的VMnet中去。
6.启用ASA和小凡,在启用这两个模拟器的时候注意把禁用的VMnet网卡都开启,否则会出问题。
7.telnet防火墙,就可以做实验了,telnet的端口默认是4000,现在就可以做实验了。
实验开始:
1.按照书上P41页的要求,在Web和OUt主机分别搭建WEB站点,在Out上搭建NDS,Web和PC1的DNS指向Out。
2.配置ISP路由器
给ISP路由器配置一条静态路由,指向的是ASA公有地址池。
3.配置ASA的主机名、域名、特权密码和远程登录密码。注意:主机名和域名一会在配置SSH时要用来生成RSA密钥。
4.配置ASA接口名字和Ip地址,并ping直连端口都可以通信。
5.配置路由
配置默认路由是防火墙可以把数据包发给Internet上的任何网段。注意配置命令跟路由器不太一样
查看路由表:已经有了默认路由。
6.配置远程管理接入
a)配置telnet,允许内网192.168.0.0 的网段可以telnet防火墙。
注意telnet密码是使用passwd配置的密码
如果允许所有的主机都可以telnet
telnet 0 0 inside
允许一台主机
telnet 192.168.0.1 255.255.255.255 inside
b)配置SSH接入。
先配置主机名和域名,在这里已经配置了
生成RSA密钥
配置允许谁可以使用SSH远程登录,内网192.168.0.1的网段和外网所有的主机可以使用SSH远程登录。
注意:默认的用户名:pix,密码是使用passwd配置的密码。
c)配置可以使用ASDM接入
1.配置防火墙允许HTTPS接入,http server enable 后面可以跟端口号,如果不跟端口号默认443端口。
2.配置允许192.168.0.0的网段可以通过HTTP接入
3.指定asdm映像的位置
4.配置远程管理的用户名、密码和权限,15为所有权限
5.使用HTTPS://192.168.0.254访问防火墙。
下载ASDM客户端,并安装,注意需要j2re-1_4_2_16-windows-i586-p软件的支持。
由于ASA模拟器不能够识别ASDM的版本,所以无法管理,如果是真设备就没有问题了
可以借助:Fiddler2软件来解决这个问题。安装这个软件,做一些配置就可以了,不过太麻烦了,这里不做演示了,同学们可以用真设备来学校做实验。
7.配置NAT
启用NAT控制功能。
对内网中所有的主机实施NAT
配置PAT,把防火墙的外端口地址加入到PAT地址池中,使内网主机可以使用该地址访问Inside
在dmz接口配置一个地址池,192.168.1.100-192.168.1.110,内网中的主机可以访问dmz的服务器。
8.配置ACL
禁止内网中192.168.0.1-192.168.0.15的主机访问outside.
内网中主机不可以访问外网了。修改PC1的Ip地址192.168.0.16,pc1又可以访问外网了。
注意:ASA跟路由器上配置ACL的区别:不用通配符掩码,而用子网掩码。应用到接口的命令也不太一样。
配置静态NAT
配置static nat和ACL使外网中的主机可以访问dmz区域服务器的www服务。
9.其他配置
a)配置ASA允许ICMP报文能够穿越防火墙,是内网的主机能够ping通外网
b)保存和清除防火墙的配置,比较简单这里不做演示了
10.配置URL过滤,使内网中的主机只能够访问.out.com结尾的网站,而不能够访问其他网站。
现在外网配置两个WEB站点,通过不同的主机头来区分。测试内网中的主机所有的网站都可以访问
配置URL过滤:
a)配置一个类映射去调用ACL,用于识别流量
再配置一个类映射,调用一个正则表达式
配置第三个类映射,用来检测http流量,并调用第二个类映射
b)配置策略映射http_url_policy,并定义策略
配置第二个策略映射
c)把第二个策略映射应用到接口
pc1只能访问.out.com而不能访问www.kkgame.com的网站了。
11.日志管理
配置日志服务器为pc1,需要安装Kiwi Syslog Daemon软件。
关闭接口e0/2,查看日志
Kiwi Syslog Daemon软件已经接收到了相应的日志记录。
12.配置ASA的安全功能
a)ASA的基本威胁检测,默认是开启的
b)配置ASA防范IP分片攻击
c)配置IDS,并应用到接口