通過QEMU與VMware模擬的ASA防火牆實驗環境配置
路由器是用來實現數據包的正確轉發——路由功能;防火牆是基於網絡的安全防禦設計的。通俗來講,路由器關注如何實現“通”,而防火牆關注如何保證所有正常流量與合法流量“通”的前提,所有非法的不安全的流量“不通”。
很多人說路由器可以通過ACL等配置實現很多防火牆的功能,但是他們忽略了重要的問題,路由器是三層設備,只是基於ACL的簡單包過濾,防火牆則是四層設備(很多防火牆都具有應用層的功能,實現基於內容的過濾)。在源和目的端互相訪問的過程中,路由器只是一個“過客”;而防火牆無論與源或目的都建立了端到端的通信,也就是說,外網的主機如果希望訪問內網的資源,必須先與防火牆建立連接,在此過程中防火牆可以對連接建立實施監測,充分保障內網的安全,而路由器很難做到這一點。
CiscoASA防火牆優勢:
對於***的全面兼容![clip_image002[1]](http://yseek.blog.51cto.com/attachment/201102/15/2732008_1297741507Vo8c.gif "clip_image002[1]"){kind=small}
Anti-X服務![clip_image002[2]](http://yseek.blog.51cto.com/attachment/201102/15/2732008_12977415192A77.gif "clip_image002[2]"){kind=small}
***防禦![clip_image002[3]](http://yseek.blog.51cto.com/attachment/201102/15/2732008_1297741533BFHk.gif "clip_image002[3]"){kind=small}
專業的監控管理與cisco的路由器模擬器dynamips類似,ASA防火牆我們也可以通過qemu來模擬,只是管理起來更加麻煩。下面我們看如何進行具體配置。
步驟一:解壓縮ISO鏡像,進入tools文件夾目錄安裝winpcap_4_0.exe.
步驟二:將asa的網絡接口與真機的網卡進行橋接。
進入獲取網卡參數文件夾目錄,運行xp_獲取gen-eth.bat獲取網卡參數信息,如下信息:
圖中紅色圈起的是綠線網卡的參數信息,拷貝網卡參數如: \Device\NPF_{7B5FEBF0-5347-4272-A8E9-1A7095D5DC43},然後進入asa模擬器目錄中修改
asa_PCAP.bat文件,更改對應的網卡信息:
這樣防火牆的e0/0接口與ms loopback adapter 2網卡橋接,
e0/1接口與ms loopback adapter網卡橋接,
e0/2接口與計算機的8169網卡橋接。
步驟三:進行VMware虛擬機與真機橋接。
打開VMware虛擬機軟件>虛擬網絡設置,在虛擬網絡編輯器進行如下設置:
在具體虛擬機的設置下分別做如下橋接
這樣,win2003r2虛擬機就與asa的e0/0最終橋接,我們可以認爲企業的內網,win2003sp1虛擬機與asa的e0/1最終橋接,我們用來模擬外網。
步驟四:ASA基本及TELNET,SSH管理
進入ASA模擬器目錄,運行asa_PCAP.bat.然後在真機上使用telnet 127.0.0.1 4000進行初始化配置
內部接口給Ip地址
ciscoasa#(config)#hostname gw
gw(config)#
gw(config)# int e0/0
gw(config-if)# ip address 192.168.1.254 255.255.255.0
gw(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
gw(config-if)# no shutdown
gw(config-if)#
ASA常用的遠程管理方式:Telnet和SSH。Telnet爲明文傳輸,一般只用於內網訪問。SSH爲密文傳輸,在內網和外網訪問都推薦使用
telnet登陸配置
gw(config)# telnet 192.168.1.0 255.255.255.0 inside
gw(config)# password benet
gw(config)#
ssh登陸配置
asa(config)# domain-name wgs.com
asa(config)# crypto key generate rsa modules 1024
asa(config)# ssh 192.168.1.0 255.255.255.0 inside
asa(config)# ssh 0 0 outside
asa(config)# ssh timeout 30
asa(config)# ssh version 2
經過上面的步驟設置,我們就可以在win2003r2計算機上通過telnet及ssh進行遠程管理。
步驟五:通過ASDM進行管理。
gw(config)# http server enable
gw(config)# http 192.168.1.0 255.255.255.0 inside
gw(config)# asdm image flash:/asdm-613.bin
gw(config)# username admin password 123.com privilege 15
如上布驟配置完,但使用ASDM來連接QEMU運行的ASA,但大體都是ASDM不支持該版本,主要原因就是因爲ASDM在檢測QEMU模擬ASA時,不能得到其硬件版本(5505,5510,5520,etc),其實ASDM檢查QEMU模擬的ASA的時候利用的就是HTTPS協議,介紹一個軟件Fiddler,一個HTTP debugging proxy,其2.0版本支持https協議,並且這個工具可以截獲本機發送的HTTP或者HTTPS流量進行重寫,那麼我們就有機會將ASDM與QEMU模擬的ASA中間的HTTPS流量進行重寫,將硬件版本號寫進HTTPS,騙取ASDM來識別.
1.需要的軟件(從tools文件夾中依次選擇安裝)
.net2.0 frameworks (fiddler要求)
Fiddler
JRE
JRE
Firefox(IE兼容性有問題)
2. 在安裝firefox時,設置firefox爲默認瀏覽器。firefox安裝完後,需要打開點擊工具—>選項。在內容選項頁裏,取消”阻止彈出窗口”的複選框,如下圖所示。
3. fiddler配置
運行fiddler,注意定義下圖幾個地方:
首先,點擊Tools->Fiddler option->Https
運行fiddler,注意定義下圖幾個地方:
首先,點擊Tools->Fiddler option->Https
勾選Decrypt HTTPS traffic
然後,點擊Rules->Customize rules
搜索找到函數
搜索找到函數
static function OnBeforeRequest(oSession: Session)
在該函數中加入一條if語句
if ((oSession.url.EndsWith("/admin/asdm_handler")) || (oSession.url.EndsWith("/admin/pdm.sgz")))
{
oSession.bBufferResponse = false;
}
{
oSession.bBufferResponse = false;
}
搜索找到函數
static function OnBeforeResponse(oSession: Session)
在該函數中加入一條if語句
if (oSession.url.Contains("/show+version"))
{
oSession.utilDecodeResponse();
oSession.utilReplaceInResponse('Hardware: ,','Hardware: ASA5520,');
}
{
oSession.utilDecodeResponse();
oSession.utilReplaceInResponse('Hardware: ,','Hardware: ASA5520,');
}
注意('Hardware: ,','Hardware: ASA5520,'); 中的空格保留(3個空格,請完全複製)
點擊文件->保存(如果語法正確將聽到提示聲音,並無任何提示框,假如語法錯誤或者將會提出提示框)
最後,點擊 開始->控制面板->JAVA->常規->網絡設置
使用代理服務器,地址爲localhost 端口爲8888(fiddler的服務端口)
點擊高級,對所有協議使用同一個代理服務器
點擊文件->保存(如果語法正確將聽到提示聲音,並無任何提示框,假如語法錯誤或者將會提出提示框)
最後,點擊 開始->控制面板->JAVA->常規->網絡設置
使用代理服務器,地址爲localhost 端口爲8888(fiddler的服務端口)
點擊高級,對所有協議使用同一個代理服務器
4.打開firefox,在地址欄輸入https://192.168.1.254,添加例外。出現如下畫面
點擊”install ASDM Launcher and Run ASDM”,輸入剛纔的用戶名admin,密碼123.com。開始安裝。安裝完後,在桌面點擊快捷方式,進行登陸
如下圖所示,就可以使用asdm進行管理了
成功登陸到ASDM以後注意取消JAVA代理服務器設置.