摘要：隨著人們對信息安全重要性認(rèn)識的提高，對防火墻的應(yīng)用越來越來越普遍。防火墻技術(shù)成為計算機(jī)網(wǎng)絡(luò)專業(yè)重要的知識點(diǎn)之一，對防火墻技術(shù)的實(shí)驗(yàn)教學(xué)進(jìn)行了研究，提出了基于GNS3的虛擬平臺下PIX防火墻實(shí)驗(yàn)教學(xué)設(shè)計，設(shè)計了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，構(gòu)建了虛擬網(wǎng)絡(luò)實(shí)驗(yàn)平臺，在PIX防火墻上配置了IPSec VPN，最終對實(shí)驗(yàn)的結(jié)果進(jìn)行了驗(yàn)證。

關(guān)鍵詞：防火墻；實(shí)驗(yàn)教學(xué)；GNS3；IPSec；VPN

中圖分類號：TP391 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）02-0262-04

1 概述

隨著Internet的進(jìn)一步普及和迅猛發(fā)展，網(wǎng)絡(luò)面臨的威脅也越來越多，網(wǎng)絡(luò)安全方面的問題成為網(wǎng)絡(luò)管理員最頭疼的問題[1]。應(yīng)用防火墻技術(shù)維護(hù)網(wǎng)絡(luò)安全勢在必行。防火墻技術(shù)是計算機(jī)網(wǎng)絡(luò)、電子通信等專業(yè)學(xué)生必須掌握的學(xué)習(xí)內(nèi)容，防火墻配置實(shí)驗(yàn)是學(xué)習(xí)防火墻技術(shù)不可或缺的重要環(huán)節(jié)。目前由于各大學(xué)校網(wǎng)絡(luò)安全實(shí)驗(yàn)室條件的限制，在防火墻設(shè)備缺乏或更新遲滯的條件下，如何開展防火墻技術(shù)實(shí)驗(yàn)教學(xué)是個值得研究的問題。通過在網(wǎng)絡(luò)安全設(shè)備部署課程教學(xué)中的實(shí)際探索，發(fā)現(xiàn)可以借助GNS3軟件構(gòu)建PIX防火墻實(shí)驗(yàn)平臺，幫助學(xué)生在此平臺上完成設(shè)計、組建、管理網(wǎng)絡(luò)的這個過程，提高了實(shí)驗(yàn)效率，降低了實(shí)驗(yàn)成本，保證了實(shí)驗(yàn)教學(xué)質(zhì)量。本設(shè)計就是基于GNS3軟件模擬出PIX防火墻設(shè)備，滿足防火墻技術(shù)實(shí)驗(yàn)的要求。

2 防火墻工作原理

2.1 防火墻定義與常見類型

一般來說，防火墻是一種置于不同網(wǎng)絡(luò)安全域之間的一臺設(shè)備或者一套系統(tǒng)，是根據(jù)有關(guān)的訪問安全策略來控制[2]。根據(jù)邏輯結(jié)構(gòu)，防火墻主要分為兩類：基于網(wǎng)絡(luò)層的包過濾防火墻和基于應(yīng)用層的服務(wù)器型防火墻。前一種主要是在網(wǎng)絡(luò)層根據(jù)數(shù)據(jù)包的源和目的IP地址、來源端口號來進(jìn)行過濾，而后一種是在應(yīng)用層為每一種服務(wù)提供一個代理[3]。

2.2 Cisco PIX防火墻功能

Cisco PIX 防火墻就是基于上述兩種技術(shù)結(jié)合的防火墻。Cisco PIX防火墻在設(shè)計上提供了一些優(yōu)于基于應(yīng)用程序的防火墻的重大優(yōu)勢，幫助實(shí)現(xiàn)PIX防火墻出色性能的兩個關(guān)鍵組件是ASA（自適應(yīng)安全算法）和貫穿式代理[4]。

2.2.1自適應(yīng)安全算法（ASA）

Cisco PIX防火墻安全驗(yàn)證算法的核心是自適應(yīng)安全算法（ASA）。ASA算法采用了一種基于狀態(tài)和面向TCP連接的安全設(shè)計體系。ASA基于源和目的地地址創(chuàng)建一個會話流，同時在一個連接完成之前將其TCP序列號、TCP端口號和附帶的TCP識別標(biāo)記隨機(jī)地加入會話序列。圖1描繪了ASA算法的機(jī)制以及它是如何影響流過PIX防火墻的流量。

圖1 ASA算法流程

1） 內(nèi)部PC對外部網(wǎng)絡(luò)資源的IP連接；2） PIX將相關(guān)連接信息寫入狀態(tài)表；3） 對連接對象和安全策略進(jìn)行匹配；4） 如果安全策略匹配，則進(jìn)行地址轉(zhuǎn)換，并將此請求被轉(zhuǎn)發(fā)給外部網(wǎng)絡(luò)資源；5）外部網(wǎng)絡(luò)資源響應(yīng)請求；6） 響應(yīng)信息到達(dá)防火墻并進(jìn)行匹配。

2.2.2貫穿式代理

Cisco PIX防火墻的貫穿式代理（cut-throughproxy）特性提供了比應(yīng)用程序代理防火墻更好的性能。圖2描繪了貫穿式代理的工作機(jī)制以及在激活A(yù)SA之前的4個步驟。

圖2 貫穿式代理工作流程

1）外部PC請求連接內(nèi)部網(wǎng)絡(luò)服務(wù)器；2） 用戶在PIX防火墻上登錄；3） Cisco PIX防火墻將用戶信息轉(zhuǎn)送到AAA服務(wù)器中進(jìn)行認(rèn)證；4） 在網(wǎng)絡(luò)層打開與服務(wù)器的連接，會話信息被寫入連接表中，ASA過程開始。

3 GNS3軟件應(yīng)用

3.1 GNS3簡介

GNS3全稱是Graphical Network Simulator。它是基于真實(shí)的IOS的優(yōu)秀的圖形化的仿真軟件，所以運(yùn)行它和運(yùn)行真實(shí)設(shè)備有著一樣的效果。它在網(wǎng)絡(luò)設(shè)備選擇和配置網(wǎng)絡(luò)拓?fù)涠际褂昧藞D形界面，更方便人機(jī)交互，更具有操作性[5]。GNS3是款開源的網(wǎng)絡(luò)模擬軟件，它適應(yīng)于多種操作系統(tǒng)，易于安裝，這樣不但節(jié)省了教學(xué)資源，還可以讓學(xué)生體驗(yàn)與真實(shí)硬件平臺相同的學(xué)習(xí)環(huán)境[6]。

3.2 GNS3的組成

GNS3是由多種組件組成，主要包括：

1）Winpcap，它的主要作用來識別發(fā)送或接收數(shù)據(jù)幀的MAC地址。

2）Dynamips，它是Cisco的IOS模擬器的核心組件。

3）Pemu，它是基于開源的QEMU模擬器，可以用來模擬Cisco PIX防火墻。

4 基于GNS3的PIX防火墻實(shí)驗(yàn)平臺搭建

4.1 實(shí)驗(yàn)?zāi)康?/p>

1） 了解IPSec VPN的工作原理；

2）了解PIX防火墻的工作原理；

3）掌握PIX上的IPSec VPN的配置過程；

4）掌握GNS3仿真軟件的使用。

4.2 實(shí)驗(yàn)項(xiàng)目的背景描述[7]

某軟件開發(fā)公司為了降低人員成本，在另一個中小城市建立了分公司，但是分公司上傳給總公司的數(shù)據(jù)一般為軟件開發(fā)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，如果被竊取，可能給公司帶來難以預(yù)計的損失，現(xiàn)在要求分公司研發(fā)小組通過IPSec VPN連接到總公司的研發(fā)服務(wù)器?？偣竞头止径际峭ㄟ^PIX防火墻連接Internet。

4.3 實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)設(shè)計

整個工程項(xiàng)目結(jié)構(gòu)總體分為三部分，分別為分公司網(wǎng)絡(luò)、總公司網(wǎng)絡(luò)以及Internet。因此設(shè)計了如圖3所示的網(wǎng)絡(luò)拓?fù)鋱D：PIX1為分公司連接Internet的出口設(shè)備，PIX2為總公司連接Internet的出口設(shè)備，路由器ISP模擬為Internet，在總公司和分公司的網(wǎng)絡(luò)中連接了PC，分別模擬為分公司的研發(fā)PC和總公司的研發(fā)服務(wù)器，用于驗(yàn)證網(wǎng)絡(luò)的連通性。

4.4 實(shí)驗(yàn)IP地址規(guī)劃

分公司開發(fā)項(xiàng)目小組所在網(wǎng)絡(luò)地址為172.16.10.X/24，其它客戶端的網(wǎng)絡(luò)地址為172.16.X.X/16，總公司研發(fā)部的網(wǎng)絡(luò)地址規(guī)劃為10.10.33.X/24，分公司與Intenet之間網(wǎng)段設(shè)置為100.0.0.1/30，總公司與Internet之間設(shè)置為200.0.0.1/30。

4.5 實(shí)驗(yàn)重要配置步驟

4.5.1 PIX防火墻的VPN功能激活

基于GNS的PIX防火墻在默認(rèn)情況下是不支持VPN功能的，如圖4所示，必須激活以后才可以使用，如圖5所示。PIX防火墻的IOS、序列號以及KEY都可以從互聯(lián)網(wǎng)上得到，激活命令如圖6所示。

圖4 PIX未激活前

圖5 PIX激活后

圖6 Ph7bFclhTJkMmXIeDd5rYZzNq/hz65BEvLwrYA9Gk9zQ=IX激活命令

4.5.2 實(shí)驗(yàn)重要配置命令

4.6 實(shí)驗(yàn)的運(yùn)行與實(shí)驗(yàn)效果驗(yàn)證

配置完成以后，實(shí)驗(yàn)驗(yàn)證結(jié)果如圖6所示。

圖7 從分公司研發(fā)小組ping總公司研發(fā)服務(wù)器

圖7結(jié)果表明分公司研發(fā)小組與總公司研發(fā)服務(wù)器之間通信正常。

5 結(jié)束語

基于GNS3仿真軟件能夠幫助我們實(shí)現(xiàn)PIX防火墻的實(shí)驗(yàn)教學(xué)設(shè)計，既能夠節(jié)約了實(shí)驗(yàn)成本，又能提高了學(xué)生的實(shí)驗(yàn)效率。培養(yǎng)了學(xué)生網(wǎng)絡(luò)分析、設(shè)計、組建、運(yùn)行和維護(hù)網(wǎng)絡(luò)工程的技能，有利于學(xué)生實(shí)踐能力和創(chuàng)造能力的提高，值得推廣。

參考文獻(xiàn)：

[1] 唐燈平.基于Packet Tracer的訪問控制列表實(shí)驗(yàn)教學(xué)設(shè)計[J].長沙通信職業(yè)技術(shù)學(xué)院學(xué)報，2011（3）：52.

[2] 林玉梅.防火墻技術(shù)及其研究[J].軟件導(dǎo)刊，2012（9）：160.

[3] 李劍勇，謝正蘭.防火墻的分類及選用[J].計算機(jī)光盤軟件及選用，2011（18）：160.

[4] Greg B，Earl C.CCSP Cisco安全PIX防火墻CSPFA認(rèn)證考試指南[M].北京：人民郵電出版社，2005：28-30.

[5] 梁發(fā)洵.GNS3在網(wǎng)絡(luò)實(shí)驗(yàn)中的應(yīng)用[J].電腦與電信，2010（10）：45.

[6] 彭春燕，劉兵.GNS3在計算機(jī)網(wǎng)絡(luò)課程教學(xué)中的應(yīng)用[J].學(xué)理論，2010（20）：292.

[7] 北大青鳥信息技術(shù)有限公司.網(wǎng)絡(luò)安全高級應(yīng)用[M].北京：科學(xué)技術(shù)文獻(xiàn)出版社，2009：105-108.