分类: 网络与安全
2009-06-27 17:03:14
一,所需软件:
网卡模拟器openvpn:
文件:
openvpn-2.0.9-install.rar
大小:
931KB
下载:
下载
PIX模拟器pemu:
文件:
pemu_win32_02.rar
大小:
411KB
下载:
下载
CPU使用率控制器BES:
文件:
BES(CPU使用率控制).zip
大小:
455KB
下载:
下载
PIX的IOS文件:pix721.bin
VMware模拟主机
dynamips模拟路由器
tomcat模拟服务器
SecureCRT 5.1
二,安装软件:
SecureCRT:(用于连接防火墙和路由器的终端)
按“下一步”常规安装(序列号在压缩包中)
OpenVPN:(在本地PC添加虚拟网卡,为了桥接虚拟机以及模拟路由dynamips)
1. 安装openvpn-2.0.9-install.exe
2. 在安装目录的bin目录下(一般为C:\Program Files\OpenVPN\bin)运行addtap.bat
3. 每运行一次,添加一个虚拟网卡,名为本地链接2,本地链接3,本地链接4...
4. 把虚拟网卡改名为tap0、tap1、tap2,后面在开启pix模拟器时可使用这三个网卡
5. 如果要删除虚拟网卡的话,运行deltapall.bat
PIX:(模拟防火墙)
· 安装pemu,解压开即可!
· 把pix721.bin改成pix721.rar并解压,提取pix文件放入pemu文件夹里
· 编辑pemu目录中的pemu.ini文件:清空原有内容 粘贴以下黄色代码:
· serial=0x302aab20
· image=pix
· key=0xd2390d2c,0x9fc4b36d,0x98442d99,0xeef7d8b1
· bios1=mybios_d8000
· bios2=bios.bin
· bios_checksum=1
· DOS界面下进入到pemu目录中,运行以下命令:(启动防火墙并使三块网卡与防火墙的三个端口进入已连接状态)
· pemu.exe -net nic,macaddr=00:aa:00:00:02:01 -net tap,ifname=tap0 -net nic,macaddr=00:aa:00:00:02:02 -net tap,ifname=tap1 -net nic,macaddr=00:aa:00:00:02:03 -net tap,ifname=tap2 -serial telnet::4444,server,nowait
· 用secureCRT登录防火强(telnet 127.0.0.1 端口4444)
· 第一次可看到以下启动信息:
·
此时,show version可看到由于激活码无效使防火墙处于受限功能状态。可按以下步骤操作开启PIX防火墙的无限制模式:1. 输入激活码
2. 退出防火墙
3. 关闭并重新运行模拟器(因为模拟的防火墙并不能真正的重启(reload))
pixfirewall> en
en
Password:
pixfirewall# ac 0xd2390d2c 0x9fc4b36d 0x98442d99 0xeef7d8b1
pixfirewall# exit
pixfirewall> exit
因为从pix 7.x开始,无法在pemu.ini中指定激活码,因此需要启动后手工录入,录入后会写在flash中,因此不用担心信息丢失。
重新运行模拟器后,查看防火墙版本信息show version,下图显示已经是无限制的全功能版本了!
CPU使用率控制器BES
:限制pemu模拟器CPU利用率,防止pemu使cpu利用率太高以至于电脑无法运行其他程序
解压即可运行,运行后操作步骤:
1. 点击“TARGET”,选择防火墙模拟器的进程“pemu.exe”
2. 点击“LIMIT this”
3. 点击“CONTROL”,限制CPU使用率
制作pemu脚本文件:
为了方便不用每次都开pemu,可一次把以下命令写在bat文件中:(每次启动pemu直接运行这个bat文件)
cd\
cd (pemu所在路径)\pemu
pemu.exe -net nic,macaddr=00:aa:00:00:02:01 -net tap,ifname=tap0 -net nic,macaddr=00:aa:00:00:02:02 -net tap,ifname=tap1 -net nic,macaddr=00:aa:00:00:02:03 -net tap,ifname=tap2 -net nic,macaddr=00:aa:00:00:02:04 -net tap,ifname=tap3 -serial telnet::4444,server,nowait
三,搭建实验拓扑:
实验拓扑图:
拓扑中的接口IP地址:
E0:外网ip(此实验用172.20.6.66代表)
E1:192.168.4.254
E2:192.168.3.254
F1/0:192.168.4.2
F0/0:192.168.1.2
F0/1:192.168.2.2
1.VMware中三台虚拟机的桥接操作
一台做DMZ区服务器,另两台作为inside内部主机
设置虚拟机的虚拟网卡桥接
编辑-->虚拟网络设置-->选到主机虚拟网络映射选项卡
其中
代表tap2
1.在DMZ虚拟机中右击虚拟机右下角的网卡图标选编辑进行设置
选择tap2的网卡进行桥接(表明DMZ服务器已经跟防火墙的E2口相连)
2.在inside1虚拟机中设置网卡
选择VMnet1的网卡进行桥接(VMnet1
3.在Inside2虚拟机中设置网卡
选择VMnet8的网卡进行桥接(VMnet8
这样三台虚拟机的桥接工作就完成了!
2.Dynamips的桥接操作
Dynamips在此实验中模拟路由器
选定设备类型 然后载入相应的IOS文件 并计算其Idle值 点确定。
在这里设置要桥接的网卡参数,选择一个PC然后计算桥接参数,然后确定。
分别是三块网卡tap1,VMnet1,VMnet8
tap1是防火墙E1口的桥接网卡
VMnet1是inside host1的桥接网卡
VMnet8是inside host2的桥接网卡
此处是路由器与三个虚拟网卡的桥接
V0/1指VMnet1 (可以看做inside host1)
V0/2指VMnet8 (可以看做inside host2)
V0/3指tap1 (可以看做防火墙E1口)
3.防火墙的E0口(outside)与本地pc的桥接
在本地PC上选中本地连接网卡和tap0网卡进行桥接:(两块网卡必须配上相同网段的IP)
桥接后在防火墙的EO口配上外网的公有IP,这样使防火墙直接与外网互联了!
以上是所有设备的连接操作,拓扑图已经搭建好了,可以进行防火墙的实验了
四,防火墙的配置:
1,实验需要完成的目标
在DMZ虚拟机上用tomcat软件搭建服务器作为堡垒主机,可以被外网进行访问
Inside host1和Inside host2不允许外网进行访问
Inside host2可以访问DMZ服务器,Inside host1不可访问DMZ服务器
2,PIX防火墙具体配置
pixfirewall# sh run
: Saved
:
PIX Version 7.2(1)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
nameif outside设置为外部区域
security-level 0设置安全级别为0
ip address 172.20.6.66 255.255.255.0
!
interface Ethernet1
speed 100
duplex full
nameif inside设置为内部区域
security-level 100设置安全级别为100
ip address 192.168.4.254 255.255.255.0
!
interface Ethernet2
speed 100
duplex full
nameif dmz设置为DMZ区域
security-level 50 设置安全级别为50
ip address 192.168.3.254 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 101 extended permit tcp any host 172.20.6.67 eq 8080允许外网访问dmz服务器的8080端口
access-list 101 extended permit tcp any host 172.20.6.67 eq ftp-data 允许外网访问dmz服务器的20端口
access-list 101 extended permit tcp any host 172.20.6.67 eq ftp 允许外网访问dmz服务器的21端口
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no failover
no asdm history enable
arp timeout 14400
static (dmz,outside) 172.20.6.67 192.168.3.1 netmask 255.255.255.255 设置静态映射dmz和outside
static (inside,outside) 172.20.6.68 192.168.2.1 netmask 255.255.255.255 设置静态映射inside2和outside
static (inside,outside) 172.20.6.69 192.168.1.1 netmask 255.255.255.255 设置静态映射inside1和outside
access-group 101 in interface outside将访问控制列表放到E0口
route outside 0.0.0.0 0.0.0.0 172.20.6.254 1指向到外网的默认路由,使inside区域能访问外网
route inside 192.168.2.0 255.255.255.0 192.168.4.2 1指向到inside2的静态路由
route inside 192.168.1.0 255.255.255.0 192.168.4.2 1指向到inside1的静态路由
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no service password-recovery
telnet timeout 5
ssh timeout 5
console timeout 0
!
!
prompt hostname context
Cryptochecksum:83990f7648b12a9f4476dfa57366786e
: end
3.路由器具体配置:
Router#sh run
Building configuration...
Current configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
!
!
!
!
memory-size iomem 15
ip subnet-zero
no ip domain-lookup
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 192.168.4.2 255.255.255.0
ip access-group 101 out将访问控制列表放在F1/0口的出方向上
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.4.254指向到防火墙的默认路由
ip route 192.168.3.0 255.255.255.0 192.168.4.254指向到DMZ区域的静态路由
no ip http server
!
access-list 101 permit tcp host 192.168.2.1 host 192.168.3.1 eq 8080允许inside host2访问dmz服务器
access-list 101 deny tcp host 192.168.1.1 host 192.168.3.1 eq 8080不允许inside host1访问dmz服务器
access-list 101 permit ip any any允许其他包通过
!
line con 0
exec-timeout 0 0
logging synchronous
transport input none
line aux 0
line vty 0 4
login
!
no scheduler allocate
end
3,测试:
Outside主机访问DMZ tomcat服务器: 访问成功
Inside host2访问DMZ tomcat服务器: 访问成功
Inside host1 不能访问DMZ服务器
Outside主机不能访问inside区域的主机
