項(xiàng)目1配置防火墻基本環(huán)境任務(wù)1-1使用CLI方式配置防火墻基本環(huán)境任務(wù)1-2使用WebUI方式配置防火墻基本環(huán)境項(xiàng)目實(shí)訓(xùn)一配置防火墻基本環(huán)境

任務(wù)1-1使用CLI方式配置防火墻基本環(huán)境

知識(shí)導(dǎo)入

什么是CLI方式

CLI是CommandLineInterface的縮寫，即命令行界面。CLI是為所有路由器、TM(TerminationMultiplexer，終端復(fù)用器)、CM(CableModem，電纜調(diào)制解調(diào)器)等產(chǎn)品提供的界面，如CISCO、LUCENT、Arris、華為、神州數(shù)碼等。

案例及分析

某企業(yè)要在網(wǎng)絡(luò)上放置一臺(tái)防火墻用來控制內(nèi)網(wǎng)網(wǎng)段/24到外網(wǎng)網(wǎng)段/29的訪問，要求采用CLI方式進(jìn)行防火墻的基本環(huán)境配置，具體要求如下：

(1)內(nèi)網(wǎng)接口ethernet0/0，其接口地址為/24，具有管理HTTP和PING權(quán)限；

(2)外網(wǎng)接口ehternet0/1，其接口地址為/29，具有管理HTTP和PING權(quán)限；

(3)可以實(shí)現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)。

分析內(nèi)容

本任務(wù)要求采用CLI方式對(duì)防火墻進(jìn)行基本環(huán)境的配置，需要知道防火墻的接口地址、安全域及接口屬性等信息，根據(jù)內(nèi)外網(wǎng)段地址范圍，可以確定防火墻內(nèi)外網(wǎng)接口地址。要完成以上任務(wù)需求，需要配置以下五項(xiàng)：

(1)進(jìn)入接口配置。

第一步：進(jìn)入執(zhí)行模式。由于是對(duì)接口進(jìn)行配置操作，因此先輸入enable命令，進(jìn)入到配置模式：

DCFW-1800#第二步：進(jìn)入全局配置模式。輸入configure，進(jìn)入全局配置模式：

DCFW-1800(config)#

第三步：進(jìn)入接口配置模式。輸入interfaceethernet0/0，進(jìn)入ethernet0/0接口配置模式：

DCFW-1800(config)#interfaceethernet0/0

(2)接口ethernet0/0屬性配置。

第一步：綁定接口安全域。將接口ethernet0/0綁定到安全域trust：

DCFW-1800(config-if-eth0/0)#zonetrust第二步：設(shè)置接口IP地址。使用IPaddress命令設(shè)置ethernet0/0的IP地址和子網(wǎng)掩碼：

DCFW-1800(config-if-eth0/0)#IPaddress/24

第三步：設(shè)置接口管理權(quán)限。使用manage命令為內(nèi)網(wǎng)接口ethernet0/0設(shè)置管理權(quán)限：

DCFW-1800(config-if-eth0/0)#managehttp

DCFW-1800(config-if-eth0/0)#manageping

第四步：退出接口配置。使用exit命令退出ethernet0/0接口配置：

DCFW-1800(config-if-eth0/0)#exit

(3)接口ethernet0/1屬性配置。

第一步：重新進(jìn)入新接口配置模式。輸入interfaceethernet0/1，進(jìn)入ethernet0/1接口配置模式：

DCFW-1800(config)#interfaceethernet0/1

第二步：綁定接口安全域。將接口ethernet0/1綁定到安全域untrust：

DCFW-1800(config-if-eth0/1)#zoneuntrust

第三步：設(shè)置接口IP地址。使用IPaddress命令設(shè)置ethernet0/1的IP地址和子網(wǎng)掩碼：

DCFW-1800(config-if-eth0/1)#IPaddress/29第四步：設(shè)置接口管理權(quán)限。使用manage命令為內(nèi)網(wǎng)接口ethernet0/1設(shè)置管理權(quán)限：

DCFW-1800(config-if-eth0/1)#managehttp

DCFW-1800(config-if-eth0/1)#manageping

第五步：退出接口配置。使用exit命令退出ethernet0/1接口配置：

DCFW-1800(config-if-eth0/1)#exit

第六步：退出執(zhí)行模式。使用exit命令退出：

DCFW-1800(config)#exit

(4)默認(rèn)路由配置。

第一步：進(jìn)入默認(rèn)路由配置模式。使用IPvrouter進(jìn)入路由配置模式：

DCFW-1800(config)#IPvroutertrust-vr

第二步：配置目的路由。使用IProute配置目的路由并退出：

DCFW-1800(config-vrouter)#IProute/017

DCFW-1800(config-vrouter)#exit

(5)策略配置。

第一步：指明安全域。使用policy指明從內(nèi)網(wǎng)安全域到外網(wǎng)安全域：

DCFW-1800(config)#policyfromtrusttountrsut

第二步：部署策略。使用rule部署策略并退出：

DCFW-1800(config-policy)#rulefromanytoanyserviceanypermit

DCFW-1800(config-policy)#exit

DCFW-1800#

相關(guān)知識(shí)

1.使用CLI進(jìn)行用戶管理接口配置

用戶管理接口有兩種類型，支持本地與遠(yuǎn)程兩種環(huán)境配置方法，其中一種就是使用CLI命令方式進(jìn)行配置。用戶使用CLI方式進(jìn)行配置時(shí)，防火墻設(shè)備支持CLI、Telnet、SSH、HTTP、HTTPS管理方式。

CLI：Consoleconnection(安全)。

Telnet：TCP/IPport23。

SSH：密文傳輸TCP22。

HTTP：port80(缺省TCP80，可以修改)。

HTTPS：port443(可以修改)。

在使用CLI登錄方式時(shí)，用戶可以將Console線插入Console接口中，插線方式如圖S1-1所示：圖S1-1CLI方式用戶將Console線連接好后，就可以進(jìn)行CLI參數(shù)配置，具體參數(shù)如表S1-1所示。

按照上述參數(shù)配置連接好設(shè)備后，用戶可以使用命令進(jìn)行登錄，用戶名：admin，密碼：admin。

2.?CLI配置的幾種模式

(1)命令模式和提示符。防火墻操作系統(tǒng)命令模式有不同級(jí)別的命令模式，一些命令只有在特定的命令模式下才可使用。例如，只有在相應(yīng)的配置模式下，才可以輸入命令并執(zhí)行配置，這樣也可以防止意外操作破壞已有的配置。不同的命令模式都有其相應(yīng)的CLI提示符。

(2)執(zhí)行模式。用戶進(jìn)入CLI命令模式時(shí)，該模式是執(zhí)行模式，允許用戶使用其權(quán)限級(jí)別允許的所有的配置選項(xiàng)。執(zhí)行模式的提示符如下所示(包含符號(hào)#)：

hostname#

(3)全局配置模式。全局配置模式允許用戶修改安全網(wǎng)關(guān)的配置參數(shù)。用戶在執(zhí)行模式下，輸入configure命令，即可進(jìn)入全局配置模式。進(jìn)入全局配置模式的提示符如下所示：

hostname(config)#

(4)子模塊配置模式。安全網(wǎng)關(guān)的不同模塊功能需要在其對(duì)應(yīng)的命令行子模塊模式下進(jìn)行配置。用戶在全局配置模式下，輸入特定的命令可以進(jìn)入相應(yīng)的子模塊配置模式。例如，運(yùn)行interfaceethernet0/0命令進(jìn)入ethernet0/0接口配置模式，此時(shí)的提示符變更為：

hostname(config-if-eth0/0)#

那么上述四種模式之間，如何使用CLI命令實(shí)現(xiàn)不同模式之間的切換呢？用戶登錄到安全網(wǎng)關(guān)就進(jìn)入到CLI的執(zhí)行模式。用戶可以通過不同的命令在各種命令模式之間進(jìn)行切換，切換命令如表S1-2所示。

3.使用show命令查看狀態(tài)

在CLI模式配置下，用戶可以通過show命令查看接口狀態(tài)信息和設(shè)備狀態(tài)信息，具體如下：

查看接口狀態(tài)信息：

DCFW-1800#showinterface

H:physicalstate;A:adminstate;L:linkstate;P:protocolstate;U:up;D:down

InterfacenameIPaddress/maskZonenameHALPMACaddress

ethernet0/0

/24

trust

UUUU001c.540b.4d00

ethernet0/1

19/29untrustUUUU001c.540b.4d01

查看設(shè)備狀態(tài)信息：

在CLI下，show命令用來提供狀態(tài)查詢，常見show命令如下：

-showinterface[interface-name]

**************查看接口***************

-showzone[zone-name]

**************查看安全域***************

-showIProute

**************查看路由***************

-showpolicy

**************查看策略***************

-showconfig

**************查看命令配置***************-show？

**************查看可用命令***************

舉例如下：

DCFW-1800#showtech-support

**************showversion***************

DigitalChinaDCFOSsoftware,Version4.0

Copyright(c)2001-2010byDigitalChinaNetworksLimited.

Productname:DCFW-1800S-L-V3S/N:0802049090018950Assemblynumber:B056

BootfileisDCFOS-4.0R4.binfromflash

Builtbybuildmaster22010/06/0810:58:01

Uptimeis2days23hours6minutes37seconds

Systemlanguageis"zh_CN"

4.命令行錯(cuò)誤信息提示

DCFOSCLI具有命令語法檢查功能，只有通過了CLI語法檢查的命令才能夠正確執(zhí)行。對(duì)于不能通過CLI語法檢查的命令，DCFOS會(huì)輸出錯(cuò)誤提示信息。常見的錯(cuò)誤提示信息如表S1-3所示：

5.恢復(fù)出廠設(shè)置

如果用戶誤操作了，可以使用命令將設(shè)備恢復(fù)到出廠配置，具體CLI命令如下：

unsetall

注意：該命令將安全網(wǎng)關(guān)恢復(fù)到出廠配置后，所有已做配置都將會(huì)被清除，建議謹(jǐn)慎使用該功能。

思考

(1)如何通過Console口對(duì)安全網(wǎng)關(guān)進(jìn)行設(shè)備管理？

(2)命令行下，如何配置接口IP地址？任務(wù)1-2使用WebUI方式配置防火墻基本環(huán)境

知識(shí)導(dǎo)入

WebUI是什么方式

WebUI是網(wǎng)絡(luò)用戶界面(WebsiteUserInterface)的意思，設(shè)計(jì)范圍包括常見的網(wǎng)站設(shè)計(jì)(如電商網(wǎng)站、社交網(wǎng)站)、網(wǎng)絡(luò)軟件設(shè)計(jì)(如郵箱、Saas產(chǎn)品)以及防火墻、網(wǎng)絡(luò)攻防平臺(tái)設(shè)備界面配置等。

案例及分析

某企業(yè)要在網(wǎng)絡(luò)上放置一臺(tái)防火墻用來控制內(nèi)網(wǎng)網(wǎng)段/24到外網(wǎng)網(wǎng)段/24的訪問。要求采用WebUI方式進(jìn)行防火墻的基本環(huán)境配置。

分析內(nèi)容

本任務(wù)要求采用界面方式對(duì)防火墻進(jìn)行基本環(huán)境的配置，需要知道防火墻的配置地址、配置端口和內(nèi)外網(wǎng)接口的各個(gè)屬性設(shè)置。根據(jù)內(nèi)外網(wǎng)段，可以確定防火墻內(nèi)外網(wǎng)接口地址如下：

(1)內(nèi)網(wǎng)接口為ethernet0/1，IP為/24；

(2)外網(wǎng)接口為ethernet0/2，IP為/24。操作步驟如下：

(1)通過防火墻配置端口ethernet0/0的端口地址登錄到防火墻配置界面。注意配置主機(jī)的IP要與防火墻配置端口保持同網(wǎng)段，即192.168.1.x，這里x為2～255之間的數(shù)字。防火墻登錄界面如圖S2-1所示。圖S1-2防火墻WebUI登錄界面在這里，為防火墻的默認(rèn)登錄地址，在出廠的時(shí)候已經(jīng)設(shè)定好。一般情況下我們選擇默認(rèn)地址進(jìn)行登錄。在用戶名和密碼欄目中輸入缺省用戶名admin和密碼admin，選擇語言“中文”，點(diǎn)擊登錄，即進(jìn)入防火墻配置界面。

(2)配置內(nèi)網(wǎng)接口。登錄防火墻打開網(wǎng)絡(luò)選項(xiàng)卡，選擇接口菜單，點(diǎn)擊需配置接口右側(cè)的編輯按鈕。在接口配置界面中選擇安全域類型。接口有三種類型，第一種類型是三層安全域，可以設(shè)置具有接口IP和安全域?qū)傩缘陌踩蝾愋?；第二種類型是二層安全域，不能設(shè)置接口IP，僅指明接口安全域?qū)傩?；第三種類型是無綁定安全域，可以用來釋放接口。防火墻中安全域默認(rèn)選項(xiàng)有：trust(內(nèi)網(wǎng)安全域)、untrust(外網(wǎng)安全域)、dmz(隔離區(qū)，一般用于放置一些必須公開的服務(wù)器，如Web服務(wù)器、FTP服務(wù)器等)、l2-trust(二層安全域中的內(nèi)網(wǎng)安全域)、l2-untrust(二層安全域中的外網(wǎng)安全域)、12-dmz(二層安全域中的隔離區(qū))等。這里ethernet0/1接口為內(nèi)網(wǎng)接口，具有明確的接口地址，其接口IP地址及子網(wǎng)掩碼為/24，因此在接口屬性配置中，選擇三層安全域類型，安全域選擇內(nèi)網(wǎng)trust，在IP/網(wǎng)絡(luò)掩碼中輸入其對(duì)應(yīng)的IP地址及子網(wǎng)掩碼：/24。配置內(nèi)網(wǎng)接口ethernet0/1的操作界面如圖S1-3所示。圖S1-3配置內(nèi)網(wǎng)接口

(3)配置外網(wǎng)接口。其他接口的配置操作與ethernet0/1接口配置類似。只需要在接口中選擇ethernet0/2接口，其他參數(shù)根據(jù)接口的特性進(jìn)行適當(dāng)調(diào)整。如ethernet0/2接口為外網(wǎng)接口，具有明確的接口IP地址和子網(wǎng)掩碼，因此安全域類型為三層安全域，安全域選擇untrust，在IP/網(wǎng)絡(luò)掩碼中輸入/24。配置外網(wǎng)接口的操作界面如圖S1-4所示。圖S1-4配置外網(wǎng)接口所有接口的配置操作完成后，形成接口列表，在實(shí)際操作中可以通過查看接口列表的方式檢查接口的配置是否正確。這里創(chuàng)建好的接口形成的接口列表如圖S1-5所示。圖S1-5接口列表

相關(guān)知識(shí)

(1)使用WebUI方式登錄防火墻配置界面的時(shí)候，配置參數(shù)如表S1-4所