計(jì)算機(jī)網(wǎng)絡(luò)管理仿真平臺(tái)防火墻實(shí)驗(yàn)設(shè)計(jì)

唐燈平,朱艷琴,楊 哲,曹?chē)?guó)平,肖廣娣

(蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,江蘇蘇州 215006)

計(jì)算機(jī)網(wǎng)絡(luò)管理仿真平臺(tái)防火墻實(shí)驗(yàn)設(shè)計(jì)

唐燈平,朱艷琴,楊 哲,曹?chē)?guó)平,肖廣娣

(蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,江蘇蘇州 215006)

計(jì)算機(jī)網(wǎng)絡(luò)管理課程既要有理論講解又要有實(shí)踐的驗(yàn)證,因網(wǎng)絡(luò)管理的復(fù)雜性,故需要搭建綜合的實(shí)驗(yàn)平臺(tái)。該平臺(tái)要能夠盡量滿足對(duì)網(wǎng)絡(luò)管理的五大功能域的管理。防火墻技術(shù)是安全管理的重要技術(shù)。通過(guò)整合GNS3、VMware、SNMPc搭建網(wǎng)絡(luò)管理仿真平臺(tái),在此基礎(chǔ)上利用GNS3防火墻設(shè)備構(gòu)建防火墻實(shí)驗(yàn)平臺(tái)。介紹了在計(jì)算機(jī)網(wǎng)絡(luò)管理仿真平臺(tái)的基礎(chǔ)上搭建的防火墻仿真實(shí)驗(yàn)平臺(tái),并探索了整個(gè)實(shí)驗(yàn)的設(shè)計(jì)仿真過(guò)程,結(jié)果表明仿真效果和真實(shí)設(shè)備是一樣的,充分顯示了仿真平臺(tái)的優(yōu)越性。

計(jì)算機(jī)網(wǎng)絡(luò)管理;GNS3;仿真;防火墻;ASA

計(jì)算機(jī)網(wǎng)絡(luò)管理包括五大功能域,即故障管理、配置管理、計(jì)費(fèi)管理、性能管理以及安全管理,其中網(wǎng)絡(luò)安全管理主要是通過(guò)適當(dāng)?shù)陌踩夹g(shù)措施和管理手段,確保網(wǎng)絡(luò)資源的機(jī)密性、完整性、可用性、抗抵賴性、可控性,使網(wǎng)絡(luò)不致因網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)通信協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)管理受到人為和自然因素的危害而導(dǎo)致網(wǎng)絡(luò)中斷、信息泄露或破壞。網(wǎng)絡(luò)安全作為計(jì)算機(jī)網(wǎng)絡(luò)管理一大功能域,已經(jīng)上升為國(guó)家戰(zhàn)略。計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)包括防火墻技術(shù)、入侵檢測(cè)技術(shù)、入侵防御技術(shù)、防病毒技術(shù)、VPN技術(shù)、身份認(rèn)證技術(shù)以及密碼技術(shù)等,其中防火墻技術(shù)作為基本的網(wǎng)絡(luò)安全技術(shù)被廣泛使用。筆者搭建的計(jì)算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺(tái)能夠很好地仿真防火墻技術(shù),達(dá)到和真實(shí)設(shè)備同樣的效果,為學(xué)生的實(shí)驗(yàn)以及教師的教學(xué)演示創(chuàng)造了良好的條件[1]。

1 計(jì)算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺(tái)介紹

計(jì)算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺(tái)由GNS3、VMware以及SNMPc組成。

GNS3主要仿真網(wǎng)絡(luò)互連設(shè)備。由于在GNS3中加載真實(shí)的IOS設(shè)備,所以仿真的效果幾乎和真實(shí)設(shè)備一樣。GNS3不但能夠仿真基本的路由器和交換機(jī),還能夠仿真入侵檢測(cè)、入侵防御以及防火墻設(shè)備,因此能夠基本滿足對(duì)網(wǎng)絡(luò)互連設(shè)備的仿真需求[2-3]。

VMware主要仿真各種操作系統(tǒng),包括網(wǎng)絡(luò)操作系統(tǒng)以及終端設(shè)備系統(tǒng)。特別的是GNS3能夠通過(guò)“Cloud”和VMware中的操作系統(tǒng)以及物理機(jī)器進(jìn)行網(wǎng)絡(luò)連接,為計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)的仿真創(chuàng)造了條件[4-5]。

SNMPc是可視化的網(wǎng)絡(luò)管理系統(tǒng)平臺(tái),是基于簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP開(kāi)發(fā)的。它能夠?qū)φ麄€(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理。

計(jì)算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺(tái)是以校園網(wǎng)為基礎(chǔ),依據(jù)主流的三層網(wǎng)絡(luò)架構(gòu)搭建的,分別為面向終端設(shè)備的接入層、對(duì)接入層設(shè)備進(jìn)行匯聚的匯聚層以及核心層。GNS3通過(guò)“Cloud”和VMware中的操作系統(tǒng)進(jìn)行網(wǎng)絡(luò)連接,在VMware的操作系統(tǒng)中部署SNMPc網(wǎng)絡(luò)管理系統(tǒng)平臺(tái),實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的管理。該仿真平臺(tái)的搭建以及基本配置參數(shù)如圖1所示。

圖1 計(jì)算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺(tái)拓?fù)湓O(shè)計(jì)

2 防火墻實(shí)驗(yàn)設(shè)計(jì)

2.1 防火墻技術(shù)介紹

防火墻是由硬件和軟件組成的系統(tǒng),處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,根據(jù)由系統(tǒng)管理員設(shè)置的訪問(wèn)控制規(guī)則,對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾,從而保護(hù)內(nèi)部網(wǎng)絡(luò)免遭非法用戶的侵入,防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)等4個(gè)部分組成。

防火墻通常處于Intranet網(wǎng)絡(luò)和Internet網(wǎng)絡(luò)之間,使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(security gateway)。通過(guò)將網(wǎng)絡(luò)劃分為不同的區(qū)域,并制定不同區(qū)域之間的訪問(wèn)控制策略來(lái)控制不同區(qū)域間傳送的數(shù)據(jù)流[6-7]。一般將Internet劃分為不可信任(untrust)區(qū)域,將內(nèi)部Intranet網(wǎng)絡(luò)劃分為可信任(trust)區(qū)域或者本地區(qū)域(local),而將網(wǎng)絡(luò)服務(wù)器群劃分為非軍事化(DMZ)區(qū)域。本地區(qū)域是最高級(jí)別的安全區(qū)域,其安全優(yōu)先級(jí)為100,非軍事化區(qū)域?yàn)橹卸燃?jí)別的安全區(qū)域,其安全優(yōu)先級(jí)為50,不可信任區(qū)域的安全優(yōu)先級(jí)比較低。

2.2 防火墻實(shí)驗(yàn)拓?fù)湓O(shè)計(jì)

防火墻實(shí)驗(yàn)的設(shè)計(jì)是基于計(jì)算機(jī)網(wǎng)絡(luò)管理仿真平臺(tái)。防火墻的接口e0/0和外部網(wǎng)絡(luò)Internet相連, e0/1接口和內(nèi)部網(wǎng)絡(luò)Intranet相連,e0/2接口和非軍事化區(qū)域DMZ相連。

為了驗(yàn)證防火墻的效果,在VMware虛擬機(jī)上安裝了3臺(tái)計(jì)算機(jī)。操作系統(tǒng)分別為Windows server 2003,Windows server 2008以及Windows XP,其中安裝Windows server 2003操作系統(tǒng)的計(jì)算機(jī)IP地址規(guī)劃為202.102.10.100/24,該機(jī)作為Internet上的一臺(tái)服務(wù)器使用;安裝Windows server 2008操作系統(tǒng)的計(jì)算機(jī)IP地址規(guī)劃為192.168.3.100/24,該機(jī)作為校園網(wǎng)的一臺(tái)網(wǎng)絡(luò)服務(wù)器使用;安裝Windows XP操心系統(tǒng)的計(jì)算機(jī)IP地址規(guī)劃為192.168.20.100/24,該機(jī)作為計(jì)算機(jī)學(xué)院的一臺(tái)終端設(shè)備使用。防火墻實(shí)驗(yàn)的拓?fù)鋱D以及IP地址規(guī)劃如圖2所示。

圖2 防火墻仿真實(shí)驗(yàn)拓?fù)?/p>

2.3 防火墻實(shí)驗(yàn)場(chǎng)景設(shè)計(jì)

通過(guò)配置防火墻,讓內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)能夠ping通外部網(wǎng)絡(luò),讓外網(wǎng)的計(jì)算機(jī)能夠ping通DMZ區(qū)的網(wǎng)絡(luò)服務(wù)器。

3 防火墻配置過(guò)程

3.1 使整個(gè)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)互連互通

校園網(wǎng)的互連主要是配置網(wǎng)絡(luò)設(shè)備和終端。首先配置接入層設(shè)備,在接入層設(shè)備上劃分VLAN以及對(duì)端口模式進(jìn)行設(shè)置(見(jiàn)圖2)。將每個(gè)接入層設(shè)備劃分2個(gè)VLAN,將每個(gè)設(shè)備的2—7號(hào)端口以及8—15號(hào)端口放入不同的VLAN中,并將連接匯聚層設(shè)備的端口模式設(shè)置為“Trunk”。配置匯聚層設(shè)備端口的IP地址以作為終端設(shè)備的網(wǎng)關(guān)地址,通過(guò)對(duì)匯聚層連接接入層設(shè)備的端口創(chuàng)建子接口,來(lái)解決單個(gè)匯聚層接口連接兩個(gè)不同VLAN網(wǎng)段的問(wèn)題。另外,配置匯聚層連接核心層接口的IP地址以及核心層設(shè)備的接口IP地址[8-10]。

基本配置后還需要啟用動(dòng)態(tài)路由協(xié)議,將不同的網(wǎng)絡(luò)互連起來(lái)。RIP協(xié)議是常使用的動(dòng)態(tài)路由協(xié)議。配置防火墻連接內(nèi)網(wǎng)端口的IP地址以及配置防火墻動(dòng)態(tài)路由協(xié)議,使內(nèi)網(wǎng)計(jì)算機(jī)能夠連通該接口:

在ASA防火墻中要配置nameif名字,否則端口不能啟動(dòng)。配置不同的名字代表具有不同的優(yōu)先級(jí),內(nèi)網(wǎng)只可配置在內(nèi)網(wǎng)的端口上,是一個(gè)系統(tǒng)自帶的值。默認(rèn)的優(yōu)先級(jí)是100,屬于最高的級(jí)別,而其他默認(rèn)端口的優(yōu)先級(jí)都是0。

測(cè)試終端計(jì)算機(jī)和防火墻連接內(nèi)網(wǎng)計(jì)算機(jī)的連通性結(jié)果如下:

實(shí)驗(yàn)結(jié)果可以看出終端計(jì)算機(jī)和防火墻連接內(nèi)網(wǎng)的端口是連通的。

3.2 配置外部網(wǎng)絡(luò),使外部網(wǎng)絡(luò)互連互通

首先對(duì)路由器接口的IP地址進(jìn)行配置,再配置防火墻連接外網(wǎng)的接口e0/0的IP地址,以及配置Windows server 2003服務(wù)器的IP地址:

最后對(duì)外部網(wǎng)絡(luò)的連通性進(jìn)行測(cè)試,從外網(wǎng)的服務(wù)器ping防火墻連接外網(wǎng)的端口,結(jié)果可以看出外部網(wǎng)絡(luò)能夠ping通防火墻連接外部網(wǎng)絡(luò)的接口。

3.3 配置DMZ區(qū)域,使DMZ區(qū)互連互通

程序如下:

對(duì)DMZ服務(wù)器與防火墻連接DMZ區(qū)的端口的連通性進(jìn)行測(cè)試,結(jié)果是連通的。

3.4 配置防火墻

3.4.1 將防火墻的默認(rèn)路由通過(guò)RIP路由協(xié)議向其他設(shè)備注入

首先配置防火墻:

同樣的命令對(duì)核心層設(shè)備和匯聚層設(shè)備進(jìn)行配置,配置完成后通過(guò)查看核心層設(shè)備以及匯聚層設(shè)備的路由表,發(fā)現(xiàn)均產(chǎn)生了一條默認(rèn)路由:

3.4.2 使內(nèi)部計(jì)算機(jī)通過(guò)防火墻訪問(wèn)外網(wǎng)

程序如下:

因?yàn)樵谀J(rèn)情況下防火墻是把ping作為一種攻擊手段給拒絕掉的,所以需要通過(guò)訪問(wèn)控制列表允許ping命令通過(guò):

測(cè)試結(jié)果表明,計(jì)算機(jī)學(xué)院的計(jì)算機(jī)可以ping外網(wǎng),程序如下:

結(jié)果是可以ping通的,查看地址轉(zhuǎn)換結(jié)果,如下所示:

3.4.3 配置防火墻使外網(wǎng)能夠訪問(wèn)DMZ服務(wù)器

由于處于DMZ區(qū)的服務(wù)器所配置的IP地址為內(nèi)網(wǎng)私有地址,外部計(jì)算機(jī)不可能直接ping通該地址,因此需要將內(nèi)部服務(wù)器的IP地址靜態(tài)映射為一個(gè)公網(wǎng)IP地址。外部計(jì)算機(jī)通過(guò)訪問(wèn)該公網(wǎng)IP地址,達(dá)到實(shí)際訪問(wèn)內(nèi)部服務(wù)器的目的。程序如下:

測(cè)試結(jié)果表明可以實(shí)現(xiàn)外部計(jì)算機(jī)ping通DMZ區(qū)域服務(wù)器:

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全作為國(guó)家戰(zhàn)略,在計(jì)算機(jī)網(wǎng)絡(luò)管理中呈現(xiàn)越來(lái)越重要的地位。學(xué)生在掌握網(wǎng)絡(luò)安全理論知識(shí)的同時(shí),需要通過(guò)實(shí)驗(yàn)來(lái)驗(yàn)證理論,從而達(dá)到理論與實(shí)踐的結(jié)合。計(jì)算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺(tái)的搭建需要滿足網(wǎng)絡(luò)安全實(shí)驗(yàn)仿真的需求。實(shí)驗(yàn)結(jié)果表明,所設(shè)計(jì)的計(jì)算機(jī)網(wǎng)絡(luò)管理仿真防火墻實(shí)驗(yàn)平臺(tái)的仿真效果達(dá)到了與真實(shí)設(shè)備同樣的效果。

References)

[1]雷震甲.計(jì)算機(jī)網(wǎng)絡(luò)管理[M].北京:人民郵電出版社,2009.

[2]龍艷軍,歐陽(yáng)建權(quán),俞佳曦.基于GNS3和VMware的虛擬網(wǎng)絡(luò)系統(tǒng)集成實(shí)驗(yàn)室研究[J].實(shí)驗(yàn)技術(shù)與管理,2013,30(2):90-93.

[3]劉武,吳建平,段海新,等.用VMware構(gòu)建高校的網(wǎng)絡(luò)安全實(shí)驗(yàn)床[J].計(jì)算機(jī)應(yīng)用研究,2005(2):212-214.

[4]唐燈平.整合GNS3和VMware搭建虛實(shí)結(jié)合的網(wǎng)絡(luò)技術(shù)綜合實(shí)訓(xùn)平臺(tái)[J].浙江交通職業(yè)技術(shù)學(xué)院學(xué)報(bào),2012(2):41-44.

[5]唐燈平.利用packet tracer模擬軟件實(shí)現(xiàn)三層網(wǎng)絡(luò)架構(gòu)的研究[J].實(shí)驗(yàn)室科學(xué),2010(3):143-146.

[6]肖宇峰,沈軍.電信運(yùn)營(yíng)商防火墻測(cè)試技術(shù)的研究與應(yīng)用[J].電信技術(shù),2013(10):9-13.

[7]李勝?gòu)V,楊東凱,劉建偉.防火墻及網(wǎng)絡(luò)協(xié)議綜合實(shí)驗(yàn)平臺(tái)構(gòu)建[J].實(shí)驗(yàn)技術(shù)與管理,2007,24(2):72-76.

[8]唐燈平.利用Packet Tracer模擬組建大型單核心網(wǎng)絡(luò)的研究[J].實(shí)驗(yàn)室研究與探索,2011,30(1):186-189,198.

[9]周敏,龔箭.“計(jì)算機(jī)網(wǎng)絡(luò)安全”實(shí)驗(yàn)教學(xué)研究[J].實(shí)驗(yàn)技術(shù)與管理, 2011,28(9):145-148.

[10]趙凱鑫.基于虛擬機(jī)的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)的構(gòu)建[J].大慶師范學(xué)院學(xué)報(bào),2010(3):17-19.

Design of firewall experiment based on computer network management simulation platform

Tang Dengping,Zhu Yanqin,Yang Zhe,Cao Guoping,Xiao Guangdi
(College of Computer Science&Technology,Soochow University,Suzhou 215006,China)

The Computer Network Management course is a combination of theory and practice courses,so it needs to build a comprehensive experimental platform for teaching.The platform can manage the five functions of network management.The firewall technology is an important technology of security management.By integrating GNS3,VMware,SNMPc the network management simulation platform is established,and GNS3 firewall equipment is used to build a firewall experimental platform.This paper introduces the firewall simulation experimental platform based on the simulation platform of computer network management,and introduces the whole experiment of the simulation.The results show that the simulation results and the real equipment results are the same,which fully demonstrates the superiority of the simulation platform.

computer network management;GNS3;simulation;firewall;ASA

TP391.9

A

1002-4956(2015)4-0156-05

2014-08-13

蘇州大學(xué)計(jì)算機(jī)與信息技術(shù)國(guó)家級(jí)實(shí)驗(yàn)教學(xué)示范中心建設(shè)項(xiàng)目“計(jì)算機(jī)網(wǎng)絡(luò)管理虛擬仿真實(shí)驗(yàn)平臺(tái)設(shè)計(jì)”;蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院教學(xué)資源建設(shè)項(xiàng)目“‘計(jì)算機(jī)網(wǎng)絡(luò)管理’課程仿真實(shí)驗(yàn)教學(xué)環(huán)境及教學(xué)資源開(kāi)發(fā)”

唐燈平(1976—),男,江蘇寶應(yīng),碩士,副教授,主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù).