范君 蔡彬彬

摘要：防火墻實驗是網絡課程中安全實驗的一個重要組成部分，從防火墻安全實驗教學出發(fā)，以項目化教學案例為引導，設計實驗需求、實驗拓撲、實驗數據，使用PacketTracer仿真軟件給出實驗拓撲設計與配置流程，并對實驗結果進行驗證與分析。應用結果表明，該實驗對學生提升的防火墻配置能力和協助教師教學開展取得良好效果。

關鍵詞：ASA;防火墻;Packet Tracer;實驗設計

中圖分類號：TP391.9 文獻標識碼：A

文章編號：1009-3044（2019）32-0039-04

1概述

隨著互聯網應用發(fā)展，對網絡工程安全的要求日益提高，防火墻已經成為在網絡工程建設中必不可少的設備，防火墻實驗也成為網絡技術課程中的重要實驗內容之一。較常規(guī)實驗課而言，防火墻的實驗教學有較大的難度，首先，防火墻技術需以路由與交換技術為基礎，防火墻的數據過濾機制和數據地址轉換機制復雜，理論學習難度較高;其次，防火墻硬件產品價格高于其他網絡產品，在學生實踐過程中難以實現每名學生獨立擁有物理防火墻實驗條件，使得教學實踐難以大規(guī)模開展和深入。

目前，Packet Tracer仿真環(huán)境已實現ASA5505防火墻的仿真，該類仿真環(huán)境是對思科ASA防火墻硬件的仿真，此類仿真較CBAC路由器級的防火墻實驗更接近真實的防火墻環(huán)境。因此設計基于ASA5505的仿真實驗，作為防火墻教學實踐的課程載體，借助實際案例展示工程實施流程和步驟，幫助學生掌握防火墻原理和知識，并進一步完善和深化學生在實驗環(huán)節(jié)中配置防火墻的能力。

2實驗背景

工學結合的計算機網絡工程的實驗，應源于工程實踐并適合實驗類的教學開展?；谏鲜隼砟?，實驗設計以江蘇某物流企業(yè)的廣域網改造的項目作為實驗設計的項目載體，根據企業(yè)的網絡安全實際規(guī)劃進行教學過程中的ASA防火墻實驗設計。該企業(yè)無錫總部通過ASA5520防火墻外聯至互聯網，徐州分支機構則使用ASA5510防火墻外聯至互聯網，兩臺防火墻通過接入運營商ISP實現分支機構訪問總部相關數據業(yè)務。

3實驗設計

3.1拓撲設計

參考上述企業(yè)需求，實驗拓撲設計如圖1所示，總部和分支機構都使用ASA5500系列設備互聯至ISP運營商，總部的ASA防火墻按照業(yè)務流量，劃分為OutSide、InSide、DMZ三個不同的區(qū)域，其中OutSide區(qū)上聯至ISP，InSide下聯到內網的3560交換機，DMZ側聯至對外業(yè)務的Web服務器用于提供外部訪問公司門戶網站。分支機構的ASA防火墻按業(yè)務流量只劃分為OutSide、InSide兩個區(qū)域。實驗拓撲圖如圖1所示。

3.2IP地址規(guī)劃

根據設計，將工程中涉及的設備互聯IP網段、終端設備業(yè)務網段IP進行統一規(guī)劃嘲，網絡設備IP規(guī)劃如表1所示，終端設備IP地址規(guī)劃如表2所示。

3.3防火墻安全設計

防火墻所聯的各個網段對應不同的安全區(qū)域，這些安全區(qū)域中設置為不同的安全級別。數據流量通過防火墻時，防火墻將根據流量的方向、流經區(qū)域安全級別，應用在端口上所設置的不同的安全策略對數據流量進行過濾和限制，故防火墻的端口安全級別需要在設計之初就規(guī)劃好?；谏鲜鏊悸罚瑢τ谕負鋱D中防火墻的安全規(guī)劃如表3所示，其中端口安全級別的數值范圍為0-100，數值越大表示安全級別越高。

3.4實驗仿真設計

3.4.1實驗設備拓撲仿真

參考3.1小節(jié)拓撲設計、IP地址規(guī)劃表和防火墻安全規(guī)劃表，使用Pack-et Tracer6.3進行仿真拓撲設計。在Packet Tracer6.3中，選擇兩臺ASA5505分別作為總部和分支的對外互聯設備，在兩臺防火墻中間選擇一臺2811路由器模擬ISP電信運營商互聯至防火墻。兩臺ASA5505的安全區(qū)域所對應的互聯設備，依照安全區(qū)域的設計規(guī)劃與表1數據，分別選擇3560和2960交換機進行互聯。所設計的實驗拓撲仿真如圖2所示。

3.4.2路由器配置

因防火墻內部流量IP為私有網段無須發(fā)布到外部路由器的路由表中，根據拓撲設計，ISP路由器只需完成如圖2所示的端口配置即可。

3.4.3防火墻配置

根據實際工程實施流程，在實驗設計中，將防火墻的配置劃分為端口配置、路由配置、NAT地址映射配置、安全策略配置等幾個步驟嘲，上述各個部分的配置過程是逐層遞進的關系，為避免將當前配置過程中的錯誤引入到下一階段，在配置過程中需要對階段功能進行驗證。

步驟1：防火墻端口配置

不同于ASA5510級別以上的ASA系列防火墻，ASA5505的物理接口實際是作為二層端口，該端口不能夠直接配置三層lP地址，需要在交換虛擬接口SVI（Switch Virtual Interface）中先行配置Interface VLAN IP地址，之后將二層端口加入對應的VLAN后實現三層轉發(fā)功能。以總部ASA5505為例，參照表3的數據，對端口的名稱、安全級別、地址等信息進行配置，如圖3所示。

ASA5505默認使用VLAN 1、VLAN 2作為IP配置，在實驗配置中，為讓學生體會在防火墻設計中VLAN的規(guī)劃，在配置前需將VLAN l和VLAN2中默認配置的nameff區(qū)域名、IP地址配置信息去除，根據表3的規(guī)劃自行建立VLAN 10、VLAN 20、VLAN 30。因仿真軟件對ASA5505的限制，仿真環(huán)境中最多只能使用三個nameif區(qū)域，禁止多于兩個區(qū)域以上的流量進入in-side區(qū)域，即第三個VLAN端口的流量配置時有限制，故在配置dmz端口的時候，需要先行增加如圖3中f1）的命令，限制dmz區(qū)域的流量進人inside區(qū)域之后，方可正常啟用dmz端口功能。

配置完SVI，即可將ASA 5505防火墻的物理接口分配到SVI所相應的VLAN中，配置如圖5所示。

步驟2：防火墻路由配置

ASA定義靜態(tài)路由目的在于讓防火墻對發(fā)往不同區(qū)域流量的目標IP進行識別并轉發(fā)到相應的outside、inside或dmz區(qū)域。如圖5所示，總部的ASA5505-01訪問公網非直連網段130.0.0./30，需要首先指明流量路由到outside端口，然后設置目標網段、子網掩碼和指向ISP路由器的220.0.0.2下一跳地址。

步驟3：NAT地址映射配置

服務器IP映射方式根據其業(yè)務分為兩類，一類是靜態(tài)NAT映射，實現一對一的映射，通過nat命令指定服務器內網ip映射到的公網地址供外部用戶訪問，如圖7命令f1）所示。另一類是端口NAT映射，當內部多臺服務器需要主動發(fā)起內網到外網的訪問，可將此類服務器網段地址統一映射到防火墻outside外網口的IP，實現多對一的映射，如圖6命令（2）所示。

步驟4：安全策略配置

完成基本配置的防火墻，需要開啟基本的安全策略防火墻才能開始工作。默認情況下，ASA防火墻允許高安全區(qū)域的數據流量流向低安全區(qū)，而低安全區(qū)域流量流向高安全區(qū)時則需要通過設置安全策略命令放行，ASA安全策略特性如圖7所示。

ASA安全策略分析，以dmz區(qū)的服務器ping包訪問outside區(qū)的ISP路由器地址為例，數據流量從dmz區(qū)進入ASA防火墻后，ASA判斷目標IP對應outside區(qū)域，且該區(qū)域的安全級別低于源IP的dmz區(qū)域，則ASA放行此部分流量，并在離開outside端口前應用NAT將dmz的服務器地址轉換為公網IP。當上述流量返回，ASA安全策略判別源lP、目標lP安全級別相同，ASA防火墻從outside端口接受流量后將目標lP地址通過NAT轉換為dmz區(qū)域的IP地址，此時防火墻進一步檢查安全策略，防火墻判別目標IP地址安全級別高于源IP地址，在未設置安全策略時則默認將此部分流量丟棄。

為放行outside上聯isp的220.0.0.0/29網段訪問dmz服務器172.16.10.0/24網段的流量，定義如圖9所示的安全策略并應用到端口中。根據流量的源IP和目標IP所對應的網段，首先定義網段IP對應的地址對象，如圖9命令（1）所示。然后定義ACL安全策略，允許在icmp協議背景下，上述isp網段訪問dmz網段，如圖9命令（2）所示。最后將定義的安全策略應用到dmz端口的out方向上，如圖9命令（3）所示。

inside與outside區(qū)域之間的流量安全策略定義與部署與圖8命令類似，除地址對象和ACL不一樣外，應在inside端口out方向上應用安全策略。

3.4.4交換機配置

總部的3560交換機下聯的多個VLAN的網關終結在3560上，與ASA5505采用三層連接。仿真環(huán)境中設計中，我們發(fā)現ASA5505防火墻仿真環(huán)境中，對于直連的inside區(qū)域的流量是可以直接通過防火墻NAT進行地址轉換后訪問外網，而3560以下的VLAN業(yè)務流量到達ASA5505時，盡管有相關NAT和策略放行配置命令，但ASA5505并不支持對此部分非直連的in-side區(qū)域IP網段實現NAT功能。

為解決上述問題，在實驗設計中，利用3560具備三層路由和NAT功能，將源地址為非直連的內網業(yè)務IP網段，在3560-02設備上先行NAT轉換為3560-02與ASA5505互聯網段的IP網段，最終通過兩級NAT實現防火墻放行inside區(qū)域所有IP網段訪問外網。

默認情況下，3560交換機處于二層工作模式，需要使用如圖9所示的命令（1）進入三層工作模式。進行NAT的outside端口則直接定義在物理接口Gigo/1上，且該接口也配置了物理IP，如命令（2）、（3）所示，而NAT的inside端口則在VLAN 10和VLAN 20的SVI接口下配置，如命令（4）、（5）所示。對于上述兩個VLAN的地址網段通過定義ACL，配置基于Gig0/1端口的NAT[121端口映射，如命令（6）所示，將上述網段的IP均轉換為10.0.0.2的IP地址，并配置3560缺省路由指向ASA5505的in-side端口IP，如圖命令（7）所示，最終實現所有內網流量能夠訪問到ISP路由器。篇幅所限，3560的HSRP等配置此處不再敘述。

5實驗驗證

上述數據配置完成后，進行實驗數據檢驗與分析。首先通過在防火墻節(jié)點執(zhí)行show route命令，檢測ASA設備的路由表中的靜態(tài)路由、缺省路由等信息是否完整，轉發(fā)方向和端口是否對應。

對于ASA功能配置驗證，以DMZ區(qū)域的兩臺服務器為例，使用Server1服務器訪問ASA外網側的路由器，執(zhí)行ping命令結果如圖10所示。

檢查防火墻的流量轉換情況，可通過show nat命令觀察和驗證。如圖11所示，觀察到內網VLAN 10和VLAN 20訪問ISP路由器時，可以看到內網流量NAT轉換都正常，同時dmz區(qū)的服務器也有NAT成功的流量記錄。即NAT配置和安全策略使用正常。

6總結

通過設計ASA防火墻的綜合性實驗，能夠讓學生較為完整的理解防火墻在工程項目中的設計和應用，提高了學生的防火墻設計、實施、故障排除能力，同時有效了提升學生在網絡系統集成過程中安全設計能力。實驗設計中在3560上啟用NAT功能，結合ASA防火墻NAT功能，實現兩級NAT地址轉換，有效促進學生在設計過程中對NAT的理解和應用。