舒小松

摘 ? 要：思科模擬器是學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)必不可少的軟件平臺(tái)，而防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)中安全防范技術(shù)中的重要環(huán)節(jié)，通過(guò)對(duì)防火墻的研究，能夠更好地學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)。文章通過(guò)思科模擬器進(jìn)行防火墻的配置，并進(jìn)行了相關(guān)的模擬與仿真。

關(guān)鍵詞：思科模擬器;防火墻;模擬與仿真

Cisco Packet Tracer是一款由思科公司開(kāi)發(fā)的，為網(wǎng)絡(luò)課程的初學(xué)者提供輔助教學(xué)的實(shí)驗(yàn)?zāi)M器。使用者可以在該模擬器中搭建各種網(wǎng)絡(luò)拓?fù)洌瑢?shí)現(xiàn)基本的網(wǎng)絡(luò)配置。該軟件是開(kāi)源的，對(duì)使用者來(lái)說(shuō)是完全免費(fèi)的。

1 ? ?防火墻技術(shù)介紹

防火墻（Firewall），也稱防護(hù)墻，由Check Point創(chuàng)立者Gil Shwed于1993年發(fā)明并引入國(guó)際互聯(lián)網(wǎng)。防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的屏障，按照系統(tǒng)管理員預(yù)先定義好的規(guī)則來(lái)控制數(shù)據(jù)包的進(jìn)出。防火墻是系統(tǒng)的第一道防線，作用是防止非法用戶的進(jìn)入。防火墻通常分為內(nèi)網(wǎng)、外網(wǎng)和隔離區(qū)（Demilitarized Zone，DMZ）3個(gè)區(qū)域[1]。

2 ? ?防火墻技術(shù)在思科模擬器中的應(yīng)用

2.1 ?設(shè)置網(wǎng)絡(luò)拓?fù)鋱D

對(duì)防火墻拓?fù)鋱D進(jìn)行設(shè)置，如圖1所示，設(shè)置為內(nèi)網(wǎng)、外網(wǎng)和DMZ 3個(gè)區(qū)域。

內(nèi)網(wǎng)為inside區(qū)域，涉及的網(wǎng)段為192.168.1.0/24與192.168.2.1/24，設(shè)備有PC電腦和Other路由器;外網(wǎng)為outside區(qū)域，涉及的網(wǎng)段有200.1.1.2/24與200.1.2.2/24，設(shè)備有ISP路由器與Internet路由器;DMZ為隔離區(qū)區(qū)域，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問(wèn)用戶不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，涉及的網(wǎng)段為192.168.3.1/24，設(shè)備有服務(wù)器。計(jì)劃把防火墻的e0/0口劃分到vlan 1里面;防火墻的e0/1口劃分到vlan 3里面;防火墻的e0/2口劃分到vlan 2里面[2]。

2.2 ?防火墻中內(nèi)網(wǎng)、外網(wǎng)和DMZ的配置

配置內(nèi)網(wǎng)、外網(wǎng)和DMZ之前，需要對(duì)路由器Other，ISP，Internet進(jìn)行默認(rèn)路由的設(shè)置，當(dāng)IP數(shù)據(jù)包中的目的地址找不到存在的其他路由時(shí)，路由器所選擇的就是默認(rèn)路由。目的地不在路由器的路由表里時(shí)所有數(shù)據(jù)包都會(huì)使用默認(rèn)路由。默認(rèn)路由的設(shè)置規(guī)范為：ip route網(wǎng)絡(luò)地址子網(wǎng)掩碼下一跳。這里網(wǎng)絡(luò)地址和子網(wǎng)掩碼默認(rèn)都為0.0.0.0。

路由器Other：Router（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.2。

路由器ISP：Router（config）#ip route 0.0.0.0 0.0.0.0 200.1.1.1。

路由器Internet：Router（config）#ip route 0.0.0.0 0.0.0.0 200.1.2.1。

配置防火墻的時(shí)候，一般把可信度高的主機(jī)放置于內(nèi)區(qū)域，把因特網(wǎng)隔離于外區(qū)域，DMZ區(qū)域用于放置可信度介于內(nèi)部主機(jī)和因特網(wǎng)的各類服務(wù)器。

2.2.1 ?內(nèi)網(wǎng)區(qū)域配置

接口E0/0區(qū)域設(shè)置為inside區(qū)域，安全級(jí)別為100。內(nèi)網(wǎng)區(qū)域又叫Trust區(qū)域，它是指位于防火墻之內(nèi)的可信網(wǎng)絡(luò)，是防火墻要保護(hù)的目標(biāo)。

ciscoasa（config）#no dhcpd address 192.168.1.5-192.168.1.35 insideciscoasa（config）#interface Ethernet0/0

ciscoasa（config-if）#switchport access vlan 1

ciscoasa（config）#interface vlan 1

ciscoasa（config-if）#ip address 192.168.2.2 255.255.255.0

ciscoasa（config）#security-level 100

ciscoasa（config）#nameif inside

對(duì)于內(nèi)網(wǎng)而言，安全級(jí)別是最高的，由于系統(tǒng)默認(rèn)是自動(dòng)獲取IP地址，防火墻提供動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）服務(wù)，需要停用DHCP服務(wù)，并重新設(shè)置IP地址。配置步驟為：首先，停用DHCP服務(wù);進(jìn)入相關(guān)接口，把其劃入vlan 1里，并設(shè)置相關(guān)IP地址;其次，設(shè)置安全級(jí)別為100，配置為內(nèi)網(wǎng)區(qū)域。

2.2.2 ?外網(wǎng)區(qū)域配置

接口E0/2區(qū)域設(shè)置為outside區(qū)域，安全級(jí)別為0。外網(wǎng)區(qū)域又叫Untmst區(qū)域，它是位于防火墻之外的公共開(kāi)放網(wǎng)絡(luò)，一般指因特網(wǎng)。

ciscoasa（config）#interface Ethernet0/2

ciscoasa（config-if）#switchport access vlan 2

ciscoasa（config）#interface vlan 2

ciscoasa（config-if）#ip address 200.1.1.1 255.255.255.0

ciscoasa（config）#security-level 0

ciscoasa（config）#nameif outside

配置步驟為：首先，進(jìn)入相關(guān)接口，把其劃入vlan 2里，并設(shè)置相關(guān)IP地址;其次，設(shè)置安全級(jí)別為0，配置為外網(wǎng)區(qū)域。

2.2.3 ?DMZ區(qū)域配置

接口E0/1區(qū)域設(shè)置為DMZ區(qū)域，安全級(jí)別為50。DMZ也稱周邊網(wǎng)絡(luò)，安全敏感度和保護(hù)強(qiáng)度較低，一般用來(lái)放置提供公共網(wǎng)絡(luò)服務(wù)的設(shè)備。

ciscoasa（config）#interface Ethernet0/1

ciscoasa（config-if）#switchport access vlan 3

ciscoasa（config）#interface vlan 3

ciscoasa（config-if）#ip address 192.168.3.2 255.255.255.0

ciscoasa（config）#security-level 50

ciscoasa（config）#nameif dmz

配置步驟為：首先，進(jìn)入相關(guān)接口，把其劃入vlan 3里，并設(shè)置相關(guān)IP地址;其次，設(shè)置安全級(jí)別為50，配置為DMZ區(qū)域。

由于思科模擬器的局限性，DMZ區(qū)域設(shè)置會(huì)出現(xiàn)錯(cuò)誤，這個(gè)問(wèn)題只有等該公司后續(xù)進(jìn)行修正。

2.2.4 ?配置向外的默認(rèn)路由和向內(nèi)的靜態(tài)路由

ciscoasa（config）#route outside 0.0.0.0 0.0.0.0 200.1.1.2

ciscoasa（config）#route inside 192.168.1.0 255.255.255.0 192.168.2.1

設(shè)置防火墻route inside代表路由器去內(nèi)網(wǎng)的方向。防火墻route outside代表路由器去外網(wǎng)的方向。

2.2.5 ?配置ACL，允許內(nèi)網(wǎng)ping通外網(wǎng)

ciscoasa（config）#access-list 101 permit icmp any 192.168.1.0 255.255.255.0

ciscoasa（config）#access-group 101 in interface outside

設(shè)置允許通過(guò)的網(wǎng)段為192.168.1.0/24，其他網(wǎng)段不允許通過(guò);最后，進(jìn)行接口控制，其他不允許通過(guò)的數(shù)據(jù)在路由器出口處進(jìn)行丟棄。

3 ? ?設(shè)置結(jié)果分析

如圖2所示，從PC0發(fā)包到Other路由器、防火墻、ISP路由器已經(jīng)Internet路由器中狀態(tài)成功，說(shuō)明防火墻配置已經(jīng)成功。

在防火墻操作系統(tǒng)中用show running查看相關(guān)配置，如圖3所示。

通過(guò)對(duì)網(wǎng)絡(luò)中防火墻的研究，能夠更好地了解網(wǎng)絡(luò)安全知識(shí)。對(duì)于設(shè)置防火墻要注意的是，不同區(qū)域的安全級(jí)別需要不同設(shè)置，安全級(jí)別為：內(nèi)網(wǎng)>DMZ>外網(wǎng)。本文中內(nèi)網(wǎng)設(shè)置為等級(jí)100，DMZ設(shè)置為等級(jí)50，外網(wǎng)設(shè)置為等級(jí)0，在現(xiàn)實(shí)中，可以按具體需求設(shè)置。

[參考文獻(xiàn)]

[1]徐小娟，李曉雯.網(wǎng)絡(luò)設(shè)備管理與維護(hù)項(xiàng)目教程[M].北京：清華大學(xué)出版社，2016.

[2]葉阿勇.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)與學(xué)習(xí)指導(dǎo)—基于Cisco Packet Tracer模擬器[M].北京：清華大學(xué)出版社，2017.