基 于 eNSP 的 防 火 墻 仿 真 實 驗

孟 祥 成

(三江學院 計算機科學與工程學院，江蘇 南京 210012)

?

基 于 eNSP 的 防 火 墻 仿 真 實 驗

孟 祥 成

(三江學院 計算機科學與工程學院，江蘇 南京 210012)

介紹了防火墻的原理和工作模式，從防火墻教學實驗出發，以工程案例為引導，設計教學實驗目的、拓撲結構、實驗環境。利用 eNSP軟件仿真防火墻技術實驗，實驗給出了詳細的設計方法、拓撲結構、配置過程和配置命令，并對實驗結果進行驗證和分析。實驗證明，通過防火墻仿真實驗的設計和驗證，學生能夠更好地了解網絡設備與加深鞏固理論教學的內容，該仿真實驗方法在計算機網絡實踐課程的實驗教學中取得了良好的效果。

eNSP； 仿真； 防火墻

0 引 言

隨著“互聯網+”越來越火熱，互聯網作用又上升了一個層次，網絡安全越來越受到重視，防火墻在互聯網中的安全作用不言而喻。而現實中由于防火墻教學設備缺乏或因設備昂貴無財力購買，影響了實驗教學[1]。筆者設計的防火墻仿真實驗案例，能夠很好地仿真防火墻技術，達到和現實中真實設備一樣的效果。

1 防火墻的基本原理和工作模式

1.1 防火墻的基本原理

防火墻技術作為一種隔離內部安全網絡與外部不信任網絡的防御技術，已經成為計算機網絡安全體系結構中的一個重要組成部分。所謂的防火墻指的是一個由軟件與硬件設備組合而成、在內部網與外部網之間、專用網與公共網之間的界面上構造的保護隔離屏障，是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關(Security Gateway)，從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻[2]。

1.2 防火墻工作模式

防火墻工作模式主要有3種：路由模式、透明模式和混合模式。

路由模式是指設備接口具有IP地址，通過3層與外連接；透明模式是指設備接口沒有IP地址，通過2層對外連接；混合模式是指設備接口既有工作在路由模式的接口，又有工作在透明模式的接口。

2 eNSP仿真軟件

eNSP(Enterprise Network Simulation Platform)是一款由華為提供的免費的、可擴展的、圖形化的網絡設備仿真平臺，主要對企業網路由器、交換機、WLAN等設備進行軟件仿真，完美呈現真實設備部署實景，支持大型網絡模擬，可以在沒有真實設備的情況下也能夠開展實驗測試，學習網絡技術。目前最新版華為模擬器為eNSP v1.2.00.360。

3 實驗設計分析

3.1 實驗目的

實驗的目的為：①了解防火墻基本原理；②理解防火墻工作模式；③掌握防火墻配置過程；④掌握eNSP使用方法。

3.2 具體實訓項目及指導思想

以工程案例為指導思想，以企業真實的工程項目為依據，將現實中的工程項目分解成多個子項目逐步完成，最終將實際任務搭建成實驗室的具體實驗項目來完成[3]。南京某IT公司因業務需要，在另一個城市昆山建立了子公司，現在要求子公司研發小組能夠通過Internet把子公司關鍵業務機密數據安全地傳給總公司。要求子公司可以訪問總公司的Web服務器、FTP服務器、Telnet服務器。總公司通過防火墻連接Internet，子公司通過路由器連接到Internet。使用防火墻技術解決這個問題，采取的主要實驗步驟為：①需求分析；②拓撲結構設計；③實驗環境的配置；④具體實驗步驟；⑤實驗結果驗證。

3.3 網絡拓撲結構仿真設計

在eNSP工作區繪制網絡拓撲結構仿真圖，如圖1所示。

圖1 網絡拓補結構圖

3.4 實驗環境配置

(1) 設備選擇。在進行仿真實驗時，選擇設備防火墻USG5500 1臺，為FW1，作為總公司連接外網Internet接入設備；路由器AR2220 5臺，分別為AR1～AR5，其作用分別是：模擬Telnet服務器、模擬Internet網絡、子公司連接Internet接入設備、模擬子公司Telnet客戶端、模擬Internet外網Telnet客戶端；服務器Server 2臺，分別為CLIENT1、CLIENT2，其中1臺作為Web Server，另外1臺作為FTP Server；PC模擬器3臺，分別為CLIENT3、CLIENT4、CLIENT5，CLIENT3作為公司南京總部內網普通PC機，CLIENT4作為昆山子公司PC客戶端訪問Web Server和FTP Server，CLIENT5作為外網PC客戶端測試服務器；交換機S3700 3臺，為LSW1、LSW2、LSW3，分別為總公司內部組網設備、子公司組網設備、外網設備。

(2) 設備互連。設備端口互連情況，如圖1所示。

(3) IP地址規劃。為了達到逼真接近現實環境的效果，首先要規劃一下IP地址。將南京總部與昆山子公司各自內部主機地址都設置為私有的IP地址，南京總部為192.168.1.0/24，昆山子公司為192.168.2.0/24。將南京總部與外網Internet相連部分的網段設置為202.101.12.0/24，昆山子公司與外網Internet相連部分的網段設置為202.101.10.0/24，外網Internet所包含網段為202.101.15.0/24。

4 網絡組建

4.1 總公司網絡組建

對總公司防火墻、服務器端設備配置，可以組建一個總公司局域網，主要分為以下幾個步驟：

4.1.1 Web Server與FTP Server終端設備IP地址配置

雙擊CLIENT1，在基礎配置窗口中將Web Server IP地址設置為192.168.1.80，子網掩碼為255.255.255.0，網關設置為192.168.1.1，如圖2所示。CLIENT2，作為FTP服務器， IP地址設置方法與CLIENT1地址設置方法相同，設置為192.168.1.21，子網掩碼為255.255.255.0，網關設置為192.168.1.1。CLIENT3，作為總公司內網普通主機，采取DHCP自動分配獲得IP地址。

圖2 Web服務器IP地址配置

4.1.2 Telnet服務器配置

配置Telnet服務器接口與遠程登錄方式，雙擊路由器AR1，在彈出窗口輸入命令配置Telnet Server，主要命令如下：

〈Huawei〉system-view //進入系統視圖界面

[Huawei]sysname AR1 //修改設備名稱為AR1

[AR1]interface GigabitEthernet 0/0/0 //進入接口GE0/0/0

[AR1-GigabitEthernet0/0/0]ip address 192.168.1.23 24 //配置IP地址與子網掩碼

[AR1-GigabitEthernet0/0/0]quit //退出接口界面

[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 //定義默認路由，實現網絡連通

[AR1]user-interface vty 0 4 //為AR1配置登錄方式為密碼驗證登錄

[AR1-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):tel123 //設置密碼為tel123

4.1.3 防火墻FW1的配置

(1) 采取路由模式配置防火墻內網與外網的接口，并加入到相應的zone，內網開啟DHCP。雙擊防火墻FW1，在彈出窗口輸入命令配置FW1，主要命令如下：

〈SRG〉system-view //進入系統視圖界面

[SRG]sysname FW1 //修改設備名稱

[FW1]interface GigabitEthernet 0/0/0 //進入接口GE0/0/0

[FW1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 //配置IP地址與子網掩碼

[FW1-GigabitEthernet0/0/0]dhcp select interface //關聯接口

[FW1-GigabitEthernet0/0/0]dhcp server gateway-list 192.168.1.1 //配置客戶端網關

[FW1-GigabitEthernet0/0/0]quit //退出接口界面

[FW1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2 //添加默認路由

[FW1]firewall zone trust //進入trust安全區域視圖

[FW1-zone-trust]add interface GigabitEthernet0/0/0 //將接口加入到trust區域

[FW1-zone-trust]quit //退出

[FW1]firewall zone untrust //進入untrust安全區域視圖

[FW1-zone-untrust]add interface GigabitEthernet0/0/1 //將接口加入到untrust區域

[FW1-zone-untrust]quit //退出

(2) 配置完成后，內網PC可以獲得地址，防火墻可以ping外網設備的地址，但是外網設備沒法進行ping防火墻，所以放行untrust到local的inbound的策略里面的icmp和telnet，配置如下：

[FW1]policy interzone local untrust inbound

[FW1-policy-interzone-local-untrust-inbound]policy 1

[FW1-policy-interzone-local-untrust-inbound-1]action permit

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set icmp

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set telnet

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set ftp

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set http

(3) 開啟trust到untrust的默認行為允許。

[FW1]firewall packet-filter default permit interzone trust untrust direction outbound

(4) 開啟防火墻的NAT，允許內網訪問外網的NAT策略。

[FW1]nat address-group 1 202.101.12.1 202.101.12.1 //創建NAT地址池

[FW1]nat-policy interzone trust untrust outbound //配置trust到untrust的NAT Outbound規則

[FW1-nat-policy-interzone-trust-untrust-outbound]policy 1

[FW1-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

[FW1-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.0 mask 24

[FW1-nat-policy-interzone-trust-untrust-outbound-1]address-group 1

(5) 設置允許外網訪問telnet Server、FTP Server、Web Server，telnet使用端口號為2323，其它服務器選擇默認端口。先做NAT，再匹配策略。

[FW1]nat server 0 protocol tcp global interface GigabitEthernet0/0/1 2323 inside 192.168.1.23 telnet //配置NAT Server telnet規則

[FW1]nat server 1 protocol tcp global interface GigabitEthernet0/0/1 ftp inside 192.168.1.21 ftp //配置NAT Server FTP規則

[FW1]nat server 2 protocol tcp global 202.101.12.1 www inside 192.168.1.80 www //配置NAT Server http規則

[FW1]policy interzone trust untrust inbound //配置trust到untrust的NAT Inbound規則

[FW1-policy-interzone-trust-untrust-inbound]policy 1

[FW1-policy-interzone-trust-untrust-inbound-1]action permit

[FW1-policy-interzone-trust-untrust-inbound-1]policy service service-set telnet

[FW1-policy-interzone-trust-untrust-inbound-1]policy service service-set ftp

[FW1-policy-interzone-trust-untrust-inbound-1]policy service service-set http

[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.23 0

[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.21 0

[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.80 0

4.2 子公司網絡組建

對子公司路由器、客戶端設備配置，可以組建一個子公司小型局域網，主要分為3步，配置步驟如下：

(1) 路由器AR3配置。配置子公司路由器AR3連接內網的接口，并配置Easy-IP地址轉換，雙擊路由器AR3，在彈出窗口輸入命令，主要配置命令如下：

〈Huawei〉system-view //進入系統視圖界面

[Huawei]sysname AR3 //修改設備名稱為AR3

[AR3]interface GigabitEthernet 0/0/1 //進入接口GE0/0/1

[AR3-GigabitEthernet0/0/1]ip address 192.168.2.1 24 //配置IP地址與子網掩碼

[AR3-GigabitEthernet0/0/1]quit //退出接口界面

[AR3]interface GigabitEthernet 0/0/2 //進入接口GE0/0/2

[AR3-GigabitEthernet0/0/2]ip address 202.101.10.2 24 //配置IP地址與子網掩碼

[AR3]ip route-static 0.0.0.0 0 202.101.10.1 //添加默認路由

[AR3]acl 2001 //定義ACL 2001

[AR3-acl-basic-2001]rule 5 permit source 192.168.2.0 0.0.0.255 //定義規則源地址

[AR3-acl-basic-2001]quit //退出

[AR3]interface GigabitEthernet0/0/2 //進入接口G0/0/2

[AR3-GigabitEthernet0/0/2]nat outbound 2001 //對ACL 2001定義的地址段進行地址轉換，并且直接使用G0/0/2接口的IP地址作為NAT轉換后的地址

(2) Telnet客戶端配置。雙擊路由器AR4，在彈出窗口輸入命令配置Telnet 客戶端，主要命令如下：

〈Huawei〉system-view //進入系統視圖界面

[Huawei]sysname AR4 //修改設備名稱為AR4

[AR4]interface GigabitEthernet 0/0/2 //進入接口GE0/0/2

[AR4-GigabitEthernet0/0/1]ip address 192.168.2.3 24 //配置IP地址與子網掩碼

[AR4-GigabitEthernet0/0/1]quit //退出接口界面

[AR4]ip route-static 0.0.0.0 0.0.0.0 192.168.3.1 //定義默認路由，實現網絡連通

(3) FTP、Web客戶端配置。雙擊CLIENT4，在基礎配置窗口中將IP地址設置為192.168.2.2，子網掩碼為255.255.255.0，網關設置為192.168.2.1，與 Web服務器IP地址配置方法相同，可參照圖2。

4.3 外網Internet配置

(1) 路由器AR2配置。配置路由器AR2接口，并運行rip協議關聯網絡。

〈Huawei〉system-view //進入系統視圖界面

[Huawei]sysname AR2 //修改設備名稱為AR4

[AR2]interface GigabitEthernet 0/0/1 //進入接口GE0/0/1

[AR2-GigabitEthernet0/0/1]ip address 202.101.12.2 24 //配置IP地址與子網掩碼

[AR2-GigabitEthernet0/0/1]quit //退出接口界面

[AR2]interface GigabitEthernet 0/0/2 //進入接口GE0/0/2

[AR2-GigabitEthernet0/0/2]ip address 202.101.10.1 24 //配置IP地址與子網掩碼

[AR2-GigabitEthernet0/0/2]quit //退出接口界面

[AR2]interface GigabitEthernet 0/0/0 //進入接口GE0/0/0

[AR2-GigabitEthernet0/0/0]ip address 202.101.15.1 24 //配置IP地址與子網掩碼

[AR2-GigabitEthernet0/0/0]quit //退出接口界面

[AR2]rip //開啟rip進程

[AR2]version 2 //運行v2版本

[AR2-rip-1]network 202.101.12.0 //宣告網絡

[AR2-rip-1]network 202.101.10.0 //宣告網絡

[AR2-rip-1]network 202.101.15.0 //宣告網絡

(2) Internet Telnet客戶端配置。雙擊路由器AR5，在彈出窗口輸入命令配置外網Telnet 客戶端，主要命令如下：

〈Huawei〉system-view //進入系統視圖界面

[Huawei]sysname AR5 //修改設備名稱為AR5

[AR5]interface GigabitEthernet 0/0/2 //進入接口GE0/0/2

[AR5-GigabitEthernet0/0/2]ip address 202.101.15.3 24 //配置IP地址與子網掩碼

[AR5-GigabitEthernet0/0/2]quit //退出接口界面

[AR5]ip route-static 0.0.0.0 0.0.0.0 202.101.15.1 //定義默認路由，實現網絡連通

(3) 外網FTP、Web客戶端配置。雙擊CLIENT5，在基礎配置窗口中將IP地址設置為202.101.15.2，子網掩碼為255.255.255.0，網關設置為202.101.15.1，與 Web服務器IP地址配置方法相同，可參照圖2。

4.4 防火墻策略配置

要實現子公司客戶端可以訪問總公司服務器，限制外網Internet客戶端訪問總公司服務器，還需在總公司防火墻做以下配置：

[FW1]policy interzone trust untrust inbound //配置trust到untrust的NAT Inbound規則

[FW1-policy-interzone-trust-untrust-inbound]policy 1

[FW1-policy-interzone-trust-untrust-inbound-1]policy source 202.101.10.2 0//添加策略，指定子公司網段地址可以訪問總公司服務器

5 實驗結果驗證

5.1 全網互通仿真實驗結果

通過上述4.1～4.3節實驗過程操作，可以實現子公司與總公司、外網Internet與總公司之間相互通信。通過驗證外網客戶端、子公司客戶端可以訪問總公司的Web服務器、FTP服務器、Telnet服務器。

5.2 仿真實驗最終結果

在全網互通的基礎上，總公司防火墻添加策略配置，見4.4節實驗過程操作，實現了外網Internet不能訪問總公司服務器，而子公司客戶端可以訪問總公司的Web服務器、FTP服務器、Telnet服務器。雙擊子公司Telnet客戶端AR4，輸入“telnet 202.101.12.1 2323”，回車，提示輸入密碼，輸入Telnet服務器遠程登錄密碼“tel123”，即成功登錄Telnet服務器AR1，見圖3所示。而在外網客戶端AR5中輸入“telnet 202.101.12.1 2323”，則提示不能訪問Telnet服務器。

圖3 子公司客戶端成功登錄Telnet服務器

開啟總公司FTP、Web服務器，在子公司客戶端訪問FTP服務器和Web服務器，顯示可以登錄訪問。而在外網Internet客戶端訪問總公司服務器，則顯示不能訪問。

6 結 語

筆者所設計的防火墻仿真虛擬實驗，以工程案例為背景，逼真地模擬了現實環境，讓學生可以完成實際工程項目積累真實的經驗，既達到了教學的目的，又能降低設備財力投入。

[1] 唐燈平，朱艷琴，楊 哲.計算機網絡管理仿真平臺防火墻實驗設計[J].實驗技術與管理，2015(4):156-160.

[2] 孟祥豐，白永祥著. 計算機網絡安全技術研究[M].北京：北京理工大學出版社，2013.10.

[3] 唐燈平. 基于PacketTracer的GRE隧道配置實驗教學設計[J].實驗室研究與探索， 2010(11):378-381.

[4] 范 君，高成強. 基于Packet Tracer的幀中繼實驗設計與分析[J].實驗室研究與探索，2012(4):208-212.

[5] 曹騰飛，孟永偉，黃建強. 西部高校計算機網絡實驗[J].實驗室研究與探索， 2014(4):129-131.

[6] 龍艷軍，歐陽建權，俞佳曦.基于GNS3和VMware的虛擬網絡系統集成實驗室研究[J].實驗技術與管理，2013(2):90-93.

[7] 薛 琴.基于Packet Tracer的計算機網絡仿真實驗教學[J].實驗室研究與探索， 2010(2):57-59.

[8] 田安紅，付承彪.NAT原理實驗在仿真器中的設計與實現[J].實驗技術與管理， 2013(2):135-138.

[9] 姜恩華.基于Packet Tracer軟件的防火墻技術實驗教學設計[J].通化師范學院學報，2013(8):45-47.

[10] 張 磊.安全網絡構建中防火墻技術的研究與應用[D].濟南：山東大學，2009.

[11] 姜恩華，竇德召. Packet Tracer軟件在無線網絡技術實驗教學中的應用[J].實驗技術與管理，2011(10):88-91.

[12] 鄒 航，李 梁.整合ACL和NAT的網絡安全實驗設計[J] .實驗室研究與探索，2011(4):61-65.

[13] 唐燈平. 構建安全的虛擬專用網環境技術[J] .實驗科學與技術，2011(3):49-50.

[14] 唐燈平. 基于Packet Tracer的IPv6靜態路由實驗教學設計[J] .實驗科學與技術，2011(3):49-50.

[15] 周 敏，龔 箭. “計算機網絡安全”實驗教學研究[J].實驗技術與管理，2011(9):145-148.

[16] 肖宇峰，沈 軍. 電信運營商防火墻測試技術的研究與應用[J].電信技術, 2013(10):9-13.

[17] 唐燈平.利用Packet Tracer模擬組建大型單核心網絡的研究[J].實驗室研究與探索， 2011(1):186-189.

Firewall Simulation Experiment Based on eNSP

MENGXiang-cheng

(Sanjiang College Department of Computer Science and Technology, Nanjing 210012, China)

The article introduced the principle and working mode of firewall from the point of the view of the firewall experimental teaching. The article used the case of engineering as the guide, and discussed the design of teaching experimental purposes, experimental topology and experimental environment. It used the ENSP as simulation software to design topology and configure experiment，it first introduced the teaching environment of simulation laboratory，then discusseds and provided the detailed design procedures and configuration commands. It also testified and analyzed the experimental results．Experiments show that students can learn about the network devices，and also console the theory teaching content better through the specific design and test of firewall simulation experiments; at last the method has gained favorable effect in the experimental teaching of computer network practice course．

eNSP; simulation; firewall

2015-09-22

孟祥成(1981-)，男，江蘇灌南人，碩士，實驗師，研究方向計算機網絡技術。Tel.:15345185087;E-mail:mxiang5087@qq.com

TP 393

A

1006-7167(2016)04-0095-06