李耀瑩

（山西師范大學(xué)臨汾學(xué)院，山西 臨汾 041000）

0 引言

從20世紀(jì)40年代世界首臺(tái)計(jì)算機(jī)誕生以來(lái)，相關(guān)技術(shù)的發(fā)展突飛猛進(jìn)，給各行業(yè)發(fā)展帶來(lái)了強(qiáng)大助力。而互聯(lián)網(wǎng)作為現(xiàn)代人相互交往的第二社會(huì)，必須要通過(guò)一定措施保障人們的使用安全，而目前最為常見(jiàn)，也是最為高效的方式便是構(gòu)建防火墻。

1 計(jì)算機(jī)網(wǎng)絡(luò)管理

計(jì)算機(jī)網(wǎng)絡(luò)管理主要包括5個(gè)功能域包括：故障管理、性能管理、安全管理、計(jì)費(fèi)管理和配置管理，其中，受人們關(guān)注最為廣泛的管理內(nèi)容為安全管理。安全管理是指利用某些安全技術(shù)措施與管理方式，保證網(wǎng)絡(luò)資源維持良好的完整性、隱秘性、可控性以及可用性，讓網(wǎng)絡(luò)不會(huì)由于網(wǎng)絡(luò)設(shè)備、服務(wù)、通信協(xié)議遭到人為因素或自然因素的影響出現(xiàn)網(wǎng)絡(luò)中斷、信息破壞或者泄露等問(wèn)題。網(wǎng)絡(luò)安全屬于計(jì)算機(jī)網(wǎng)絡(luò)管理中至關(guān)重要的功能域，其關(guān)鍵性已經(jīng)上升到國(guó)家戰(zhàn)略級(jí)別[1]。目前，最為常見(jiàn)的網(wǎng)絡(luò)安全技術(shù)內(nèi)容包括防火墻技術(shù)、防病毒技術(shù)、密碼技術(shù)、VPN技術(shù)、入侵檢測(cè)及防御技術(shù)等。而其中應(yīng)用范圍最為廣泛的是防火墻技術(shù)，其作為一種基本網(wǎng)絡(luò)安全技術(shù)而被人們所熟知。

2 計(jì)算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺(tái)

依據(jù)計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)際需求，針對(duì)仿真平臺(tái)進(jìn)行設(shè)計(jì)，以實(shí)現(xiàn)對(duì)防火墻相關(guān)功能的全面實(shí)現(xiàn)。在本設(shè)計(jì)方案中，平臺(tái)主要由GNS3，VMware和SNMPc所構(gòu)成。其中，GNS3的主要功能為仿真網(wǎng)絡(luò)互聯(lián)設(shè)備，這是因?yàn)樵贕NS3中對(duì)真實(shí)IOS設(shè)備進(jìn)行加載，所獲仿真效果與真實(shí)設(shè)備基本一致[2]。GNS3不僅可以對(duì)基本交換機(jī)與路由器進(jìn)行仿真，還可以仿真入侵防御、檢測(cè)和防火墻等設(shè)備，所以能有效滿足對(duì)于網(wǎng)絡(luò)互連設(shè)備進(jìn)行仿真的實(shí)際需求。VMware的作用在于仿真各類操作系統(tǒng)，主要包括終端設(shè)備系統(tǒng)與網(wǎng)絡(luò)操作系統(tǒng)。VNware內(nèi)的操作系統(tǒng)和物理機(jī)器實(shí)現(xiàn)網(wǎng)絡(luò)連接，為仿真計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)形成了有力支持。SNMPc屬于一種具有可視化功能的網(wǎng)絡(luò)管理系統(tǒng)平臺(tái)，是以SNMP（簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議）為基礎(chǔ)進(jìn)行開發(fā)的，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)整體的全面管理[3]。

仿真實(shí)驗(yàn)平臺(tái)需要將校園網(wǎng)作為基礎(chǔ)，并按照主流網(wǎng)絡(luò)架構(gòu)進(jìn)行搭建。GNS3依靠“Cloud”及VNware內(nèi)的操作系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)連接，并通過(guò)VMware操作系統(tǒng)當(dāng)中所部署的網(wǎng)絡(luò)管理系統(tǒng)平臺(tái)，達(dá)到對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理的目的。

3 防火墻實(shí)驗(yàn)設(shè)計(jì)

3.1 防火墻技術(shù)

防火墻是一種由硬件及軟件共同構(gòu)成的系統(tǒng)，其介于外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)二者之間，依據(jù)系統(tǒng)管理人員所設(shè)定的訪問(wèn)控制規(guī)則，針對(duì)數(shù)據(jù)流實(shí)施過(guò)濾處理，繼而實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)，防止受到非法用戶的入侵，確保內(nèi)網(wǎng)中各種數(shù)據(jù)資料的安全性。防火墻的主要組成部分可以具體分為：服務(wù)訪問(wèn)規(guī)則、包過(guò)濾、驗(yàn)證工具以及應(yīng)用網(wǎng)關(guān)。

通常情況下，防火墻處在Intranet網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)中間，在二者間構(gòu)建起安全網(wǎng)關(guān)（即security gateway）。對(duì)網(wǎng)絡(luò)進(jìn)行劃分，使其分成一些具體的區(qū)域，針對(duì)每個(gè)區(qū)域制定出相應(yīng)的訪問(wèn)控制策略，因此控制相互之間數(shù)據(jù)流的傳送過(guò)程。在日常使用過(guò)程中，人們會(huì)將Internet劃分成不可信任區(qū)域（untrust），而將內(nèi)部Intranet設(shè)定為可信任區(qū)域（trust）或本地區(qū)域（local），并且將網(wǎng)絡(luò)服務(wù)器群設(shè)置成非軍事化區(qū)域（DMZ）[4]。其中，本地區(qū)域在安全區(qū)域中具有最高級(jí)別，相應(yīng)安全優(yōu)先級(jí)是100；而非軍事化區(qū)域?qū)儆谥卸燃?jí)別，相應(yīng)安全優(yōu)先級(jí)是50；不可信任區(qū)域所對(duì)應(yīng)的安全優(yōu)先級(jí)則非常低。

3.2 實(shí)驗(yàn)拓?fù)湓O(shè)計(jì)

筆者針對(duì)防火墻所開展的實(shí)驗(yàn)設(shè)計(jì)是以計(jì)算機(jī)網(wǎng)絡(luò)管理方針平臺(tái)為基礎(chǔ)的，是防火墻接口e0/0與外部網(wǎng)絡(luò)Internet之間相互連接，e0/1接口與內(nèi)部網(wǎng)絡(luò)Intranet之間相互連接，而e0/2接口則與非軍事化區(qū)域DMZ之間相互連接。

為了對(duì)防火墻效果進(jìn)行驗(yàn)證，將三臺(tái)計(jì)算機(jī)安裝于VMware虛擬機(jī)之上。其操作系統(tǒng)分別是Windows server2003，Windows server2008和Windows XP。三者中安裝有Windows server2003系統(tǒng)的計(jì)算機(jī)，其IP地址為202.102.10.100/24，將此臺(tái)機(jī)器當(dāng)作Internet中的一個(gè)服務(wù)器；而安裝有Windows server2008的計(jì)算機(jī)，其IP地址是192.168.3.100/24，將此計(jì)算機(jī)當(dāng)作校園網(wǎng)內(nèi)的一個(gè)網(wǎng)絡(luò)服務(wù)器；安裝有Windows XP的計(jì)算機(jī)，其IP地址是192.168.20.100/24，將其當(dāng)作計(jì)算機(jī)學(xué)院內(nèi)的一個(gè)終端設(shè)備。

4 防火墻配置過(guò)程

4.1 校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的相互連通

使校園網(wǎng)之間相互連接需要配置網(wǎng)絡(luò)設(shè)備及終端。先要對(duì)接入層設(shè)備進(jìn)行配置，在接入層設(shè)備中具體劃分出VLAN，并針對(duì)端口模式加以設(shè)置。使每一個(gè)接入層的設(shè)備都被劃分成2個(gè)VLAN，并使各設(shè)備中的2～7號(hào)端口、8～15號(hào)端口被放進(jìn)不同VLAN當(dāng)中，隨后對(duì)匯聚層連接設(shè)備所處的端口模式進(jìn)行設(shè)置（Trunk）[5]。為匯聚層端口配置IP地址，將其當(dāng)作終端設(shè)備對(duì)應(yīng)的網(wǎng)關(guān)地址，依靠匯聚層與接入層設(shè)備相互連接設(shè)備的端口完成子接口創(chuàng)建，以此解決一個(gè)匯聚層接口與兩個(gè)VLAN網(wǎng)段相互連接的問(wèn)題。除此之外，還要針對(duì)匯聚層和核心層接口相互連接的IP地址加以配置。

在完成各種基本配置以后，要將動(dòng)態(tài)路由協(xié)議啟動(dòng)，使不同網(wǎng)絡(luò)之間實(shí)現(xiàn)相互連接。RIP協(xié)議屬于較為常用的一種動(dòng)態(tài)路由協(xié)議，需要對(duì)防火墻與內(nèi)網(wǎng)端口IP地址相互連接、動(dòng)態(tài)路由協(xié)議進(jìn)行配置，讓內(nèi)網(wǎng)計(jì)算機(jī)可以完成與此端口之間的相互連通。

4.2 外部網(wǎng)絡(luò)的相互連通

先要針對(duì)路由器接口IP地址加以配置，再設(shè)置防火墻與外網(wǎng)相互連接接口e0/0的IP地址，最后對(duì)Windows server 2003服務(wù)器IP地址進(jìn)行設(shè)置。在完成上述操作之后，還要針對(duì)外部網(wǎng)絡(luò)所具備的連通性加以測(cè)試，由外網(wǎng)服務(wù)器ping防火墻與外網(wǎng)端口之間相互連接，通過(guò)所獲結(jié)果得知能夠?qū)崿F(xiàn)連接。

4.3 DMZ區(qū)的相互連通

針對(duì)DMZ服務(wù)器和防火墻相互連接的DMZ區(qū)端口加以測(cè)試，以確認(rèn)其連通性，實(shí)驗(yàn)結(jié)果發(fā)現(xiàn)是連通的[6]。

5 結(jié)語(yǔ)

總而言之，防火墻對(duì)于保障計(jì)算機(jī)網(wǎng)絡(luò)安全具有非常重要的作用和意義，對(duì)其開展仿真實(shí)驗(yàn)是提升其應(yīng)用性能的關(guān)鍵措施之一，值得人們投入更多人力、物力和財(cái)力促進(jìn)實(shí)驗(yàn)研究活動(dòng)的進(jìn)一步深化。作為一名網(wǎng)絡(luò)安全管理人員，應(yīng)該在日常工作中積極探索，對(duì)國(guó)外的一些先進(jìn)應(yīng)用技術(shù)和理念加以借鑒，繼而與我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全的整體情況相結(jié)合，創(chuàng)建一套更加貼合我國(guó)國(guó)情的網(wǎng)絡(luò)安全仿真體系，在實(shí)現(xiàn)自我價(jià)值的同時(shí)，為國(guó)家安全提供更大保障，促進(jìn)國(guó)家政治、經(jīng)濟(jì)的穩(wěn)定發(fā)展。