基于GNS3+VMware虛擬實驗室的仿真ASA防火墻實驗的設(shè)計與實現(xiàn)

◆周 俊

(四川省人事人才考試測評基地 四川 610000)

基于GNS3+VMware虛擬實驗室的仿真ASA防火墻實驗的設(shè)計與實現(xiàn)

◆周 俊

(四川省人事人才考試測評基地 四川 610000)

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全備受關(guān)注，人們對網(wǎng)絡(luò)技術(shù)的研究也越來越深入， 因此，安全保密工作成為網(wǎng)絡(luò)建設(shè)中的關(guān)鍵技術(shù)，防火墻技術(shù)就是其中重要的一環(huán)。鑒于防火墻在網(wǎng)絡(luò)中的逐步部署的情況，對于網(wǎng)絡(luò)工程師而言，掌握防火墻的配置技術(shù)是很重要的。本文介紹了ASA防火墻的技術(shù)，探討了在缺乏網(wǎng)絡(luò)設(shè)備的情況下采用模擬軟件GNS3 開展ASA防火墻配置的技術(shù)實驗，詳細介紹了如何利用GNS3 軟件仿真ASA防火墻的技術(shù)。該仿真實驗解決了人們引入的網(wǎng)絡(luò)仿真技術(shù)和虛擬化技術(shù)。本文通過研究網(wǎng)絡(luò)仿真和虛擬化結(jié)合，搭建了一個典型的網(wǎng)絡(luò)環(huán)境，從而驗證了搭建基于GNS3＋VMware的仿真網(wǎng)絡(luò)安全實驗室的可行性。關(guān)鍵詞：GNS3軟件；VMware；網(wǎng)絡(luò)安全；ASA防火墻；網(wǎng)絡(luò)仿真；虛擬化

0 引言

伴隨著互聯(lián)網(wǎng)的高速發(fā)展，大數(shù)據(jù)時代已經(jīng)來臨，在互聯(lián)網(wǎng)帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)安全變得日益重要起來，由于網(wǎng)絡(luò)互聯(lián)形式多樣性、終端分布的不均勻、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使互聯(lián)網(wǎng)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊，所以網(wǎng)絡(luò)安全方面的問題成為了網(wǎng)絡(luò)工程師最頭痛的問題。應(yīng)用防火墻技術(shù)維護網(wǎng)絡(luò)安全勢在必行，防火墻是網(wǎng)絡(luò)安全中的核心設(shè)備, 防火墻的配置實驗是學習防火墻技術(shù)不可或缺的重要環(huán)節(jié)。目前由于網(wǎng)絡(luò)安全設(shè)備造價高，一般工程師無法接觸到高端設(shè)備，在防火墻設(shè)備缺乏或更新遲滯等限制條件下, 如何開展防火墻技術(shù)仿真實驗是個值得研究的問題。本文通過在網(wǎng)絡(luò)安全設(shè)備配置的實際探索, 發(fā)現(xiàn)可以借助軟件構(gòu)建防火墻仿真配置平臺, 幫助工程師在此平臺上完成設(shè)計、組建、管理網(wǎng)絡(luò)的這個過程, 提高了效率, 降低了成本, 保證了虛擬實驗室的質(zhì)量。本設(shè)計就是基于軟件模擬出防火墻設(shè)備,滿足防火墻技術(shù)實驗的要求。

1 構(gòu)建虛擬網(wǎng)絡(luò)系統(tǒng)集成實驗室相關(guān)軟件

1.1 圖形化網(wǎng)絡(luò)設(shè)備仿真軟件GNS3

GNS3是一種可以仿真復雜網(wǎng)絡(luò)的圖形化網(wǎng)絡(luò)模擬器。VMware或Virtual PC等軟件可以仿真不同操作系統(tǒng)。利用這些軟件，可以在自己計算機的虛擬環(huán)境中運行諸如Windows、Linux等操作系統(tǒng)。GNS3允許在計算機中運行 Cisco的 IOS(Internet Operating Systems)。GNS3其實是Dynagen的圖形化前端環(huán)境工具軟件，而Dynamips是仿真IOS的核心程序。Dynagen運行在Dynamips之上，目的是提供更友好的、基于文本的用戶界面。用戶利用Dynagen可以創(chuàng)建類似于Windows的ini類型文件所描述的網(wǎng)絡(luò)拓撲，GNS3是這一步工作的圖形化 GNS3允許在Windows、Linux系統(tǒng)上仿真IOSs，其支持的路由器平臺、防火墻平臺(ASA)的類型非常豐富。通過在路由器插槽中配置上EtherSwitch卡，也可以仿真該卡所支持的交換機平臺。當前市面上有不同類型的多種路由器模擬器，但他們支持的路由器命令較少，在進行相關(guān)實驗時常常發(fā)現(xiàn)這些模擬器不支持某些命令或參數(shù)。用戶使用這些模擬器通常只能看到所模擬路由器的輸出結(jié)果。在GNS3中，所運行的是實際的IOS，能夠使用IOS所支持的所有命令和參數(shù)。另外，GNS3是一種開源軟件，不用付費就可使用。GNS3可以用于虛擬體驗Cisco網(wǎng)際操作系統(tǒng)IOS或者是檢驗將要在真實的路由器上部署實施的相關(guān)配置。

1.2 VMware的簡介

VMware 虛擬機是一個在Windows或Linux計算機上運行的應(yīng)用程序，它可以模擬一個基于x86的標準PC環(huán)境。每臺PC可以運行單獨的操作系統(tǒng)而互不干擾，可以實現(xiàn)一臺電腦“同時”運行幾個操作系統(tǒng)，還可以將這幾個操作系統(tǒng)連成一個網(wǎng)絡(luò)，或者通過橋接與電腦上的其他設(shè)備連接。這個環(huán)境和真實的計算機一樣，VMware可以讓一臺計算機實現(xiàn)一個局域網(wǎng)的功能，可大大節(jié)省硬件設(shè)備和物理空間，管理方便、安全性高，特別適合做計算機的教學、軟件開發(fā)和網(wǎng)絡(luò)安全等實驗。

1.3 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題。兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

1.4 防火墻

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

防火墻是網(wǎng)絡(luò)安全防護的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設(shè)備組合而成的、處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限的設(shè)備。當一個網(wǎng)絡(luò)接上Internet之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風險。

通過使用防火墻可強化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息，再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。防火墻技術(shù)分為三種：包過濾防火墻、代理服務(wù)器和狀態(tài)包過濾防火墻。

因此本實驗內(nèi)容主要是學習ASA防火墻的相關(guān)配置實驗，為有效的利用實驗設(shè)備，讓工程師仿真實驗全過程，本實驗將由GNS3和VMware虛擬機配合完成。

2 仿真實驗的背景描述

2.1 網(wǎng)絡(luò)拓撲的設(shè)計

在安裝好的GNS3中配置好相應(yīng)參數(shù)并添加相應(yīng)型號的防火墻、路由器的IOS，并進行IDLE的計算，選擇好的IDLE的值即可，在此實驗中選擇防火墻是Cisco ASA5520，見圖1。

圖1 網(wǎng)絡(luò)拓撲圖

通過圖1中網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計搭建好實驗環(huán)境。

2.2 ASA的配置：

2.2.1 查看軟件版本

CiscoASAFW# show version

Cisco Adaptive Security Appliance Software Version 8.0(2) Device Manager Version 6.0(2)

2.2.2 接口配置

CiscoASAFW# show run

ASA Version 8.0(2)

hostnameCiscoASAFW

enable password 8Ry2YjIyt7RRXU24 encrypted

names

interface Ethernet0/0

nameif outside

security-level 0

ip address 222.112.113.1 255.255.255.0

interface Ethernet0/1

nameif inside

security-level 100

ip address 172.16.0.1 255.255.255.0

interface Ethernet0/2

nameifdmz

security-level 50

ip address 10.0.0.1 255.255.255.0

2.2.3 部分策略配置

access-listinside_access_in extended permit ip 172.16.0.0 255.255.255.0 222.112.113.0 255.255.255.0

access-listinside_access_in extended permit icmp 172.16.0.0 255.255.255.0 222.112.113.0 255.255.255.0

access-listinside_access_in extended permit tcp 172.16.0.0 255.255.255.0 222.112.113.0 255.255.255.0

access-listinside_access_in extended permit udp 172.16.0.0 255.255.255.0 222.112.113.0 255.255.255.0

global (outside) 1 222.112.113.10-222.112.113.20

global (dmz) 1 10.0.0.10-10.0.0.20

nat (inside) 1 0.0.0.0 0.0.0.0

nat (dmz) 1 0.0.0.0 0.0.0.0

static (dmz,outside) tcp 172.16.0.44 www 10.0.0.44 www netmask 255.255.255.255

static (dmz,outside) tcp 172.16.0.45 telnet 10.0.0.45 telnet netmask 255.255.255.255

static (dmz,outside) udp 172.16.0.46 tftp 10.0.0.46 tftp netmask 255.255.255.255

access-group outside-to-inside in interface outside

access-group inside-to-outside in interface inside

route outside 0.0.0.0 0.0.0.0 222.112.113.110 1

route inside 192.168.1.0 255.255.255.0 172.16.0.254 1

2.2.4 查看地址轉(zhuǎn)換

CiscoASAFW# show xlate

3 in use, 3 most used

Global 222.112.113.13 Local 10.0.0.254

Global 10.0.0.11 Local 172.16.0.254

Global 222.112.113.12 Local 172.16.0.254

3 實驗的運行與實驗效果驗證

從Inside區(qū)Router2路由器telnet Outside區(qū)的Router1路由器，見圖2。

圖2 實驗結(jié)果

從實驗結(jié)果可以得出，Inside區(qū)域可以telnet到Outside區(qū)域，既說明在GNS3模擬器上實現(xiàn)防火墻之間各安全區(qū)域之間的相互訪問，默認防火墻是禁止的。由此可以推斷，Cisco網(wǎng)絡(luò)設(shè)備工程師可以通過GNS3來模擬思科實驗室來仿真各種類似思科的實驗，通過該仿真虛擬實驗室的搭建能夠讓工程師真正了解思科網(wǎng)絡(luò)設(shè)備的配置以及和實際的網(wǎng)絡(luò)操作系統(tǒng)的互聯(lián)過程，達到很好的仿真實訓效果。

4 結(jié)束語

基于GNS3仿真軟件能夠幫助我們實現(xiàn)ASA防火墻實驗的實訓，既能節(jié)約實驗成本，又能提高工程師的實驗效率和實際動手能力，通過在真實IOS上仿真實訓，操作過程和真實環(huán)境完全相同，培養(yǎng)了工程師網(wǎng)絡(luò)分析、設(shè)計、組建、運行和維護網(wǎng)絡(luò)運維的技能，有利于專業(yè)工程師們實踐能力和創(chuàng)造能力的提高。一般的網(wǎng)絡(luò)設(shè)備仿真軟件不可能運行真實的 IOS以及不能實現(xiàn)和真實機器的通信問題，那也就不能將真實的網(wǎng)絡(luò)環(huán)境實驗效果體現(xiàn)出來。利用GNS3和VMware相結(jié)合，不但能加載真實的IOS，而且還能和Windows、Linux等操作系統(tǒng)通信，能將真實實驗效果體現(xiàn)出來。通過整合GNS3和VMware能夠搭建虛實結(jié)合的網(wǎng)絡(luò)安全技術(shù)實訓平臺。

[1]王麗娜，何軍，侯健敏等.基于 DynamipsGUI 的兩類路由協(xié)議仿真通信實驗[J].實驗室研究與探索，2010.

[2]顧春峰，李偉斌，蘭秀風.基于VMware,GNS3實現(xiàn)虛擬網(wǎng)絡(luò)實驗室[J].實驗室研究與探索，2012.

[3]李元元.基于GNS3軟件構(gòu)建三網(wǎng)融合仿真實訓平臺[J].中國現(xiàn)代教育裝備，2012.

[4]奧多姆.CCNP ROUTE(642-902)認證考試指南[M].北京:人民郵電出版社，2010.

[5]王煜林，王金恒.使用GNS3模擬網(wǎng)絡(luò)實驗室[J].電腦編程技巧與維護，2010.

[6]梁發(fā)詢.GNS3在網(wǎng)絡(luò)實驗中的應(yīng)用[J].電腦與電信，2010.

[7]彭春燕，劉兵.GNS3在計算機網(wǎng)絡(luò)課程教學中的應(yīng)用[J].學理論，2010.