摘 要：防火墻是最重要的網(wǎng)絡(luò)安全設(shè)備，合理對(duì)防火墻的配置，是實(shí)現(xiàn)網(wǎng)絡(luò)安全的有效保證。本文基于Cisco Paket Tracer 6.0網(wǎng)絡(luò)虛擬仿真軟件，搭建了以防火墻為中心的網(wǎng)絡(luò)，并對(duì)其進(jìn)行了基本配置，實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)。通過(guò)防火墻的基本配置仿真實(shí)驗(yàn)，讓學(xué)生加深對(duì)防火墻功能的理解，并掌握防火墻的基本配置能力。

關(guān)鍵詞：Packet tracer;防火墻;仿真實(shí)驗(yàn);DMZ;安全級(jí)別

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.3969/j.issn.1003-6970.2021.02.041

本文著錄格式：彭如飛.基于Packet tracer防火墻的基本配置仿真實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)[J].軟件，2021，42（02）：131-134

Design and Implementation of Basic Configuration Simulation Experiment Based on Packet Tracer Firewall

PENG Rufei

（North Sichuan Medical College， Nanchong? Sichuan? 637000）

【Abstract】：Firewall is the most important network security equipment， reasonable configuration of the firewall， is to realize the effective guarantee of network security. Based on the network virtual simulation software of Cisco PAKET TRACER 6.0， this paper builds a network with firewall as the center， and carries on the basic configuration to achieve the goal of network security. Through the basic configuration of the firewall simulation experiment， let the students deepen the understanding of the function of the firewall， and master the basic configuration of the firewall ability.

【Key words】：Packet tracer;firewall;simulation experiment;The DMZ;security level

網(wǎng)絡(luò)的迅速發(fā)展，對(duì)網(wǎng)絡(luò)安全的要求也越來(lái)越高，防火墻作為網(wǎng)絡(luò)安全中非常重要的網(wǎng)絡(luò)設(shè)備，其相關(guān)實(shí)驗(yàn)是網(wǎng)絡(luò)課程教學(xué)的重要內(nèi)容[1]。對(duì)于防火墻這種昂貴的大型網(wǎng)絡(luò)設(shè)備的配置實(shí)驗(yàn)，虛擬仿真實(shí)驗(yàn)明顯優(yōu)于傳統(tǒng)實(shí)驗(yàn)。Packet Tracer作為最廣泛使用的網(wǎng)絡(luò)虛擬仿真平臺(tái)，本文以此作為防火墻基本配置實(shí)驗(yàn)的載體，幫助學(xué)生加深對(duì)防火墻相關(guān)知識(shí)的理解，掌握防火墻的基本配置。

1 Packet Tracer網(wǎng)絡(luò)仿真平臺(tái)

Packet Tracer是思科公司研發(fā)的一款輔助網(wǎng)絡(luò)學(xué)習(xí)的虛擬仿真工具，其功能強(qiáng)大，操作簡(jiǎn)便，被廣泛應(yīng)用。在Packet Tracer中可完成網(wǎng)絡(luò)的搭建，模擬網(wǎng)絡(luò)并對(duì)其進(jìn)行故障分析，完成交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的配置等實(shí)踐操作[2]。Packet Tracer能夠克服網(wǎng)絡(luò)實(shí)驗(yàn)對(duì)實(shí)驗(yàn)場(chǎng)地的高要求，大幅度降低了實(shí)驗(yàn)成本，提高了實(shí)驗(yàn)效率及成功率，使教學(xué)效果得到大幅度提升。

2 防火墻

2.1 防火墻的概念和部署

防火墻放置于多個(gè)網(wǎng)絡(luò)的邊界處，通過(guò)執(zhí)行設(shè)置的訪問(wèn)控制策略實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)的設(shè)備。防火墻是保證內(nèi)、外部網(wǎng)絡(luò)通信安全的主要設(shè)備，其利用制定的訪問(wèn)策略對(duì)通過(guò)它的數(shù)據(jù)進(jìn)行監(jiān)控和審查，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)存在威脅的數(shù)據(jù)包的過(guò)濾、屏蔽和阻攔，以保證內(nèi)部網(wǎng)絡(luò)不會(huì)受外部的非法訪問(wèn)和攻擊。

防火墻要實(shí)現(xiàn)對(duì)多個(gè)網(wǎng)絡(luò)的訪問(wèn)控制，保證網(wǎng)絡(luò)安全，需布放在需要保護(hù)網(wǎng)絡(luò)的邊界處，部署結(jié)構(gòu)如圖1所示。

2.2 防火墻的主要功能

防火墻主要功能包括：

（1）隔離內(nèi)外部網(wǎng)絡(luò)。將內(nèi)外部網(wǎng)絡(luò)隔離可以防止非法用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)，并能有效防范郵件病毒和宏病毒等的攻擊。

（2）形成集中監(jiān)視點(diǎn)。防火墻位于多個(gè)網(wǎng)絡(luò)交界處，通過(guò)強(qiáng)制所有數(shù)據(jù)包都要經(jīng)過(guò)防火墻，并通過(guò)訪問(wèn)規(guī)則對(duì)所有數(shù)據(jù)包進(jìn)行檢查和過(guò)濾，這樣就能集中對(duì)網(wǎng)絡(luò)進(jìn)行安全管理。

（3）強(qiáng)化安全策略。以防火墻為中心，能夠?qū)⒍喾N安全軟件配置在防火墻上，比如口令和身份認(rèn)證等，與傳統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題分散在多臺(tái)主機(jī)上相比，這種集中管理方式操作更加簡(jiǎn)便并且節(jié)約成本[3]。

（4）能夠有效審計(jì)和記錄內(nèi)外網(wǎng)絡(luò)之間的通信活動(dòng)。因?yàn)閮?nèi)外網(wǎng)絡(luò)之間所有的數(shù)據(jù)包都要流經(jīng)防火墻，因此防火墻能對(duì)所有的數(shù)據(jù)包進(jìn)行記錄，并寫進(jìn)日志系統(tǒng)。當(dāng)發(fā)現(xiàn)異常行為時(shí)，防火墻能夠發(fā)出報(bào)警，并提供導(dǎo)致異常行為的原因，比如系統(tǒng)被檢測(cè)或被攻擊等。

2.3 防火墻的DMZ區(qū)及安全級(jí)別

DMZ是獨(dú)立于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個(gè)緩沖區(qū)，此區(qū)域主要存放一些必須對(duì)外部網(wǎng)絡(luò)開放的一些服務(wù)器等設(shè)備，比如FTP服務(wù)器和Web服務(wù)器等。網(wǎng)絡(luò)中有些設(shè)備需要對(duì)外網(wǎng)的一些設(shè)備提供服務(wù)，如果這些設(shè)備和內(nèi)網(wǎng)設(shè)備放在一起，則會(huì)給內(nèi)網(wǎng)帶來(lái)巨大的安全風(fēng)險(xiǎn)。DMZ區(qū)的作用則能將這些需要對(duì)外開放的設(shè)備和內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行隔離，根據(jù)情況采取針對(duì)性的隔離措施，使得這些設(shè)備既能對(duì)外提供服務(wù)，同時(shí)也能較好地對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)[4]。DMZ區(qū)根據(jù)網(wǎng)絡(luò)實(shí)際需要能夠劃分多個(gè)，進(jìn)而實(shí)現(xiàn)安全目標(biāo)。DMZ防火墻組成示例如圖2所示。

思科防火墻把將接口設(shè)置為不同的安全等級(jí)，等級(jí)以數(shù)字0至100的整數(shù)表示，默認(rèn)時(shí)高等級(jí)區(qū)域可以訪問(wèn)低等級(jí)區(qū)域，而低等級(jí)區(qū)域不能訪問(wèn)高等級(jí)區(qū)域。若等級(jí)低等級(jí)區(qū)域需要訪問(wèn)高等級(jí)區(qū)域，可以通過(guò)ACL或conduit（管道）明確進(jìn)行配置。安全級(jí)別100是PIX（或asa）防火墻內(nèi)部接口的最高級(jí)別，安全級(jí)別0是PIX（或asa）防火墻外部接口的最低級(jí)別，它們都是是默認(rèn)設(shè)置，且不能改變[5]。

3 防火墻的基本配置仿真實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)

3.1 實(shí)驗(yàn)需求及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

本次實(shí)驗(yàn)?zāi)繕?biāo)是讓學(xué)生了解防火墻的概念，熟悉防火墻關(guān)鍵技術(shù)，掌握防火墻的安全級(jí)別，以及熟悉思科防火墻的基本配置。為實(shí)現(xiàn)預(yù)設(shè)實(shí)驗(yàn)?zāi)繕?biāo)要求將網(wǎng)絡(luò)劃分為inside（內(nèi)網(wǎng)）、outside（外網(wǎng)）、dmz（服務(wù)器區(qū)）三個(gè)區(qū)域，并對(duì)防火墻進(jìn)行配置，使得內(nèi)網(wǎng)和DMZ區(qū)的設(shè)備可以訪問(wèn)外網(wǎng)的設(shè)備，內(nèi)網(wǎng)設(shè)備可以訪問(wèn)DMZ區(qū)設(shè)備，但是DMZ區(qū)設(shè)備不能訪問(wèn)內(nèi)網(wǎng)設(shè)備，外網(wǎng)設(shè)備可以訪問(wèn)DMZ區(qū)的設(shè)備。根據(jù)實(shí)驗(yàn)?zāi)繕?biāo)和需求設(shè)計(jì)網(wǎng)絡(luò)拓?fù)淙鐖D3所示：

對(duì)網(wǎng)絡(luò)拓?fù)鋱D各設(shè)備IP地址規(guī)劃如表1所示。

3.2 實(shí)驗(yàn)具體步驟

（1）根據(jù)設(shè)計(jì)的網(wǎng)絡(luò)拓?fù)鋱D，在Cisco Packet Tracer中搭建網(wǎng)絡(luò)。

（2）配置主機(jī)、服務(wù)器和路由器的接口的IP地址。

通過(guò)IP Configuration分別配置主機(jī)（Inside User）和服務(wù)器（Web Server）的IP地址。

通過(guò)命令配置路由器接口的IP地址：

Router>enable

Router#configure terminal

Router（config）#interface GigabitEthernet 0/0

Router（config-if）#ip address 192.0.2.100 255.255.255.0

Router（config-if）#no shutdown

Router（config-if）#exit

Router（config）#ip route 0.0.0.0 0.0.0.0 192.0.2.1

命令說(shuō)明：命令：ip route []，no ip route []。功能：配置靜態(tài)路由;本命令的no 操作為刪除靜態(tài)路由。參數(shù)：和分別是目的設(shè)備的點(diǎn)分十進(jìn)制格式的IP 地址和子網(wǎng)掩碼， 則為下一跳設(shè)備的IP 地址，表示路由優(yōu)先級(jí)，在1至255間取值，其值越小表明優(yōu)先級(jí)越高[6]。其中0.0.0.0不是一個(gè)真正意義上的IP地址，而是表示本地主機(jī)路由表中沒(méi)有具體寫明的目的主機(jī)或網(wǎng)絡(luò)的這樣一個(gè)集合。

（3）開啟路由器的telnet服務(wù)。

Router（config）#line vty 0 15

Router（config-line）#password cisco

Router（config-line）#login

（4）更改ASA防火墻名稱。

ciscoasa>enable

Password： （密碼默認(rèn)為空）

ciscoasa#configure terminal

ciscoasa（config）#hostname PKT-ASA

（5）配置VLAN 1的IP地址和名稱。

PKT-ASA#configure terminal

PKT-ASA（config）#interface vlan 1

PKT-ASA（config-if）#ip address 192.168.1.1 255.255.255.0

PKT-ASA（config-if）#nameif inside

PKT-ASA（config-if）#security-level 100

說(shuō)明：Packet Tracer中的ASA 5505已經(jīng)默認(rèn)配置好了兩個(gè)VLAN：

VLAN1：Inside VLAN（interfaces E0/1->E0/7）

VLAN2：Outside VLAN（interfaces E0/0）

（6）配置VLAN 2的IP地址和名稱。

PKT-ASA#configure terminal

PKT-ASA（config）#interface vlan 2

PKT-ASA（config-if）#ip address 192.0.2.1 255.255.255.0

PKT-ASA（config-if）#nameif outside

PKT-ASA（config-if）#security-level 0

（7）配置VLAN 3的IP地址和名稱。

PKT-ASA#configure terminal

PKT-ASA（config）#interface vlan 3

PKT-ASA（config-if）#no forward interface vlan 1

PKT-ASA（config-if）#nameif dmz

PKT-ASA（config-if）#security-level 50

PKT-ASA（config-if）#ip address 172.16.10.1 255.255.255.0

（8）分配ASA防火墻的接口到不同的VLAN（其中VLAN1和VLAN2已經(jīng)默認(rèn)劃分，不需要再配置）。

PKT-ASA#configure terminal

PKT-ASA（config）#iinterface Ethernet 0/2

PKT-ASA（config-if）#switchport access vlan 3

3.3 結(jié)果驗(yàn)證

（1）驗(yàn)證ASA防火墻和主機(jī)、服務(wù)器、路由器的連通情況：

從ASA防火墻分別ping主機(jī)、服務(wù)器和路由器。結(jié)果表明全部能夠ping通。

（2）驗(yàn)證從inside和dmz區(qū)域連通到outside區(qū)域情況：

使用ping命令進(jìn)行驗(yàn)證，結(jié)果表明能夠從inside和dmz區(qū)域連通到outside區(qū)域，因?yàn)閕nside和dmz區(qū)的安全級(jí)別高于outside區(qū)域。

（3）通過(guò)ACL開啟防火墻的icmp通路：

模擬網(wǎng)絡(luò)運(yùn)行，通過(guò)數(shù)據(jù)包動(dòng)態(tài)傳輸圖，結(jié)果表明icmp數(shù)據(jù)包可以從高安全級(jí)別的inside區(qū)域通過(guò)防火墻到低安全區(qū)域的outside，反之則不行，這正是防火墻的作用。如果需要使得icmp數(shù)據(jù)包可以從低安全級(jí)別的outside區(qū)域通過(guò)防火墻到高安全區(qū)域的inside，則需要手動(dòng)通過(guò)ACL進(jìn)行配置。

PKT-ASA#configure terminal

PKT-ASA（config）#access-list icmp extended permit icmp any any

PKT-ASA（config）#access-group icmp in interface outside

命令說(shuō)明：在ASA上配置ACL有兩個(gè)作用，一是允許入站連接;二是控制出站連接的流量。目前有兩種主要的ACL：標(biāo)準(zhǔn)ACL和擴(kuò)展ACL，標(biāo)準(zhǔn)ACL只對(duì)數(shù)據(jù)包中的源地址進(jìn)行檢查，而擴(kuò)展ACL既要對(duì)數(shù)據(jù)包的源地址進(jìn)行檢查，也要對(duì)數(shù)據(jù)包的目的地址進(jìn)行檢查，并且能夠檢查數(shù)據(jù)包的端口號(hào)、特定協(xié)議類型等[7]。

標(biāo)準(zhǔn)ACL：

asa（config）#access-list acl-name [standrad] {permit | deny } ip_addr mask

擴(kuò)展ACL：

Asa（config）#access-list acl_name [extended] {permit | deny } protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]

將ACL應(yīng)用到接口：

asa（config）#access-group acl_name {in | out} interface interface_name

4 結(jié)語(yǔ)

使用Cisco Paket Tracer 6.0進(jìn)行防火墻基本配置實(shí)驗(yàn)，構(gòu)建了具有內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、DMZ區(qū)的防火墻實(shí)驗(yàn)的虛擬仿真場(chǎng)景。學(xué)生通過(guò)對(duì)防火墻的基本配置，有助于理解防火墻的功能，DMZ區(qū)的作用，以及防火墻如何實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的保護(hù)，與此同時(shí)也鍛煉了學(xué)生們配置防火墻的動(dòng)手能力。

參考文獻(xiàn)

[1] 范君，蔡彬彬.基于Packet Tracer的ASA防火墻實(shí)驗(yàn)設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2019，15（32）：39-42.

[2] 景朋森，王飛.網(wǎng)絡(luò)工程實(shí)踐教學(xué)中Packet Tracer的應(yīng)用研究[J].電子商務(wù)，2010（12）：55-57.

[3] 魏榮華，崔凌云.防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全之我見[J].電腦知識(shí)與技術(shù)，2008，4（S2）：191.

[4] 吉誠(chéng). 企業(yè)級(jí)網(wǎng)絡(luò)設(shè)計(jì)方案的規(guī)劃與測(cè)試[D].上海：上海交通大學(xué)，2008.

[5] 陳蘭蘭.網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)及在CISCO PIX防火墻中應(yīng)用[J].甘肅科技縱橫，2007（6）：19-20.

[6] 張洪濤.虛擬路由器冗余協(xié)議在網(wǎng)絡(luò)中的應(yīng)用[J].中國(guó)新通信，2018，20（21）：121-122.

[7] 李大周.利用路由器ACL功能保障局域網(wǎng)安全[J].電腦知識(shí)與技術(shù)，2010，6（12）：2892-2894.