曾 剛

（遼寧警官高等專科學(xué)校公安信息系遼寧 遼寧 116036）

0 引言

隨著網(wǎng)絡(luò)的不斷發(fā)展，人們的日常生活越來越離不開網(wǎng)絡(luò)。與此同時，各種網(wǎng)絡(luò)安全事件不斷出現(xiàn)，給人們的生產(chǎn)生活帶來了巨大的影響。為了應(yīng)對網(wǎng)絡(luò)安全事件，并對網(wǎng)絡(luò)安全理論和實踐進行研究，各高校紛紛成立了網(wǎng)絡(luò)安全專業(yè)。網(wǎng)絡(luò)安全知識的學(xué)習(xí)要求學(xué)員具有非常強的適應(yīng)能力與實踐能力，從業(yè)人員也要具有一定的創(chuàng)新意識。實踐教學(xué)是提高學(xué)員實踐創(chuàng)新能力的重要手段，因此其在網(wǎng)絡(luò)安全教學(xué)中占有重要的地位。

1 網(wǎng)絡(luò)安全實踐教學(xué)的特點及存在的問題

1.1 網(wǎng)絡(luò)安全實踐教學(xué)的特點

網(wǎng)絡(luò)安全專業(yè)的實踐教學(xué)活動具有自身的特點：①網(wǎng)絡(luò)安全專業(yè)的相當(dāng)多的實驗具有破壞性。比如，網(wǎng)絡(luò)攻擊實驗等，因此這類實驗不適合于在真實環(huán)境中實施；②有些實驗對于環(huán)境的要求非常苛刻。如：某些實驗必須在具有特定系統(tǒng)漏洞或錯誤的情況才可以開展。

1.2 網(wǎng)絡(luò)安全實踐教學(xué)中存在的問題

①實踐教學(xué)嚴(yán)重不到位。這里的不到位有兩層含義：一方面指應(yīng)該做的實驗沒有做，另一方面指應(yīng)達到一定復(fù)雜度的實驗而沒有達到。由于網(wǎng)絡(luò)安全實踐教學(xué)活動的特殊性，對于實驗設(shè)備與實驗環(huán)境都具有嚴(yán)格的要求，由于資金等因素的影響，需要購買較為昂貴設(shè)備的實驗不能開展；某些要求特殊環(huán)境的實驗也因為無法搭建環(huán)境而無法開展。本來應(yīng)該演示較為復(fù)雜的理論與實踐過程的，因為不具備苛刻的環(huán)境，多數(shù)情況下只做了較為膚淺的實驗。

②實驗缺乏靈活性與擴展性。網(wǎng)絡(luò)安全的教學(xué)內(nèi)容隨著時代的發(fā)展在不斷地變化著，而實驗室內(nèi)的設(shè)施設(shè)備不能及時隨著教學(xué)內(nèi)容的變化而變化，因此缺乏靈活性。網(wǎng)絡(luò)安全實驗大多需要多種設(shè)備進行綜合復(fù)雜的實驗，這在多數(shù)的實驗室中是無法做到的。

③設(shè)備故障嚴(yán)重影響實踐教學(xué)活動。設(shè)備都存在老化及故障的問題，由于設(shè)備的故障影響實踐效果的情況時常發(fā)生。

2 GNS3在網(wǎng)絡(luò)安全實踐創(chuàng)新課程中的應(yīng)用

在網(wǎng)絡(luò)安全實驗室中采用模擬器進行實驗可以降低實驗室的投資及后期維護費用，能夠降低學(xué)員操作對物理設(shè)備的損耗，也能降低實驗時的復(fù)雜程序與難度。GNS3模擬器不僅自成系統(tǒng)，還可以通過宿主機的虛擬/真實網(wǎng)卡與虛擬機/真實網(wǎng)絡(luò)設(shè)備相連，以虛實結(jié)合的方式進行實驗，這樣即降低了實驗的成本，增加了實驗的靈活程度，擴展了實驗的范圍，也增強了實驗的真實感，而這一點在其它模擬器中是不具備的。

GNS3不僅可以用于網(wǎng)絡(luò)知識的學(xué)習(xí)，在網(wǎng)絡(luò)安全課程中同樣可以發(fā)揮重要的作用。

網(wǎng)絡(luò)安全課程涉及的內(nèi)容非常廣泛，主要包括：實體安全、操作系統(tǒng)的安全、信息的加密與鑒別技術(shù)、數(shù)據(jù)庫與數(shù)據(jù)安全、訪問控制技術(shù)、網(wǎng)絡(luò)安全協(xié)議、防火墻技術(shù)、入侵檢測技術(shù)等內(nèi)容。

在這些網(wǎng)絡(luò)安全知識的學(xué)習(xí)中，都可以使用GNS3進行網(wǎng)絡(luò)安全實驗：

實體安全實驗：實體安全講解起來空洞，動起手來感覺無實驗可做。對此，可以對網(wǎng)絡(luò)設(shè)備的安全進行設(shè)置，如：交換機和路由器的安全設(shè)置。

操作系統(tǒng)安全實驗：操作系統(tǒng)的安全實驗包括：系統(tǒng)的登錄與破解、系統(tǒng)的訪問控制等內(nèi)容。

網(wǎng)絡(luò)安全協(xié)議實驗：基于網(wǎng)絡(luò)的訪問控制實驗、基于網(wǎng)絡(luò)的IPsec協(xié)議實驗、基于網(wǎng)絡(luò)的SSL與SET協(xié)議實驗。

防火墻技術(shù)的實驗：GNS3可以裝載運行的防火墻有：CISCO的PIX/ASA防火墻、JuniOS防火墻等。

VPN實驗：利用路由器、防火墻實現(xiàn)遠程訪問VPN及網(wǎng)關(guān)-網(wǎng)關(guān)VPN的實驗。

IDS/IPS實驗：利用IDS/IPS模擬器演示IDS/IPS效果的實驗。

3 GNS3與其他虛擬或真實設(shè)備的連接

3.1 與虛擬機/本地主機相連接

GNS3不僅可以模擬路由器、交換機、防火墻、入侵檢測設(shè)備等網(wǎng)絡(luò)設(shè)備外，還可以通過虛擬網(wǎng)卡與虛擬機相聯(lián)。連接的方法是這樣的：在GNS3中，有一個網(wǎng)絡(luò)部件——網(wǎng)絡(luò)云，給網(wǎng)絡(luò)云配置一個其他虛擬機的虛擬網(wǎng)卡，GNS3虛擬實驗環(huán)境就可以與VMWare等虛擬機連接起來；使用同樣的方法，也可以通過本機的真實網(wǎng)卡與本地真實主機相連，這樣極大地擴展了實驗空間。

3.2 與Internet的連接

在安全實驗中，不僅需要虛擬機與真實主機這樣的主機環(huán)境，有時也需要擁有豐富資源的Internet，如果把GNS3實驗環(huán)境與 Internet連接起來，就會大大增加實驗的真實感，也會使實驗更豐富多彩。在網(wǎng)絡(luò)云中添加真實主機的網(wǎng)卡即可與真實主機所在網(wǎng)絡(luò)相連，為了提高實驗的穩(wěn)定性，通常在真實主機中添加Loopback網(wǎng)卡，在Win7中設(shè)置步驟是這樣的：

①添加過時的網(wǎng)卡，類型為M icrosoft的Loopback。

②把連接著Internet的真實網(wǎng)卡的共享屬性設(shè)置為“允許其他網(wǎng)絡(luò)用戶通過此計算機的Internet連接來連接”，在“家庭網(wǎng)絡(luò)連接”文本框中輸入 Loopback網(wǎng)卡的名稱，在“設(shè)置”中選擇Internet用戶可以訪問的服務(wù)。

③在GNS3中連接著網(wǎng)絡(luò)云（其實是Loopback網(wǎng)卡）的路由器中設(shè)置默認路由與DNS。命令如下：

④做NAT轉(zhuǎn)換，這樣GNS3中的內(nèi)部網(wǎng)絡(luò)用戶就可以訪問Internet了。

4 基于GNS3的虛實結(jié)合的網(wǎng)絡(luò)安全實驗設(shè)計舉例

4.1 Vlan的劃分

V lan的劃分是網(wǎng)絡(luò)和網(wǎng)絡(luò)安全學(xué)習(xí)過程中一個基礎(chǔ)實驗。從安全角度看，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、提高網(wǎng)絡(luò)的安全性。由于不能模擬ASIC處理器，GNS3中并不能完全模擬真實的思科Catalyst交換機，但提供了一個傻瓜式的以太網(wǎng)交換機，它支持802.1q協(xié)議的VLAN；另外一個以太網(wǎng)交換機是在3725路由器的基礎(chǔ)上加NM-16ESW模塊模擬的交換機，該交換機可以進行VLAN配置實驗。配置VLAN時，與真實交換機稍有不同，需要在VLAN數(shù)據(jù)庫模式下配置。如圖1所示，有四臺PC，分別接在交換機的不同端口上，劃分VLAN后，相同VLAN內(nèi)的PC1和PC2之間，PC3和PC4可以通信，不同VLAN間的PC之間不能通信。由于篇幅原因，以下實驗代碼不再附上。

圖1 GNS3中實現(xiàn)VLAN的劃分

4.2 訪問控制實驗

訪問控制技術(shù)保證合法主體訪問網(wǎng)絡(luò)資源，防止非法主體進入受保護的網(wǎng)絡(luò)資源，也可以防止合法用戶越權(quán)使網(wǎng)絡(luò)資源。訪問控制實驗可以利用路由器的訪問控制列表使某網(wǎng)段的主機不能訪問其他網(wǎng)段主機，以此達到學(xué)習(xí)目的。如圖2所示，實驗設(shè)計為：公司的經(jīng)理部、財務(wù)部門和銷售部門分屬不同的3個網(wǎng)段，三部門之間用路由器連接進行信息傳遞，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部門不能對財務(wù)部門進行訪問，但經(jīng)理部可以對財務(wù)部門進行訪問。通過在路由器中設(shè)置訪問控制列表達到上述要求，實現(xiàn)不同用戶對資源具有不同訪問權(quán)限的目的。

圖2 訪問控制實驗

4.3 防火墻實驗

防火墻是一種介于不同網(wǎng)絡(luò)之間進行訪問控制的網(wǎng)絡(luò)設(shè)備，它把網(wǎng)絡(luò)分為不安全的外部網(wǎng)絡(luò)、安全的內(nèi)部網(wǎng)絡(luò)以及介于這兩部分之間的非軍事區(qū)，通過設(shè)置一定的安全規(guī)則來保護內(nèi)網(wǎng)用戶及非軍事區(qū)服務(wù)器的安全。按過濾機制分為包過濾防火墻、應(yīng)用代理防火墻、狀態(tài)檢測防火墻等類型。GNS3中可以模擬PIX和ASA兩種防火墻。實驗拓撲如圖所示，實驗需要設(shè)備有：PIX防火墻一臺、交換機二臺、云二個。一個云連接真實系統(tǒng)的LOOPBACK網(wǎng)卡，另一個云連接VMWare中的虛擬機，經(jīng)過4.2小節(jié)的設(shè)置GNS3中虛擬的PIX防火墻接入到了真實的Internet。通過PIX防火墻的設(shè)置使內(nèi)網(wǎng)VMWare虛擬機中的用戶能訪問因特網(wǎng)。這種連接因特網(wǎng)的方式使學(xué)員能更直觀清楚地學(xué)習(xí)與理解防火墻的原理與設(shè)置。

圖3 防火墻實驗拓撲

4.4 IDS/IPS實驗的設(shè)計

入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是網(wǎng)絡(luò)安全專業(yè)經(jīng)常需要講到的一種網(wǎng)絡(luò)安全設(shè)備，它依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。入侵防御系統(tǒng)（Intrusion Prevention System，IPS）在入侵檢測的基礎(chǔ)上，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網(wǎng)絡(luò)帶寬資源。很多教材中都介紹了IDS/IPS，但由于客觀條件的限制，許多高校的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全專業(yè)無法實施IDS/IPS實驗，而GNS3中提供了IDS/IPS的模擬器。這也為我們開展IDS/IPS實驗提供了很好的條件。

IDS/IPS實驗設(shè)計：實驗需要IPS一臺、交換機三臺、網(wǎng)絡(luò)云三個。兩個云連接兩臺VMWare虛擬機，一臺虛擬機作為IPS的管理機IDM，一臺虛擬機為被攻擊的服務(wù)器，第三個云連接真實的計算機，真機作為攻擊的客戶機。拓撲如圖所示。

Server為被攻擊目標(biāo)；Client運行攻擊軟件對服務(wù)器192.168.1.1進行掃描攻擊；IDMhost端需要安裝JRE，運行IPS的管理軟件對IPS設(shè)備進地配置。

圖4 IPS實驗拓撲圖

5 結(jié)語

GNS3作為一個免費的圖形化的Cisco網(wǎng)絡(luò)設(shè)備虛擬軟件，它能夠模擬多種網(wǎng)絡(luò)設(shè)備，還能夠與VMWare等多種虛擬機、真實計算機、Internet等相連，極大地拓展了實驗空間，增加靈活性，把它用于網(wǎng)絡(luò)安全實驗實在是不可多得的利器。

[1]唐燈平.整合GNS3和VMware搭建虛實結(jié)合的網(wǎng)絡(luò)技術(shù)綜合實訓(xùn)平臺[J].浙江交通職業(yè)技術(shù)學(xué)院學(xué)報，2012，13（2）：41-44.

[2]諶璽.虛擬化實驗室推進計算機網(wǎng)絡(luò)專業(yè)實踐教學(xué)的解決方案[EB/OL].http：//7658423.blog.51cto.com/7648423/1307675

[3]周顯春，劉東山.GNS3+vmware在VPN實踐教學(xué)中的應(yīng)用[J].電腦知識與技術(shù)，2012，8（28）：6845-6848，6858.

[4]張立秋，常會友，劉翔.基于網(wǎng)絡(luò)的入侵防御系統(tǒng)[J].計算機工程與設(shè)計，2005，26（4）：976-977.