孟 祥 成

(三江學(xué)院 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 210012)

?

基 于 eNSP 的 防 火 墻 仿 真 實(shí) 驗(yàn)

孟 祥 成

(三江學(xué)院 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 210012)

介紹了防火墻的原理和工作模式，從防火墻教學(xué)實(shí)驗(yàn)出發(fā)，以工程案例為引導(dǎo)，設(shè)計(jì)教學(xué)實(shí)驗(yàn)?zāi)康摹⑼負(fù)浣Y(jié)構(gòu)、實(shí)驗(yàn)環(huán)境。利用 eNSP軟件仿真防火墻技術(shù)實(shí)驗(yàn)，實(shí)驗(yàn)給出了詳細(xì)的設(shè)計(jì)方法、拓?fù)浣Y(jié)構(gòu)、配置過(guò)程和配置命令，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行驗(yàn)證和分析。實(shí)驗(yàn)證明，通過(guò)防火墻仿真實(shí)驗(yàn)的設(shè)計(jì)和驗(yàn)證，學(xué)生能夠更好地了解網(wǎng)絡(luò)設(shè)備與加深鞏固理論教學(xué)的內(nèi)容，該仿真實(shí)驗(yàn)方法在計(jì)算機(jī)網(wǎng)絡(luò)實(shí)踐課程的實(shí)驗(yàn)教學(xué)中取得了良好的效果。

eNSP； 仿真； 防火墻

0 引 言

隨著“互聯(lián)網(wǎng)+”越來(lái)越火熱，互聯(lián)網(wǎng)作用又上升了一個(gè)層次，網(wǎng)絡(luò)安全越來(lái)越受到重視，防火墻在互聯(lián)網(wǎng)中的安全作用不言而喻。而現(xiàn)實(shí)中由于防火墻教學(xué)設(shè)備缺乏或因設(shè)備昂貴無(wú)財(cái)力購(gòu)買，影響了實(shí)驗(yàn)教學(xué)[1]。筆者設(shè)計(jì)的防火墻仿真實(shí)驗(yàn)案例，能夠很好地仿真防火墻技術(shù)，達(dá)到和現(xiàn)實(shí)中真實(shí)設(shè)備一樣的效果。

1 防火墻的基本原理和工作模式

1.1 防火墻的基本原理

防火墻技術(shù)作為一種隔離內(nèi)部安全網(wǎng)絡(luò)與外部不信任網(wǎng)絡(luò)的防御技術(shù)，已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的一個(gè)重要組成部分。所謂的防火墻指的是一個(gè)由軟件與硬件設(shè)備組合而成、在內(nèi)部網(wǎng)與外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)隔離屏障，是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)此防火墻[2]。

1.2 防火墻工作模式

防火墻工作模式主要有3種：路由模式、透明模式和混合模式。

路由模式是指設(shè)備接口具有IP地址，通過(guò)3層與外連接；透明模式是指設(shè)備接口沒(méi)有IP地址，通過(guò)2層對(duì)外連接；混合模式是指設(shè)備接口既有工作在路由模式的接口，又有工作在透明模式的接口。

2 eNSP仿真軟件

eNSP(Enterprise Network Simulation Platform)是一款由華為提供的免費(fèi)的、可擴(kuò)展的、圖形化的網(wǎng)絡(luò)設(shè)備仿真平臺(tái)，主要對(duì)企業(yè)網(wǎng)路由器、交換機(jī)、WLAN等設(shè)備進(jìn)行軟件仿真，完美呈現(xiàn)真實(shí)設(shè)備部署實(shí)景，支持大型網(wǎng)絡(luò)模擬，可以在沒(méi)有真實(shí)設(shè)備的情況下也能夠開(kāi)展實(shí)驗(yàn)測(cè)試，學(xué)習(xí)網(wǎng)絡(luò)技術(shù)。目前最新版華為模擬器為eNSP v1.2.00.360。

3 實(shí)驗(yàn)設(shè)計(jì)分析

3.1 實(shí)驗(yàn)?zāi)康?/p>

實(shí)驗(yàn)的目的為：①了解防火墻基本原理；②理解防火墻工作模式；③掌握防火墻配置過(guò)程；④掌握eNSP使用方法。

3.2 具體實(shí)訓(xùn)項(xiàng)目及指導(dǎo)思想

以工程案例為指導(dǎo)思想，以企業(yè)真實(shí)的工程項(xiàng)目為依據(jù)，將現(xiàn)實(shí)中的工程項(xiàng)目分解成多個(gè)子項(xiàng)目逐步完成，最終將實(shí)際任務(wù)搭建成實(shí)驗(yàn)室的具體實(shí)驗(yàn)項(xiàng)目來(lái)完成[3]。南京某IT公司因業(yè)務(wù)需要，在另一個(gè)城市昆山建立了子公司，現(xiàn)在要求子公司研發(fā)小組能夠通過(guò)Internet把子公司關(guān)鍵業(yè)務(wù)機(jī)密數(shù)據(jù)安全地傳給總公司。要求子公司可以訪問(wèn)總公司的Web服務(wù)器、FTP服務(wù)器、Telnet服務(wù)器。總公司通過(guò)防火墻連接Internet，子公司通過(guò)路由器連接到Internet。使用防火墻技術(shù)解決這個(gè)問(wèn)題，采取的主要實(shí)驗(yàn)步驟為：①需求分析；②拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)；③實(shí)驗(yàn)環(huán)境的配置；④具體實(shí)驗(yàn)步驟；⑤實(shí)驗(yàn)結(jié)果驗(yàn)證。

3.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)仿真設(shè)計(jì)

在eNSP工作區(qū)繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)仿真圖，如圖1所示。

圖1 網(wǎng)絡(luò)拓補(bǔ)結(jié)構(gòu)圖

3.4 實(shí)驗(yàn)環(huán)境配置

(1) 設(shè)備選擇。在進(jìn)行仿真實(shí)驗(yàn)時(shí)，選擇設(shè)備防火墻USG5500 1臺(tái)，為FW1，作為總公司連接外網(wǎng)Internet接入設(shè)備；路由器AR2220 5臺(tái)，分別為AR1～AR5，其作用分別是：模擬Telnet服務(wù)器、模擬Internet網(wǎng)絡(luò)、子公司連接Internet接入設(shè)備、模擬子公司Telnet客戶端、模擬Internet外網(wǎng)Telnet客戶端；服務(wù)器Server 2臺(tái)，分別為CLIENT1、CLIENT2，其中1臺(tái)作為Web Server，另外1臺(tái)作為FTP Server；PC模擬器3臺(tái)，分別為CLIENT3、CLIENT4、CLIENT5，CLIENT3作為公司南京總部?jī)?nèi)網(wǎng)普通PC機(jī)，CLIENT4作為昆山子公司PC客戶端訪問(wèn)Web Server和FTP Server，CLIENT5作為外網(wǎng)PC客戶端測(cè)試服務(wù)器；交換機(jī)S3700 3臺(tái)，為L(zhǎng)SW1、LSW2、LSW3，分別為總公司內(nèi)部組網(wǎng)設(shè)備、子公司組網(wǎng)設(shè)備、外網(wǎng)設(shè)備。

(2) 設(shè)備互連。設(shè)備端口互連情況，如圖1所示。

(3) IP地址規(guī)劃。為了達(dá)到逼真接近現(xiàn)實(shí)環(huán)境的效果，首先要規(guī)劃一下IP地址。將南京總部與昆山子公司各自內(nèi)部主機(jī)地址都設(shè)置為私有的IP地址，南京總部為192.168.1.0/24，昆山子公司為192.168.2.0/24。將南京總部與外網(wǎng)Internet相連部分的網(wǎng)段設(shè)置為202.101.12.0/24，昆山子公司與外網(wǎng)Internet相連部分的網(wǎng)段設(shè)置為202.101.10.0/24，外網(wǎng)Internet所包含網(wǎng)段為202.101.15.0/24。

4 網(wǎng)絡(luò)組建

4.1 總公司網(wǎng)絡(luò)組建

對(duì)總公司防火墻、服務(wù)器端設(shè)備配置，可以組建一個(gè)總公司局域網(wǎng)，主要分為以下幾個(gè)步驟：

4.1.1 Web Server與FTP Server終端設(shè)備IP地址配置

雙擊CLIENT1，在基礎(chǔ)配置窗口中將Web Server IP地址設(shè)置為192.168.1.80，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)設(shè)置為192.168.1.1，如圖2所示。CLIENT2，作為FTP服務(wù)器， IP地址設(shè)置方法與CLIENT1地址設(shè)置方法相同，設(shè)置為192.168.1.21，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)設(shè)置為192.168.1.1。CLIENT3，作為總公司內(nèi)網(wǎng)普通主機(jī)，采取DHCP自動(dòng)分配獲得IP地址。

圖2 Web服務(wù)器IP地址配置

4.1.2 Telnet服務(wù)器配置

配置Telnet服務(wù)器接口與遠(yuǎn)程登錄方式，雙擊路由器AR1，在彈出窗口輸入命令配置Telnet Server，主要命令如下：

〈Huawei〉system-view //進(jìn)入系統(tǒng)視圖界面

[Huawei]sysname AR1 //修改設(shè)備名稱為AR1

[AR1]interface GigabitEthernet 0/0/0 //進(jìn)入接口GE0/0/0

[AR1-GigabitEthernet0/0/0]ip address 192.168.1.23 24 //配置IP地址與子網(wǎng)掩碼

[AR1-GigabitEthernet0/0/0]quit //退出接口界面

[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 //定義默認(rèn)路由，實(shí)現(xiàn)網(wǎng)絡(luò)連通

[AR1]user-interface vty 0 4 //為AR1配置登錄方式為密碼驗(yàn)證登錄

[AR1-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):tel123 //設(shè)置密碼為tel123

4.1.3 防火墻FW1的配置

(1) 采取路由模式配置防火墻內(nèi)網(wǎng)與外網(wǎng)的接口，并加入到相應(yīng)的zone，內(nèi)網(wǎng)開(kāi)啟DHCP。雙擊防火墻FW1，在彈出窗口輸入命令配置FW1，主要命令如下：

〈SRG〉system-view //進(jìn)入系統(tǒng)視圖界面

[SRG]sysname FW1 //修改設(shè)備名稱

[FW1]interface GigabitEthernet 0/0/0 //進(jìn)入接口GE0/0/0

[FW1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 //配置IP地址與子網(wǎng)掩碼

[FW1-GigabitEthernet0/0/0]dhcp select interface //關(guān)聯(lián)接口

[FW1-GigabitEthernet0/0/0]dhcp server gateway-list 192.168.1.1 //配置客戶端網(wǎng)關(guān)

[FW1-GigabitEthernet0/0/0]quit //退出接口界面

[FW1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2 //添加默認(rèn)路由

[FW1]firewall zone trust //進(jìn)入trust安全區(qū)域視圖

[FW1-zone-trust]add interface GigabitEthernet0/0/0 //將接口加入到trust區(qū)域

[FW1-zone-trust]quit //退出

[FW1]firewall zone untrust //進(jìn)入untrust安全區(qū)域視圖

[FW1-zone-untrust]add interface GigabitEthernet0/0/1 //將接口加入到untrust區(qū)域

[FW1-zone-untrust]quit //退出

(2) 配置完成后，內(nèi)網(wǎng)PC可以獲得地址，防火墻可以ping外網(wǎng)設(shè)備的地址，但是外網(wǎng)設(shè)備沒(méi)法進(jìn)行ping防火墻，所以放行untrust到local的inbound的策略里面的icmp和telnet，配置如下：

[FW1]policy interzone local untrust inbound

[FW1-policy-interzone-local-untrust-inbound]policy 1

[FW1-policy-interzone-local-untrust-inbound-1]action permit

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set icmp

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set telnet

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set ftp

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set http

(3) 開(kāi)啟trust到untrust的默認(rèn)行為允許。

[FW1]firewall packet-filter default permit interzone trust untrust direction outbound

(4) 開(kāi)啟防火墻的NAT，允許內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的NAT策略。

[FW1]nat address-group 1 202.101.12.1 202.101.12.1 //創(chuàng)建NAT地址池

[FW1]nat-policy interzone trust untrust outbound //配置trust到untrust的NAT Outbound規(guī)則

[FW1-nat-policy-interzone-trust-untrust-outbound]policy 1

[FW1-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

[FW1-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.0 mask 24

[FW1-nat-policy-interzone-trust-untrust-outbound-1]address-group 1

(5) 設(shè)置允許外網(wǎng)訪問(wèn)telnet Server、FTP Server、Web Server，telnet使用端口號(hào)為2323，其它服務(wù)器選擇默認(rèn)端口。先做NAT，再匹配策略。

[FW1]nat server 0 protocol tcp global interface GigabitEthernet0/0/1 2323 inside 192.168.1.23 telnet //配置NAT Server telnet規(guī)則

[FW1]nat server 1 protocol tcp global interface GigabitEthernet0/0/1 ftp inside 192.168.1.21 ftp //配置NAT Server FTP規(guī)則

[FW1]nat server 2 protocol tcp global 202.101.12.1 www inside 192.168.1.80 www //配置NAT Server http規(guī)則

[FW1]policy interzone trust untrust inbound //配置trust到untrust的NAT Inbound規(guī)則

[FW1-policy-interzone-trust-untrust-inbound]policy 1

[FW1-policy-interzone-trust-untrust-inbound-1]action permit

[FW1-policy-interzone-trust-untrust-inbound-1]policy service service-set telnet

[FW1-policy-interzone-trust-untrust-inbound-1]policy service service-set ftp

[FW1-policy-interzone-trust-untrust-inbound-1]policy service service-set http

[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.23 0

[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.21 0

[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.80 0

4.2 子公司網(wǎng)絡(luò)組建

對(duì)子公司路由器、客戶端設(shè)備配置，可以組建一個(gè)子公司小型局域網(wǎng)，主要分為3步，配置步驟如下：

(1) 路由器AR3配置。配置子公司路由器AR3連接內(nèi)網(wǎng)的接口，并配置Easy-IP地址轉(zhuǎn)換，雙擊路由器AR3，在彈出窗口輸入命令，主要配置命令如下：

〈Huawei〉system-view //進(jìn)入系統(tǒng)視圖界面

[Huawei]sysname AR3 //修改設(shè)備名稱為AR3

[AR3]interface GigabitEthernet 0/0/1 //進(jìn)入接口GE0/0/1

[AR3-GigabitEthernet0/0/1]ip address 192.168.2.1 24 //配置IP地址與子網(wǎng)掩碼

[AR3-GigabitEthernet0/0/1]quit //退出接口界面

[AR3]interface GigabitEthernet 0/0/2 //進(jìn)入接口GE0/0/2

[AR3-GigabitEthernet0/0/2]ip address 202.101.10.2 24 //配置IP地址與子網(wǎng)掩碼

[AR3]ip route-static 0.0.0.0 0 202.101.10.1 //添加默認(rèn)路由

[AR3]acl 2001 //定義ACL 2001

[AR3-acl-basic-2001]rule 5 permit source 192.168.2.0 0.0.0.255 //定義規(guī)則源地址

[AR3-acl-basic-2001]quit //退出

[AR3]interface GigabitEthernet0/0/2 //進(jìn)入接口G0/0/2

[AR3-GigabitEthernet0/0/2]nat outbound 2001 //對(duì)ACL 2001定義的地址段進(jìn)行地址轉(zhuǎn)換，并且直接使用G0/0/2接口的IP地址作為NAT轉(zhuǎn)換后的地址

(2) Telnet客戶端配置。雙擊路由器AR4，在彈出窗口輸入命令配置Telnet 客戶端，主要命令如下：

〈Huawei〉system-view //進(jìn)入系統(tǒng)視圖界面

[Huawei]sysname AR4 //修改設(shè)備名稱為AR4

[AR4]interface GigabitEthernet 0/0/2 //進(jìn)入接口GE0/0/2

[AR4-GigabitEthernet0/0/1]ip address 192.168.2.3 24 //配置IP地址與子網(wǎng)掩碼

[AR4-GigabitEthernet0/0/1]quit //退出接口界面

[AR4]ip route-static 0.0.0.0 0.0.0.0 192.168.3.1 //定義默認(rèn)路由，實(shí)現(xiàn)網(wǎng)絡(luò)連通

(3) FTP、Web客戶端配置。雙擊CLIENT4，在基礎(chǔ)配置窗口中將IP地址設(shè)置為192.168.2.2，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)設(shè)置為192.168.2.1，與 Web服務(wù)器IP地址配置方法相同，可參照?qǐng)D2。

4.3 外網(wǎng)Internet配置

(1) 路由器AR2配置。配置路由器AR2接口，并運(yùn)行rip協(xié)議關(guān)聯(lián)網(wǎng)絡(luò)。

〈Huawei〉system-view //進(jìn)入系統(tǒng)視圖界面

[Huawei]sysname AR2 //修改設(shè)備名稱為AR4

[AR2]interface GigabitEthernet 0/0/1 //進(jìn)入接口GE0/0/1

[AR2-GigabitEthernet0/0/1]ip address 202.101.12.2 24 //配置IP地址與子網(wǎng)掩碼

[AR2-GigabitEthernet0/0/1]quit //退出接口界面

[AR2]interface GigabitEthernet 0/0/2 //進(jìn)入接口GE0/0/2

[AR2-GigabitEthernet0/0/2]ip address 202.101.10.1 24 //配置IP地址與子網(wǎng)掩碼

[AR2-GigabitEthernet0/0/2]quit //退出接口界面

[AR2]interface GigabitEthernet 0/0/0 //進(jìn)入接口GE0/0/0

[AR2-GigabitEthernet0/0/0]ip address 202.101.15.1 24 //配置IP地址與子網(wǎng)掩碼

[AR2-GigabitEthernet0/0/0]quit //退出接口界面

[AR2]rip //開(kāi)啟rip進(jìn)程

[AR2]version 2 //運(yùn)行v2版本

[AR2-rip-1]network 202.101.12.0 //宣告網(wǎng)絡(luò)

[AR2-rip-1]network 202.101.10.0 //宣告網(wǎng)絡(luò)

[AR2-rip-1]network 202.101.15.0 //宣告網(wǎng)絡(luò)

(2) Internet Telnet客戶端配置。雙擊路由器AR5，在彈出窗口輸入命令配置外網(wǎng)Telnet 客戶端，主要命令如下：

〈Huawei〉system-view //進(jìn)入系統(tǒng)視圖界面

[Huawei]sysname AR5 //修改設(shè)備名稱為AR5

[AR5]interface GigabitEthernet 0/0/2 //進(jìn)入接口GE0/0/2

[AR5-GigabitEthernet0/0/2]ip address 202.101.15.3 24 //配置IP地址與子網(wǎng)掩碼

[AR5-GigabitEthernet0/0/2]quit //退出接口界面

[AR5]ip route-static 0.0.0.0 0.0.0.0 202.101.15.1 //定義默認(rèn)路由，實(shí)現(xiàn)網(wǎng)絡(luò)連通

(3) 外網(wǎng)FTP、Web客戶端配置。雙擊CLIENT5，在基礎(chǔ)配置窗口中將IP地址設(shè)置為202.101.15.2，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)設(shè)置為202.101.15.1，與 Web服務(wù)器IP地址配置方法相同，可參照?qǐng)D2。

4.4 防火墻策略配置

要實(shí)現(xiàn)子公司客戶端可以訪問(wèn)總公司服務(wù)器，限制外網(wǎng)Internet客戶端訪問(wèn)總公司服務(wù)器，還需在總公司防火墻做以下配置：

[FW1]policy interzone trust untrust inbound //配置trust到untrust的NAT Inbound規(guī)則

[FW1-policy-interzone-trust-untrust-inbound]policy 1

[FW1-policy-interzone-trust-untrust-inbound-1]policy source 202.101.10.2 0//添加策略，指定子公司網(wǎng)段地址可以訪問(wèn)總公司服務(wù)器

5 實(shí)驗(yàn)結(jié)果驗(yàn)證

5.1 全網(wǎng)互通仿真實(shí)驗(yàn)結(jié)果

通過(guò)上述4.1～4.3節(jié)實(shí)驗(yàn)過(guò)程操作，可以實(shí)現(xiàn)子公司與總公司、外網(wǎng)Internet與總公司之間相互通信。通過(guò)驗(yàn)證外網(wǎng)客戶端、子公司客戶端可以訪問(wèn)總公司的Web服務(wù)器、FTP服務(wù)器、Telnet服務(wù)器。

5.2 仿真實(shí)驗(yàn)最終結(jié)果

在全網(wǎng)互通的基礎(chǔ)上，總公司防火墻添加策略配置，見(jiàn)4.4節(jié)實(shí)驗(yàn)過(guò)程操作，實(shí)現(xiàn)了外網(wǎng)Internet不能訪問(wèn)總公司服務(wù)器，而子公司客戶端可以訪問(wèn)總公司的Web服務(wù)器、FTP服務(wù)器、Telnet服務(wù)器。雙擊子公司Telnet客戶端AR4，輸入“telnet 202.101.12.1 2323”，回車，提示輸入密碼，輸入Telnet服務(wù)器遠(yuǎn)程登錄密碼“tel123”，即成功登錄Telnet服務(wù)器AR1，見(jiàn)圖3所示。而在外網(wǎng)客戶端AR5中輸入“telnet 202.101.12.1 2323”，則提示不能訪問(wèn)Telnet服務(wù)器。

圖3 子公司客戶端成功登錄Telnet服務(wù)器

開(kāi)啟總公司FTP、Web服務(wù)器，在子公司客戶端訪問(wèn)FTP服務(wù)器和Web服務(wù)器，顯示可以登錄訪問(wèn)。而在外網(wǎng)Internet客戶端訪問(wèn)總公司服務(wù)器，則顯示不能訪問(wèn)。

6 結(jié) 語(yǔ)

筆者所設(shè)計(jì)的防火墻仿真虛擬實(shí)驗(yàn)，以工程案例為背景，逼真地模擬了現(xiàn)實(shí)環(huán)境，讓學(xué)生可以完成實(shí)際工程項(xiàng)目積累真實(shí)的經(jīng)驗(yàn)，既達(dá)到了教學(xué)的目的，又能降低設(shè)備財(cái)力投入。

[1] 唐燈平，朱艷琴，楊 哲.計(jì)算機(jī)網(wǎng)絡(luò)管理仿真平臺(tái)防火墻實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)技術(shù)與管理，2015(4):156-160.

[2] 孟祥豐，白永祥著. 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)研究[M].北京：北京理工大學(xué)出版社，2013.10.

[3] 唐燈平. 基于PacketTracer的GRE隧道配置實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索， 2010(11):378-381.

[4] 范 君，高成強(qiáng). 基于Packet Tracer的幀中繼實(shí)驗(yàn)設(shè)計(jì)與分析[J].實(shí)驗(yàn)室研究與探索，2012(4):208-212.

[5] 曹騰飛，孟永偉，黃建強(qiáng). 西部高校計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)[J].實(shí)驗(yàn)室研究與探索， 2014(4):129-131.

[6] 龍艷軍，歐陽(yáng)建權(quán)，俞佳曦.基于GNS3和VMware的虛擬網(wǎng)絡(luò)系統(tǒng)集成實(shí)驗(yàn)室研究[J].實(shí)驗(yàn)技術(shù)與管理，2013(2):90-93.

[7] 薛 琴.基于Packet Tracer的計(jì)算機(jī)網(wǎng)絡(luò)仿真實(shí)驗(yàn)教學(xué)[J].實(shí)驗(yàn)室研究與探索， 2010(2):57-59.

[8] 田安紅，付承彪.NAT原理實(shí)驗(yàn)在仿真器中的設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)技術(shù)與管理， 2013(2):135-138.

[9] 姜恩華.基于Packet Tracer軟件的防火墻技術(shù)實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].通化師范學(xué)院學(xué)報(bào)，2013(8):45-47.

[10] 張 磊.安全網(wǎng)絡(luò)構(gòu)建中防火墻技術(shù)的研究與應(yīng)用[D].濟(jì)南：山東大學(xué)，2009.

[11] 姜恩華，竇德召. Packet Tracer軟件在無(wú)線網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)教學(xué)中的應(yīng)用[J].實(shí)驗(yàn)技術(shù)與管理，2011(10):88-91.

[12] 鄒 航，李 梁.整合ACL和NAT的網(wǎng)絡(luò)安全實(shí)驗(yàn)設(shè)計(jì)[J] .實(shí)驗(yàn)室研究與探索，2011(4):61-65.

[13] 唐燈平. 構(gòu)建安全的虛擬專用網(wǎng)環(huán)境技術(shù)[J] .實(shí)驗(yàn)科學(xué)與技術(shù)，2011(3):49-50.

[14] 唐燈平. 基于Packet Tracer的IPv6靜態(tài)路由實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J] .實(shí)驗(yàn)科學(xué)與技術(shù)，2011(3):49-50.

[15] 周 敏，龔 箭. “計(jì)算機(jī)網(wǎng)絡(luò)安全”實(shí)驗(yàn)教學(xué)研究[J].實(shí)驗(yàn)技術(shù)與管理，2011(9):145-148.

[16] 肖宇峰，沈 軍. 電信運(yùn)營(yíng)商防火墻測(cè)試技術(shù)的研究與應(yīng)用[J].電信技術(shù), 2013(10):9-13.

[17] 唐燈平.利用Packet Tracer模擬組建大型單核心網(wǎng)絡(luò)的研究[J].實(shí)驗(yàn)室研究與探索， 2011(1):186-189.

Firewall Simulation Experiment Based on eNSP

MENGXiang-cheng

(Sanjiang College Department of Computer Science and Technology, Nanjing 210012, China)

The article introduced the principle and working mode of firewall from the point of the view of the firewall experimental teaching. The article used the case of engineering as the guide, and discussed the design of teaching experimental purposes, experimental topology and experimental environment. It used the ENSP as simulation software to design topology and configure experiment，it first introduced the teaching environment of simulation laboratory，then discusseds and provided the detailed design procedures and configuration commands. It also testified and analyzed the experimental results．Experiments show that students can learn about the network devices，and also console the theory teaching content better through the specific design and test of firewall simulation experiments; at last the method has gained favorable effect in the experimental teaching of computer network practice course．

eNSP; simulation; firewall

2015-09-22

孟祥成(1981-)，男，江蘇灌南人，碩士，實(shí)驗(yàn)師，研究方向計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。Tel.:15345185087;E-mail:mxiang5087@qq.com

TP 393

A

1006-7167(2016)04-0095-06