基于GNS3的防火墻實(shí)驗(yàn)室構(gòu)建研究

摘 要：針對高職院校網(wǎng)絡(luò)技術(shù)教學(xué)過程中網(wǎng)絡(luò)安全技術(shù)更新快、建設(shè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室投入成本大等問題，提出使用GNS3開源軟件平臺構(gòu)建ASA防火墻實(shí)驗(yàn)環(huán)境，通過仿真實(shí)驗(yàn)表明，GNS3能夠很好的滿足ASA防火墻實(shí)驗(yàn)教學(xué)需要。

關(guān)鍵詞：GNS3；網(wǎng)絡(luò)安全；ASA防火墻

中圖分類號：TP391.9

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題也日益受到各大企業(yè)的關(guān)注，因此許多的高職院校中也將網(wǎng)絡(luò)安全技術(shù)加入到計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)的教學(xué)內(nèi)容當(dāng)中。然而，網(wǎng)絡(luò)安全技術(shù)是一門實(shí)踐性非常強(qiáng)的技術(shù)，為滿足眾多學(xué)生的學(xué)習(xí)需求，需要購買大量的網(wǎng)絡(luò)安全設(shè)備，由于網(wǎng)絡(luò)安全設(shè)備價(jià)格非常昂貴，因此建設(shè)網(wǎng)絡(luò)安全技術(shù)實(shí)驗(yàn)室需要投入相當(dāng)大的成本，部分學(xué)校只停留在理論教學(xué)環(huán)節(jié)，教學(xué)效果不理想。本文通過使用GNS3開源軟件，在PC平臺上仿真Cisco公司的ASA防火墻，由于GNS3軟件可以模擬多臺防火墻設(shè)備，因此可以在1臺PC上模擬出一個網(wǎng)絡(luò)安全實(shí)驗(yàn)室環(huán)境，通過實(shí)驗(yàn)表明，GNS3能夠很好的滿足網(wǎng)絡(luò)安全技術(shù)實(shí)驗(yàn)需要，能極大的提升實(shí)踐教學(xué)效果。

1 ASA防火墻

ASA防火墻是Cisco公司的一款集防火墻、VPN集中器以及入侵檢測（IDS）為一體的網(wǎng)絡(luò)安全產(chǎn)品[1]。Cisco ASA防火墻是一款非常出色的企業(yè)級防火墻，在各行各業(yè)都得到了廣泛的應(yīng)用，它不僅提供了防火墻的基本功能，還能適應(yīng)于各種網(wǎng)絡(luò)應(yīng)用環(huán)境，方便企業(yè)的管理、監(jiān)控和維護(hù)。其主要特性有：應(yīng)用層感知狀態(tài)包過濾；可以擴(kuò)展IPS（入侵防御系統(tǒng)）和有著內(nèi)容過濾功能；支持DHCP和PPPoE客戶動態(tài)分析地址，支持RIP、OSPF、EIGRP等多種路由協(xié)議；支持多種AAA協(xié)議對拔入ASA的各類遠(yuǎn)程訪問VPN、登錄ASA的管理會話和穿越ASA的網(wǎng)絡(luò)流量進(jìn)行AAA的認(rèn)證、授權(quán)；支持各類VPN等。

2 實(shí)驗(yàn)環(huán)境搭建

2.1 實(shí)驗(yàn)環(huán)境簡介。實(shí)驗(yàn)環(huán)境中使用最新版的GNS3 1.2.1模擬器[2]，最新版本的GNS3集成了GNS3 Server、Packet Capture、VPCS、Dynamips、IOS on UNIX、VirtualBox、QEMU等組件，其中Dynamips可以模擬Cisco的1800、2600、3600、3725、7200系列的路由器和部分交換機(jī)功能；GNS3 Server可以實(shí)現(xiàn)在多臺PC上實(shí)現(xiàn)分布式的交換機(jī)路由器仿真平臺，達(dá)到更多的仿真設(shè)備互連；Packet Capture可以捕捉數(shù)據(jù)鏈路間的數(shù)據(jù)包，主要用來對網(wǎng)絡(luò)協(xié)議進(jìn)行分析，默認(rèn)使用Wireshark進(jìn)行數(shù)據(jù)包的捕獲與分析；VPCS可以模擬PC的功能；QEMU可以仿真Cisco PIX防火墻、IDS以及ASA防火墻以及IPS（入侵防御系統(tǒng)），本實(shí)驗(yàn)主要利用QEMU來模擬Cisco公司的ASA8.4.2防火墻，其設(shè)備方法如圖1所示。

圖1 ASA防火墻設(shè)置窗口

2.2 網(wǎng)絡(luò)安全實(shí)驗(yàn)拓樸。為了充分更好的仿真ASA防火墻功能，同時(shí)又能節(jié)約系統(tǒng)資源，本實(shí)驗(yàn)中規(guī)劃了如圖2所示的網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境，其中ASA-1防火墻提供了三個接口，一個接口與互聯(lián)相連，一個接口與DMZ區(qū)（非軍事區(qū)）相連，一個接口與內(nèi)部局域網(wǎng)絡(luò)互連。主要在內(nèi)部PC1上測試是否能夠訪問DMZ區(qū)的Web Server以及Internet區(qū)的主機(jī)。

圖2 網(wǎng)絡(luò)安全實(shí)驗(yàn)室拓?fù)?/p>

3 實(shí)驗(yàn)配置與分析

3.1 實(shí)驗(yàn)配置。ASA防火墻的配置如下：

（1）初始化ASA防火墻設(shè)備

ASA# configure terminal

ASA（config）#interface g0/0

ASA（config-if）#nameif inside

ASA（config-if）#sec 100

ASA（config-if）#ip address 192.168.1.254 255.255.255.0

ASA（config-if）#no shutdown

ASA（config-if）#interface gigaethernet 0/1

ASA（config-if）#nameif dmz

ASA（config-if）#sec 50

ASA（config-if）#ip address 192.168.20.254 255.255.255.0

ASA（config-if）#no shut

ASA（config-if）#interface gigaethernet 0/2

ASA（config-if）#nameif outside

ASA（config-if）#sec 0

ASA（config-if）#ip address 172.16.1.254 255.255.255.0

ASA（config-if）#no shutdown

（2）配置ASA防火墻的靜態(tài)路由

ASA（config）#route outside 0.0.0.0 0.0.0.0 172.16.1.254

（3）配置PAT和Static NAT

ASA（config）#nat （inside） 1 192.168.1.0 255.255.255.0

ASA（config）#global （outside） 1 interface

（4）配置ACL放行WWW、ICMP流量

ASA（config）#access-list OUT extended permit icmp any any

ASA（config）#access-list OUT extended permit tcp any interface outside eq www

3.2 實(shí)驗(yàn)分析。系統(tǒng)配置完成后，可以在PC1上使用ping命令測試與DMZ區(qū)的Web服務(wù)器以及Internet區(qū)域的主機(jī)進(jìn)行連通性測試，能夠得到正確的響應(yīng)，表明數(shù)據(jù)包均能順利的通過防火墻。

4 結(jié)束語

使用GNS3模擬器仿真ASA防火墻，幾乎可以模擬ASA所有的功能，學(xué)習(xí)者可以在虛擬的環(huán)境下隨意的搭建網(wǎng)絡(luò)安全拓樸環(huán)境，仿真各類網(wǎng)絡(luò)安全實(shí)驗(yàn)，同時(shí)由于GNS3是軟件模擬環(huán)境，可以及時(shí)更新，模擬出當(dāng)前最先進(jìn)的網(wǎng)絡(luò)安全設(shè)備環(huán)境，同時(shí)還可以結(jié)合VMware虛擬機(jī)技術(shù)[3]，構(gòu)建更為逼真的網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境，此方法不失為一種有效的網(wǎng)絡(luò)安全實(shí)驗(yàn)室建設(shè)方案，在節(jié)約網(wǎng)絡(luò)安全實(shí)驗(yàn)室建設(shè)成本的同時(shí)也能有效提升教學(xué)效果，值得在廣大的職業(yè)院校中推廣使用。

參考文獻(xiàn)：

[1]黃俊.淺析防火墻ASA特性及其和NAT技術(shù)結(jié)合的合理性[J].中國新通信，2013（09）.

[2]GNS3.http：//www.gns3.net[EB/OL]，2014.12.

[3]龍艷軍，歐陽建權(quán)，俞佳曦.基于VMware和GNS3的虛擬網(wǎng)絡(luò)系統(tǒng)集成實(shí)驗(yàn)室研究[J].實(shí)驗(yàn)技術(shù)與管理，2013.

作者簡介：陳彥（1969-），湖南永州人，副教授，主要研究方向：網(wǎng)絡(luò)安全技術(shù)。

作者單位：永州職業(yè)技術(shù)學(xué)院，湖南永州 425000