徐洪峰

（長(zhǎng)沙民政職業(yè)技術(shù)學(xué)院軟件學(xué)院，長(zhǎng)沙 410004）

0 引言

隨著信息化的快速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日趨嚴(yán)重。國(guó)家網(wǎng)絡(luò)安全的維護(hù)，需要網(wǎng)絡(luò)安全人才的培養(yǎng)。中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室等六部門于2016年6月聯(lián)合發(fā)布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》（簡(jiǎn)稱《意見》）。《意見》指出，鼓勵(lì)高校開設(shè)網(wǎng)絡(luò)安全基礎(chǔ)公共課程，提倡非網(wǎng)絡(luò)安全專業(yè)學(xué)生學(xué)習(xí)掌握網(wǎng)絡(luò)安全知識(shí)和技能。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)的大學(xué)生，更要在專業(yè)教師的引導(dǎo)下，認(rèn)真學(xué)習(xí)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，努力掌握網(wǎng)絡(luò)安全實(shí)踐操作技能。

在真實(shí)的實(shí)驗(yàn)環(huán)境下進(jìn)行網(wǎng)絡(luò)安全學(xué)習(xí)的操作勢(shì)必耗費(fèi)大量資金，學(xué)校財(cái)政壓力較大，同時(shí)受機(jī)房環(huán)境的制約，學(xué)生學(xué)習(xí)不便。HCL（H3C cloud lab）即華三云實(shí)驗(yàn)室，也稱H3C模擬器，是新華三公司推出的一款圖形化界面的全真網(wǎng)絡(luò)模擬軟件。隨著新華三公司規(guī)模擴(kuò)大以及市場(chǎng)份額的提升，HCL軟件成為廣大學(xué)生和技術(shù)人員學(xué)習(xí)使用的重要工具。

本文使用HCL仿真軟件設(shè)計(jì)與實(shí)現(xiàn)一個(gè)基于ACL包過(guò)濾技術(shù)和NAT server技術(shù)的WEB服務(wù)器安全實(shí)驗(yàn)，引導(dǎo)學(xué)生學(xué)習(xí)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，提升學(xué)生動(dòng)手實(shí)踐能力。

1 相關(guān)技術(shù)介紹

1.1 ACL包過(guò)濾技術(shù)

ACL（Access Control Lists，訪問(wèn)控制列表）是最基本的網(wǎng)絡(luò)安全工具之一，它實(shí)際上是一組規(guī)則的集合，這組規(guī)則定義了怎樣處理流入或流出設(shè)備的報(bào)文。根據(jù)業(yè)務(wù)需要，網(wǎng)絡(luò)管理員可以在路由器、交換機(jī)等設(shè)備上針對(duì)報(bào)文的源IP地址、目的IP地址、協(xié)議、端口號(hào)，甚至源MAC地址和目的MAC進(jìn)行規(guī)則設(shè)置，以允許或拒絕報(bào)文通過(guò)。將配置好的規(guī)則應(yīng)用到設(shè)備的接口處，設(shè)備會(huì)對(duì)穿越該接口的報(bào)文進(jìn)行匹配分析，并按設(shè)置好的規(guī)則進(jìn)行處理。ACL包過(guò)濾技術(shù)通過(guò)控制數(shù)據(jù)流在網(wǎng)絡(luò)中的傳輸，保護(hù)敏感設(shè)備，防范未經(jīng)授權(quán)的訪問(wèn)。

新華三公司將ACL劃分為基本、高級(jí)、二層以及用戶自定義四種類型。對(duì)于基本ACL，規(guī)則只能針對(duì)報(bào)文的源IP地址設(shè)置；對(duì)于高級(jí)ACL，規(guī)則不僅可以針對(duì)報(bào)文的源IP地址、目的IP地址等三層信息，還可以針對(duì)端口號(hào)等四層信息進(jìn)行設(shè)置；對(duì)于二層ACL，規(guī)則可以針對(duì)報(bào)文的源MAC地址、目的MAC地址等二層信息進(jìn)行設(shè)置。在本實(shí)驗(yàn)中，ACL包過(guò)濾技術(shù)用到的是高級(jí)ACL。

1.2 NAT ser ver技術(shù)

NAT（network address translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP地址從一個(gè)地址域映射到另一個(gè)地址域的方法，為終端設(shè)備提供透明的傳輸。通過(guò)NAT的作用，一方面可以節(jié)約公網(wǎng)地址，另一方面可以隱藏私網(wǎng)地址。NAT的轉(zhuǎn)換方式可以分為靜態(tài)、動(dòng)態(tài)和內(nèi)部服務(wù)器三種。NAT server技術(shù)就是NAT內(nèi)部服務(wù)器技術(shù)，它可以隱藏私網(wǎng)內(nèi)部服務(wù)器的IP地址，確保網(wǎng)站服務(wù)器的安全。

使用NAT server技術(shù)，可以將部署在組織內(nèi)部的服務(wù)器的私網(wǎng)IP地址轉(zhuǎn)換成公網(wǎng)IP地址，從而為組織外部網(wǎng)絡(luò)的用戶提供服務(wù)。外部用戶在接受服務(wù)的過(guò)程中，并不知道服務(wù)器位于私網(wǎng)內(nèi)部，更不知道服務(wù)器的真實(shí)IP地址。NAT server技術(shù)通過(guò)隱藏服務(wù)器的真實(shí)IP地址和所處位置，避免服務(wù)器遭到來(lái)自網(wǎng)絡(luò)外部的惡意攻擊。

2 仿真實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)設(shè)計(jì)

為了綜合運(yùn)用ACL包過(guò)濾技術(shù)和NATserver技術(shù)，提出如下網(wǎng)絡(luò)需求：A公司內(nèi)部部署一臺(tái)WEB服務(wù)器，該服務(wù)器僅為公司網(wǎng)內(nèi)員工以及位于網(wǎng)外的B公司員工提供服務(wù)，禁止其他人員訪問(wèn)。

根據(jù)網(wǎng)絡(luò)需求設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示。圖1中，“SERVER”是WEB服務(wù)器，安裝在A公司私網(wǎng)內(nèi)部，“PC1”和“PC2”分別是B公司和C公司的終端，“Internet”用于模擬互聯(lián)網(wǎng)，“NAT”、“RT1”和“RT2”分別是A公司、B公司和C公司的出口路由器，“SW0”、“SW1”和“SW2”分別是A公司、B公司和C公司的接入交換機(jī)。一方面，“SERVER”為公司內(nèi)網(wǎng)員工開放WEB服務(wù)；另一方面，通過(guò)在“NAT”配置NAT server技術(shù)為外網(wǎng)用戶提供服務(wù)，但同時(shí)在“NAT”部署ACL包過(guò)濾技術(shù)禁止B公司以外的員工訪問(wèn)。

2.2 實(shí)驗(yàn)條件

防火墻擔(dān)當(dāng)服務(wù)器，宿主機(jī)測(cè)試業(yè)務(wù)。HCL仿真軟件沒(méi)有專門用于提供WEB業(yè)務(wù)的服務(wù)器，也沒(méi)有具備瀏覽器功能的主機(jī)，需要使用其它設(shè)備代替。HCL仿真軟件中的防火墻實(shí)現(xiàn)了真實(shí)設(shè)備F1060的功能，具有WEB管理功能，開放了“80”和“443”端口，啟用了http和https服務(wù)，可以用于模擬WEB服務(wù)器。此外，HCL仿真軟件中“Host”終端其實(shí)是本地主機(jī)，也就是HCL軟件安裝和運(yùn)行的宿主機(jī)。HCL安裝時(shí)，會(huì)通過(guò)“Oracle VM VirtualBox”軟件在宿主機(jī)上創(chuàng)建一張?zhí)摂M網(wǎng)卡，這張?zhí)摂M網(wǎng)卡也是HCL工作臺(tái)中“Host”終端的網(wǎng)卡，將“Host”終端接入虛擬網(wǎng)絡(luò)，實(shí)際上是將宿主機(jī)接入到虛擬網(wǎng)絡(luò)，自然可以使用宿主機(jī)上的瀏覽器訪問(wèn)虛擬網(wǎng)絡(luò)中的WEB服務(wù)器。因此，圖1中的“SERVER”設(shè)備用防火墻模擬，“PC1”和“PC2”是“Host”終端，也就是宿主機(jī)。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

2.3 IP地址及接口規(guī)劃

實(shí)驗(yàn)共規(guī)劃六個(gè)IP地址段，其中私網(wǎng)IP地址段三個(gè)，用于三個(gè)公司網(wǎng)絡(luò)終端使用；公網(wǎng)IP地址段三個(gè)，用于路由器互聯(lián)使用，具體如表1所示。

表1 IP地址規(guī)劃表

各設(shè)備互聯(lián)接口規(guī)劃及IP地址分配如表2所示。其中“SERVER”服務(wù)器使用地址“192.168.1.10”，“PC1”服務(wù)器使用地址“172.31.2.10”，“PC2”服務(wù)器使用地址“10.10.3.10”。

表2 設(shè)備互聯(lián)接口及IP地址表

“NIC:VirtualBox Host-Only Network#6”是HCL安裝時(shí)生成的虛擬網(wǎng)卡，“NIC:VirtualBox Host-Only Network#7”是根據(jù)實(shí)驗(yàn)需要，手動(dòng)使用“Oracle VM VirtualBox”軟件創(chuàng)建而成?！?6”和“#7”分別代表宿主機(jī)上第6塊和第7塊網(wǎng)卡。

2.4 數(shù)據(jù)配置

2.4.1 IP地址等基本配置。

根據(jù)設(shè)備互聯(lián)接口及IP地址表，在各設(shè)備上配置相應(yīng)的IP地址、默認(rèn)路由等。

（1）“Internet”設(shè)備配置。與“NAT”互聯(lián)的接口Ser_1/0上配置IP地址“111.168.1.1”；在與“RT1”相連的接口Ser_2/0上配置IP地址“112.31.2.1”；在與“RT2”相連的接口Ser_3/0上配置IP地址“113.10.3.1”，掩碼長(zhǎng)度都為24位。

（2）“NAT”設(shè)備配置。在與“Internet”相連的接口Ser_1/0上配置IP地址“111.168.1.2”，與“SW0”互聯(lián)的接口GE0/0上配置IP地址“192.168.1.1”，掩碼長(zhǎng)度都為24位，同時(shí)配置默認(rèn)路由。

（3）“RT1”設(shè)備配置。在與“Internet”相連的接口Ser_1/0上配置IP地址“112.31.2.2”，與“SW1”相連的接口GE0/0上配置IP地址“172.31.2.1”，掩碼長(zhǎng)度都為24位，同時(shí)配置默認(rèn)路由。

（4）“RT2”設(shè)備配置。在與“Internet”相連的接口Ser_1/0上配置IP地址“113.10.3.2”，與“SW2”相連的接口GE0/0上配置IP地址“10.10.3.1”，掩碼長(zhǎng)度都為24位，同時(shí)配置默認(rèn)路由。

（5）“SERVER”設(shè)備配置。SERVER”設(shè)備是一臺(tái)防火墻，在與“SW0”相連的接口G1/0/0上配置IP地址“192.168.1.10”，掩碼長(zhǎng)度為24位，同時(shí)配置默認(rèn)路由。

2.4.2 安全域及策略配置

實(shí)驗(yàn)中，“SERVER”是一臺(tái)防火墻，需對(duì)安全域、安全策略及規(guī)則進(jìn)行配置，確保報(bào)文正常轉(zhuǎn)發(fā)。將與“SW0”相連的接口G1/0/0加入“Trust”域，創(chuàng)建編號(hào)為“0”、名稱為“trust-local”的安全策略規(guī)則，配置“action pass”命令允許流量通過(guò)。

2.4.3 靜態(tài)NAT配置

分別在“RT1”和“RT2”設(shè)備中創(chuàng)建編號(hào)為“2000”的基本訪問(wèn)控制列表，允許B公司和C公司內(nèi)網(wǎng)私有地址段為源的流量通過(guò)，并分別在接口Serial1/0進(jìn)行源地址轉(zhuǎn)換。

2.4.4 NAT server配置

在“NAT”設(shè)備外網(wǎng)側(cè)接口Ser_1/0上部署NAT server技術(shù)。將與Ser_1/0接口地址處于同一網(wǎng)段的公網(wǎng)地址“111.168.1.100”和端口號(hào)“1234”映射到“SERVER”服務(wù)器的真實(shí)私網(wǎng)地址“192.168.1.10”和端口號(hào)“443”上。

［NAT-Serial1/0］nat server protocol tcp global 111.168.1.100 1234 inside 192.168.1.10 443

2.4.5 ACL配置

在“NAT”設(shè)備上創(chuàng)建編號(hào)為“3000”的高級(jí)訪問(wèn)控制列表，允許源地址為“112.31.2.2”且目的地址為“111.168.1.100”、目的端口號(hào)為“1234”的數(shù)據(jù)包通過(guò)，阻止其它任何源地址且目的地址為“111.168.1.100”、目的端口號(hào)為“1234”的數(shù)據(jù)通過(guò)。在“NAT”設(shè)備的Ser_1/0接口入方向上應(yīng)用該ACL。

3 實(shí)驗(yàn)結(jié)果驗(yàn)證

3.1 B公司終端訪問(wèn)“SERVER”服務(wù)器

B公司訪問(wèn)公網(wǎng)是通過(guò)出口路由器“RT1”將私網(wǎng)地址轉(zhuǎn)換為接口Ser_1/0的公網(wǎng)地址“112.31.2.2”實(shí)現(xiàn)的。在PC1，也就是宿主機(jī)的虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#6”配置私網(wǎng)IP地址“172.31.2.10”以及相應(yīng)的掩碼和網(wǎng)關(guān)。為避免沖突，禁用虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#7”。打開宿主機(jī)的瀏覽器，并在地址欄中輸入“https://111.168.1.100:1234”進(jìn)行測(cè)試，能正常訪問(wèn)“SERVER”服務(wù)器，如圖2所示，證明NAT server技術(shù)部署成功。

圖2 B公司用戶可正常訪問(wèn)“SERVER”服務(wù)器

3.2 其它外網(wǎng)終端訪問(wèn)“SERVER”服務(wù)器

在PC2，也就是宿主機(jī)的虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#7”配置IP地址“10.10.3.10”以及相應(yīng)的掩碼和網(wǎng)關(guān)，并禁用虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#6”，模擬C公司（B公司以外）的外網(wǎng)用戶測(cè)試，不能訪問(wèn)“SERVER”服務(wù)器，如圖3所示，證明ACL包過(guò)濾技術(shù)部署成功。

圖3 C公司用戶不能訪問(wèn)“SERVER”服務(wù)器

4 結(jié)語(yǔ)

習(xí)總書記曾說(shuō)，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。當(dāng)前網(wǎng)絡(luò)與信息安全問(wèn)題突出，人人都需要增強(qiáng)意識(shí)、提高警惕，尤其在網(wǎng)絡(luò)相關(guān)課程教學(xué)過(guò)程中，要引導(dǎo)學(xué)生時(shí)時(shí)處處注意網(wǎng)絡(luò)與信息安全。本文采用ACL包過(guò)濾技術(shù)和NAT server技術(shù)，在HCL仿真軟件中完成內(nèi)網(wǎng)服務(wù)器實(shí)驗(yàn)的搭建與部署。從實(shí)驗(yàn)結(jié)果來(lái)看，采用NATserver技術(shù)，內(nèi)網(wǎng)服務(wù)器能通過(guò)公網(wǎng)地址為外網(wǎng)用戶提供正常的服務(wù)，且隱藏了內(nèi)部服務(wù)器的真實(shí)信息，而采用ACL包過(guò)濾技術(shù)可以阻止不可信的數(shù)據(jù)包訪問(wèn)，確保了服務(wù)器的安全。實(shí)驗(yàn)清晰直觀，對(duì)學(xué)生的實(shí)踐有很好的指導(dǎo)作用。