单元4防火墙基本管理

单元概述本单元主要介绍防火墙管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理。管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。在防火墙的管理中，最为常见的是通过SNMP进行管理，是由Internet工程任务组织(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。

任务1登录防火墙

任务情景祥云公司为了让维护人员配置某机房防火墙设备的时候方便一些，委托某集成公司在公司机房中的防火墙设备上通过使用Console线缆对防火墙进行CLI界面配置，开启接口的ssh功能和telnet功能，使得后面维护人员不用通过Console线缆到现场进行CLI界面配置，可以通过远程终端配置该防火墙设备。任务拓扑，如图4-1-1所示。图4-1-1网络拓扑

学习目标?使用Console线连接配置防火墙?使用Telnet配置防火墙?使用SSH配置防火墙

任务分析本任务是学习如何入门使用防火墙，通过以下两方面先认识防火墙的外观和连接。一、防火墙设备全部模块一共有8个模块，当中有6个为电口模块，2个为光口模块，ge0-ge5都为电口模块，ge6-ge7都为光口模块，台式计算机使用以太网线连接防火墙上的6个电口模块进行测试，模块的led灯是否正常亮起。实验方法：使用PC以太网线连接防火墙GE0口，查看是否正常亮灯如图4-1-2所示。图4-1-2PC连接防火墙

二、通过光纤电缆互相连接ge6口和ge7口模块进行测试，观察模块的led灯是否正常亮起。实验方法：使用光纤电缆互相连接到防火墙中的Ge6和Ge7口进行测试，查看是否正常亮灯如图4-1-3所示。图4-1-3光纤电缆互连

预备知识防火墙的基本概念：所谓“防火墙”，是指一种将内部网和公众网络（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制手段，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、复制和毁坏你的重要信息。防火墙模块分两种，一种为电口模块，一种为光纤模块。RJ45模块：RJ45插头又称为RJ45水晶头（RJ45ModularPlug），用于数据电缆的端接，实现设备、配线架模块间的连接及变更。对RJ45水晶头要求具有良好的导通性能；满足超5类传输标准，符合T568A和T568B线序；具有防止松动、插拔、自锁等功能。SFP光模块：作用就是光电转换，发送端把电信号转换成光信号，通过光纤传输后，接收端再把光信号转换成电信号，由于其体积小，集成度高等特点。

防火墙支持本地与远程两种环境配置方法，分别为CLI、Telnet、SSH三种方式进行配置。CLI：命令行界面是在图形用户界面得到普及之前使用最为广泛的用户界面，它通常不支持鼠标，用户通过键盘输入指令，计算机接收到指令后，予以执行。也有人称之为字符用户界面（CUI）。Telnet：Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式，它为用户提供了在本地计算机上完成远程主机工作的能力。SSH：SSH为建立在应用层基础上的安全协议。SSH是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。防火墙的ge0接口是作为防火墙设备的默认管理接口，默认管理IP地址为，该接口下默认开启了ssh功能的，默认没有开启telnet功能要自己进入CLI界面对接口进行配置，所以可以通过电脑直连该接口进行上面的远程配置实验。

任务实施第1步：建立本地配置环境1.用标准的RS-232电缆将PC的USB转串口连接，然后插到设备的COM口，然后查看USB转串口的驱动安装，安装完成后有以下这个效果如图4-1-4所示：图4-1-4查看serial端口

2.在计算机上运行终端仿真程序（系统的超级终端等）建立不同设备的连接。如图4-1-5所示图4-1-5SecureCRT连接设置按照下表配置终端参数如下：端口：COM3波特率：9600数据位：8奇偶校验：无停止位：1流量控制：无（任何一个都不要勾选上，否则进入不了配置界面）

1.测试结果与分析给设备上电，设备会进行自检，并且自动进行系统初始化配置。如果系统启动成功，会出现登录提示“login：”。在登录提示后输入默认管理员名称“admin”并敲回车键，界面出现密码提示“password”，输入默认密码“admin”并敲回车键，此时用户便成功登录并且进入CLI配置界面。成功进入CLI配置界面如图4-1-6所示：图4-1-6CLI配