單元4防火墻基本管理單元概述本單元主要介紹防火墻管理，防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理。管理員的行為主要包括：通過(guò)防火墻的身份鑒別，編寫(xiě)防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。在防火墻的管理中，最為常見(jiàn)的是通過(guò)SNMP進(jìn)行管理，是由Internet工程任務(wù)組織(IETF)的研究小組為了解決Internet上的路由器管理問(wèn)題而提出的。任務(wù)1登錄防火墻任務(wù)情景祥云公司為了讓維護(hù)人員配置某機(jī)房防火墻設(shè)備的時(shí)候方便一些，委托某集成公司在公司機(jī)房中的防火墻設(shè)備上通過(guò)使用Console線纜對(duì)防火墻進(jìn)行CLI界面配置，開(kāi)啟接口的ssh功能和telnet功能，使得后面維護(hù)人員不用通過(guò)Console線纜到現(xiàn)場(chǎng)進(jìn)行CLI界面配置，可以通過(guò)遠(yuǎn)程終端配置該防火墻設(shè)備。任務(wù)拓?fù)洌鐖D4-1-1所示。圖4-1-1網(wǎng)絡(luò)拓?fù)鋵W(xué)習(xí)目標(biāo)

使用Console線連接配置防火墻使用Telnet配置防火墻使用SSH配置防火墻任務(wù)分析本任務(wù)是學(xué)習(xí)如何入門(mén)使用防火墻，通過(guò)以下兩方面先認(rèn)識(shí)防火墻的外觀和連接。一、防火墻設(shè)備全部模塊一共有8個(gè)模塊，當(dāng)中有6個(gè)為電口模塊，2個(gè)為光口模塊，ge0-ge5都為電口模塊，ge6-ge7都為光口模塊，臺(tái)式計(jì)算機(jī)使用以太網(wǎng)線連接防火墻上的6個(gè)電口模塊進(jìn)行測(cè)試，模塊的led燈是否正常亮起。實(shí)驗(yàn)方法：使用PC以太網(wǎng)線連接防火墻GE0口，查看是否正常亮燈如圖4-1-2所示。圖4-1-2PC連接防火墻二、通過(guò)光纖電纜互相連接ge6口和ge7口模塊進(jìn)行測(cè)試，觀察模塊的led燈是否正常亮起。實(shí)驗(yàn)方法：使用光纖電纜互相連接到防火墻中的Ge6和Ge7口進(jìn)行測(cè)試，查看是否正常亮燈如圖4-1-3所示。圖4-1-3光纖電纜互連預(yù)備知識(shí)防火墻的基本概念：所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)（如Internet）分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制手段，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)，防止他們更改、復(fù)制和毀壞你的重要信息。防火墻模塊分兩種，一種為電口模塊，一種為光纖模塊。RJ45模塊：RJ45插頭又稱(chēng)為RJ45水晶頭（RJ45ModularPlug），用于數(shù)據(jù)電纜的端接，實(shí)現(xiàn)設(shè)備、配線架模塊間的連接及變更。對(duì)RJ45水晶頭要求具有良好的導(dǎo)通性能；滿足超5類(lèi)傳輸標(biāo)準(zhǔn)，符合T568A和T568B線序；具有防止松動(dòng)、插拔、自鎖等功能。SFP光模塊：作用就是光電轉(zhuǎn)換，發(fā)送端把電信號(hào)轉(zhuǎn)換成光信號(hào)，通過(guò)光纖傳輸后，接收端再把光信號(hào)轉(zhuǎn)換成電信號(hào)，由于其體積小，集成度高等特點(diǎn)。防火墻支持本地與遠(yuǎn)程兩種環(huán)境配置方法，分別為CLI、Telnet、SSH三種方式進(jìn)行配置。CLI：命令行界面是在圖形用戶界面得到普及之前使用最為廣泛的用戶界面，它通常不支持鼠標(biāo)，用戶通過(guò)鍵盤(pán)輸入指令，計(jì)算機(jī)接收到指令后，予以執(zhí)行。也有人稱(chēng)之為字符用戶界面（CUI）。Telnet：Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式，它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。SSH：SSH為建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議。SSH是較可靠，專(zhuān)為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過(guò)程中的信息泄露問(wèn)題。防火墻的ge0接口是作為防火墻設(shè)備的默認(rèn)管理接口，默認(rèn)管理IP地址為，該接口下默認(rèn)開(kāi)啟了ssh功能的，默認(rèn)沒(méi)有開(kāi)啟telnet功能要自己進(jìn)入CLI界面對(duì)接口進(jìn)行配置，所以可以通過(guò)電腦直連該接口進(jìn)行上面的遠(yuǎn)程配置實(shí)驗(yàn)。任務(wù)實(shí)施第1步：建立本地配置環(huán)境1.用標(biāo)準(zhǔn)的RS-232電纜將PC的USB轉(zhuǎn)串口連接，然后插到設(shè)備的COM口，然后查看USB轉(zhuǎn)串口的驅(qū)動(dòng)安裝，安裝完成后有以下這個(gè)效果如圖4-1-4所示：圖4-1-4查看serial端口2.在計(jì)算機(jī)上運(yùn)行終端仿真程序（系統(tǒng)的超級(jí)終端等）建立不同設(shè)備的連接。如圖4-1-5所示圖4-1-5SecureCRT連接設(shè)置按照下表配置終端參數(shù)如下：

端口：COM3波特率：9600數(shù)據(jù)位：8奇偶校驗(yàn)：無(wú)

停止位：1流量控制：無(wú)

（任何一個(gè)都不要勾選上，否則進(jìn)入不了配置界面）1.測(cè)試結(jié)果與分析給設(shè)備上電，設(shè)備會(huì)進(jìn)行自檢，并且自動(dòng)進(jìn)行系統(tǒng)初始化配置。如果系統(tǒng)啟動(dòng)成功，會(huì)出現(xiàn)登錄提示“l(fā)ogin：”。在登錄提示后輸入默認(rèn)管理員名稱(chēng)“admin”并敲回車(chē)鍵，界面出現(xiàn)密碼提示“password”，輸入默認(rèn)密碼“admin”并敲回車(chē)鍵，此時(shí)用戶便成功登錄并且進(jìn)入CLI配置界面。成功進(jìn)入CLI配置界面如圖4-1-6所示：圖4-1-6CLI配置界面注意事項(xiàng)：?要是進(jìn)入不了配置界面的話，就得查看設(shè)備管理器USB轉(zhuǎn)COM口的驅(qū)動(dòng)有沒(méi)有安裝成功了，沒(méi)有安裝肯定進(jìn)不去，然后安裝成功了還是進(jìn)不去的話就有兩個(gè)原因，第一是驅(qū)動(dòng)有問(wèn)題，安裝完了雖然也會(huì)出現(xiàn)com字眼的接口，但是進(jìn)不去配置界面；第二是流控問(wèn)題，不要勾選上三個(gè)流控三個(gè)選項(xiàng)的其中一個(gè)，勾選上了都進(jìn)不了配置界面。溫馨提示：?用命令對(duì)設(shè)備進(jìn)行配置或者查看設(shè)備的運(yùn)行狀態(tài)。使用命令時(shí)可隨時(shí)鍵入“？”尋求幫助。第2步：通過(guò)CLI配置界面配置接口上的Telnet功能要用

Telnet通過(guò)局域網(wǎng)或廣域網(wǎng)登錄到設(shè)備并對(duì)其進(jìn)行配置，滿足下面的條件：1.已經(jīng)為設(shè)備被連接接口配置了正確的

IP地址，并且開(kāi)啟了被連接接口的Telnet管理功能。開(kāi)啟接口的Telnet管理功能，在接口配置模式執(zhí)行allowtelnet命令。2.在配置終端不設(shè)備之間有可達(dá)路由。3.將計(jì)算機(jī)的以太網(wǎng)口跟設(shè)備的ge0接口相連接，使用console線進(jìn)入配置界面運(yùn)行

allowtelnet命令開(kāi)啟被連接接口的

Telnet管理功能驗(yàn)證配置：4.修改本機(jī)IP地址、掩碼、網(wǎng)關(guān)修改自己的本機(jī)IP地址為/24位網(wǎng)段內(nèi)的ip地址，這里使用的是，網(wǎng)關(guān)為ge0口上的IP地址。如圖4-1-7所示。圖4-1-7電腦IP地址配置5.測(cè)試結(jié)果在計(jì)算機(jī)上運(yùn)行終端仿真程序（系統(tǒng)的超級(jí)終端等）建立不同設(shè)備的連接，按照下表配置終端參數(shù)如下：如圖4-1-8所示。1.SecureCRTTelnet連接方法：如圖4-1-8、4-1-9所示。實(shí)驗(yàn)方法：圖4-1-8SecureCRTTelnet連接設(shè)置圖4-1-9SecureCRTTelnet連接后顯示2.CMDTelnet連接方法：如圖4-1-10、4-1-11所示。實(shí)驗(yàn)方法：1.在Windows系統(tǒng)下，按Win+R鍵打開(kāi)“運(yùn)行”2.輸入CMD命令。3.輸入Telnet[設(shè)備IP地址]，回車(chē)輸入賬號(hào)密碼登錄即可。如圖4-1-10和4-1-11所示。圖4-1-10CMDTelnet連接配置圖4-1-11CMDTelnet連接后顯示使用CMD終端使用Telnet命令的話需要安裝Telnet此服務(wù)，安裝此服務(wù)的方法：進(jìn)入控制面板——點(diǎn)擊程序和功能——點(diǎn)擊啟用或關(guān)閉windows功能——找到Telnetclient勾選確定。如圖4-1-12、4-1-13、4-1-14所示。圖4-1-12安裝Telnet客戶端(1)圖4-1-14安裝Telnet客戶端(3)圖4-1-13安裝Telnet客戶端(2)注意事項(xiàng)：用Telnet方法配置設(shè)備時(shí)，請(qǐng)不要隨意改變?cè)O(shè)備上配置了Telnet連接的接口的IP地址，改變?cè)摻涌贗P地址會(huì)導(dǎo)致Telnet斷開(kāi)連接。第3步：通過(guò)CLI配置界面配置接口上的SSH功能1.要用SSH通過(guò)局域網(wǎng)或廣域網(wǎng)登錄到設(shè)備并對(duì)其進(jìn)行配置，首先必須保證以下各項(xiàng)條件都已經(jīng)滿足：（1）已經(jīng)為設(shè)備被連接接口配置了正確的IP地址，并且開(kāi)啟了被連接接口的SSH管理功能。開(kāi)啟接口的SSH管理功能，在接口配置模式執(zhí)行allowssh命令。（2）在配置終端設(shè)備之間有可達(dá)路由。（3）將計(jì)算機(jī)的以太網(wǎng)口跟設(shè)備的ge0接口相連接。（4）運(yùn)行allowssh命令開(kāi)啟被連接接口的SSH管理功能（默認(rèn)ge0口上是有開(kāi)啟這個(gè)功能的，也可以不用輸入該命令，只是要通過(guò)其他接口進(jìn)行SSH遠(yuǎn)程控制的話就需要配置）（5）修改自己的本機(jī)IP地址為/24位網(wǎng)段內(nèi)的ip地址，這里使用的是，網(wǎng)關(guān)為我們ge0口上的IP地址。

2.在計(jì)算機(jī)上運(yùn)行終端仿真程序（系統(tǒng)的超級(jí)終端等）建立不同設(shè)備的連接。按照?qǐng)D片4-1-15、4-1-16、4-1-17所示步驟配置終端參數(shù)：圖4-1-15SecureCRTSSH連接配置圖4-1-16SSH允許加密密鑰圖4-1-17SecureCRTSSH連接登錄成功如圖4-1-18所示。圖4-1-18SecureCRTSSH連接后顯示

3.使用CMD終端使用SSH命令，Win10默認(rèn)安裝了ssh客戶端功能所以不需要手動(dòng)去安裝，這里直接進(jìn)入CMD使用命令：sshadmin@，@前面為用戶名，提示是否繼續(xù)連接，輸入yes，然后輸入密碼進(jìn)入到配置界面即測(cè)試成功。如圖4-1-19所示。圖4-1-19CMDSSH連接防火墻設(shè)備注意事項(xiàng)：用SSH方法配置設(shè)備時(shí)，請(qǐng)不要隨意改變?cè)O(shè)備上配置了SSH連接的接口的IP地址，改變?cè)摻涌贗P地址會(huì)導(dǎo)致SSH斷開(kāi)連接。任務(wù)總結(jié)此任務(wù)讓我們對(duì)防火墻進(jìn)行了一個(gè)初步的了解和認(rèn)識(shí)，防火墻的概念是什么、有什么模塊、有什么作用、有什么功能等等。1.通過(guò)本任務(wù)可以了解到進(jìn)入防火墻配置的幾種方法：console線配置方法適用于現(xiàn)場(chǎng)調(diào)試或者排障使用，telnet和ssh一般都是使用遠(yuǎn)程登錄來(lái)進(jìn)行配置或管理，更簡(jiǎn)單方便，不用去到現(xiàn)場(chǎng)使用配置線就能進(jìn)行配置和調(diào)試。2.Telnet和SSH的安全問(wèn)題。網(wǎng)絡(luò)被攻擊，很多情況是由于服務(wù)器提供了Telnet服務(wù)引起的。Telnet服務(wù)有一個(gè)致命的弱點(diǎn)——它以明文的方式傳輸用戶名及口令，所以，很容易被別有用心的人竊取口令。目前，一種有效代替Telnet服務(wù)的有用工具就是SSH服務(wù)。SSH客戶端與服務(wù)器端通訊時(shí)，用戶名及口令均進(jìn)行了加密，有效防止了對(duì)口令的竊聽(tīng)。設(shè)備支持以SSH的方式對(duì)設(shè)備的管理。任何一個(gè)有SSH功能的工作站都能通過(guò)TCP/IP網(wǎng)絡(luò)連接到設(shè)備。任務(wù)評(píng)價(jià)請(qǐng)根據(jù)實(shí)際情況填寫(xiě)任務(wù)評(píng)價(jià)表4-1-1。表4-1-1任務(wù)評(píng)價(jià)表評(píng)價(jià)內(nèi)容評(píng)價(jià)目的標(biāo)準(zhǔn)方式學(xué)生自評(píng)教師評(píng)價(jià)表述連接防火墻的方式。學(xué)生掌握知識(shí)和技能的程度正確（2分）錯(cuò)誤（0分）任務(wù)滿分為10分，根據(jù)學(xué)生任務(wù)完成情況評(píng)分。

規(guī)定時(shí)間內(nèi)，完成telnet連接防火墻。正確（2分）錯(cuò)誤（0分）

規(guī)定時(shí)間內(nèi)，完成SSH連接防火墻。完成（3分）未完成（0分）

學(xué)生參與表現(xiàn)學(xué)生參與學(xué)習(xí)任務(wù)的態(tài)度與能力，團(tuán)隊(duì)合作的情況等。3分

合計(jì)*合計(jì)=學(xué)生自評(píng)40%+教師評(píng)價(jià)60%知識(shí)小測(cè)單選題1.Telnet協(xié)議和SSH協(xié)議比較的話，哪一個(gè)比較安全（

）

A.Telnet B.SSHB2.要通過(guò)telnet的方式登錄設(shè)備，命令是那一條（