基于GNS3+VMware虛擬實驗室的仿真ASA防火墻實驗的設計與實現

◆周 俊

(四川省人事人才考試測評基地 四川 610000)

基于GNS3+VMware虛擬實驗室的仿真ASA防火墻實驗的設計與實現

◆周 俊

(四川省人事人才考試測評基地 四川 610000)

隨著計算機網絡技術的發展,網絡安全備受關注，人們對網絡技術的研究也越來越深入， 因此，安全保密工作成為網絡建設中的關鍵技術，防火墻技術就是其中重要的一環。鑒于防火墻在網絡中的逐步部署的情況，對于網絡工程師而言，掌握防火墻的配置技術是很重要的。本文介紹了ASA防火墻的技術，探討了在缺乏網絡設備的情況下采用模擬軟件GNS3 開展ASA防火墻配置的技術實驗，詳細介紹了如何利用GNS3 軟件仿真ASA防火墻的技術。該仿真實驗解決了人們引入的網絡仿真技術和虛擬化技術。本文通過研究網絡仿真和虛擬化結合，搭建了一個典型的網絡環境，從而驗證了搭建基于GNS3＋VMware的仿真網絡安全實驗室的可行性。關鍵詞：GNS3軟件；VMware；網絡安全；ASA防火墻；網絡仿真；虛擬化

0 引言

伴隨著互聯網的高速發展，大數據時代已經來臨，在互聯網帶來了前所未有的海量信息的同時，網絡安全變得日益重要起來，由于網絡互聯形式多樣性、終端分布的不均勻、網絡的開放性和網絡資源的共享性等因素，致使互聯網容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊，所以網絡安全方面的問題成為了網絡工程師最頭痛的問題。應用防火墻技術維護網絡安全勢在必行，防火墻是網絡安全中的核心設備, 防火墻的配置實驗是學習防火墻技術不可或缺的重要環節。目前由于網絡安全設備造價高，一般工程師無法接觸到高端設備，在防火墻設備缺乏或更新遲滯等限制條件下, 如何開展防火墻技術仿真實驗是個值得研究的問題。本文通過在網絡安全設備配置的實際探索, 發現可以借助軟件構建防火墻仿真配置平臺, 幫助工程師在此平臺上完成設計、組建、管理網絡的這個過程, 提高了效率, 降低了成本, 保證了虛擬實驗室的質量。本設計就是基于軟件模擬出防火墻設備,滿足防火墻技術實驗的要求。

1 構建虛擬網絡系統集成實驗室相關軟件

1.1 圖形化網絡設備仿真軟件GNS3

GNS3是一種可以仿真復雜網絡的圖形化網絡模擬器。VMware或Virtual PC等軟件可以仿真不同操作系統。利用這些軟件，可以在自己計算機的虛擬環境中運行諸如Windows、Linux等操作系統。GNS3允許在計算機中運行 Cisco的 IOS(Internet Operating Systems)。GNS3其實是Dynagen的圖形化前端環境工具軟件，而Dynamips是仿真IOS的核心程序。Dynagen運行在Dynamips之上，目的是提供更友好的、基于文本的用戶界面。用戶利用Dynagen可以創建類似于Windows的ini類型文件所描述的網絡拓撲，GNS3是這一步工作的圖形化 GNS3允許在Windows、Linux系統上仿真IOSs，其支持的路由器平臺、防火墻平臺(ASA)的類型非常豐富。通過在路由器插槽中配置上EtherSwitch卡，也可以仿真該卡所支持的交換機平臺。當前市面上有不同類型的多種路由器模擬器，但他們支持的路由器命令較少，在進行相關實驗時常常發現這些模擬器不支持某些命令或參數。用戶使用這些模擬器通常只能看到所模擬路由器的輸出結果。在GNS3中，所運行的是實際的IOS，能夠使用IOS所支持的所有命令和參數。另外，GNS3是一種開源軟件，不用付費就可使用。GNS3可以用于虛擬體驗Cisco網際操作系統IOS或者是檢驗將要在真實的路由器上部署實施的相關配置。

1.2 VMware的簡介

VMware 虛擬機是一個在Windows或Linux計算機上運行的應用程序，它可以模擬一個基于x86的標準PC環境。每臺PC可以運行單獨的操作系統而互不干擾，可以實現一臺電腦“同時”運行幾個操作系統，還可以將這幾個操作系統連成一個網絡，或者通過橋接與電腦上的其他設備連接。這個環境和真實的計算機一樣，VMware可以讓一臺計算機實現一個局域網的功能，可大大節省硬件設備和物理空間，管理方便、安全性高，特別適合做計算機的教學、軟件開發和網絡安全等實驗。

1.3 網絡安全

網絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續性。

從本質上來講，網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性，使其不因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的問題，也有管理方面的問題。兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。

1.4 防火墻

防火墻是指設置在不同網絡或網絡安全域之間信息的唯一出入口,能根據網絡的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。

防火墻是網絡安全防護的屏障，配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設備組合而成的、處于企業或網絡群體計算機與外界通道之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限的設備。當一個網絡接上Internet之后，系統的安全除了考慮計算機病毒、系統的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。

通過使用防火墻可強化網絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息，再次防止內部信息的外泄。利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。防火墻技術分為三種：包過濾防火墻、代理服務器和狀態包過濾防火墻。

因此本實驗內容主要是學習ASA防火墻的相關配置實驗，為有效的利用實驗設備，讓工程師仿真實驗全過程，本實驗將由GNS3和VMware虛擬機配合完成。

2 仿真實驗的背景描述

2.1 網絡拓撲的設計

在安裝好的GNS3中配置好相應參數并添加相應型號的防火墻、路由器的IOS，并進行IDLE的計算，選擇好的IDLE的值即可，在此實驗中選擇防火墻是Cisco ASA5520，見圖1。

圖1 網絡拓撲圖

通過圖1中網絡拓撲結構設計搭建好實驗環境。

2.2 ASA的配置：

2.2.1 查看軟件版本

CiscoASAFW# show version

Cisco Adaptive Security Appliance Software Version 8.0(2) Device Manager Version 6.0(2)

2.2.2 接口配置

CiscoASAFW# show run

ASA Version 8.0(2)

hostnameCiscoASAFW

enable password 8Ry2YjIyt7RRXU24 encrypted

names

interface Ethernet0/0

nameif outside

security-level 0

ip address 222.112.113.1 255.255.255.0

interface Ethernet0/1

nameif inside

security-level 100

ip address 172.16.0.1 255.255.255.0

interface Ethernet0/2

nameifdmz

security-level 50

ip address 10.0.0.1 255.255.255.0

2.2.3 部分策略配置

access-listinside_access_in extended permit ip 172.16.0.0 255.255.255.0 222.112.113.0 255.255.255.0

access-listinside_access_in extended permit icmp 172.16.0.0 255.255.255.0 222.112.113.0 255.255.255.0

access-listinside_access_in extended permit tcp 172.16.0.0 255.255.255.0 222.112.113.0 255.255.255.0

access-listinside_access_in extended permit udp 172.16.0.0 255.255.255.0 222.112.113.0 255.255.255.0

global (outside) 1 222.112.113.10-222.112.113.20

global (dmz) 1 10.0.0.10-10.0.0.20

nat (inside) 1 0.0.0.0 0.0.0.0

nat (dmz) 1 0.0.0.0 0.0.0.0

static (dmz,outside) tcp 172.16.0.44 www 10.0.0.44 www netmask 255.255.255.255

static (dmz,outside) tcp 172.16.0.45 telnet 10.0.0.45 telnet netmask 255.255.255.255

static (dmz,outside) udp 172.16.0.46 tftp 10.0.0.46 tftp netmask 255.255.255.255

access-group outside-to-inside in interface outside

access-group inside-to-outside in interface inside

route outside 0.0.0.0 0.0.0.0 222.112.113.110 1

route inside 192.168.1.0 255.255.255.0 172.16.0.254 1

2.2.4 查看地址轉換

CiscoASAFW# show xlate

3 in use, 3 most used

Global 222.112.113.13 Local 10.0.0.254

Global 10.0.0.11 Local 172.16.0.254

Global 222.112.113.12 Local 172.16.0.254

3 實驗的運行與實驗效果驗證

從Inside區Router2路由器telnet Outside區的Router1路由器，見圖2。

圖2 實驗結果

從實驗結果可以得出，Inside區域可以telnet到Outside區域，既說明在GNS3模擬器上實現防火墻之間各安全區域之間的相互訪問，默認防火墻是禁止的。由此可以推斷，Cisco網絡設備工程師可以通過GNS3來模擬思科實驗室來仿真各種類似思科的實驗，通過該仿真虛擬實驗室的搭建能夠讓工程師真正了解思科網絡設備的配置以及和實際的網絡操作系統的互聯過程，達到很好的仿真實訓效果。

4 結束語

基于GNS3仿真軟件能夠幫助我們實現ASA防火墻實驗的實訓，既能節約實驗成本，又能提高工程師的實驗效率和實際動手能力，通過在真實IOS上仿真實訓，操作過程和真實環境完全相同，培養了工程師網絡分析、設計、組建、運行和維護網絡運維的技能，有利于專業工程師們實踐能力和創造能力的提高。一般的網絡設備仿真軟件不可能運行真實的 IOS以及不能實現和真實機器的通信問題，那也就不能將真實的網絡環境實驗效果體現出來。利用GNS3和VMware相結合，不但能加載真實的IOS，而且還能和Windows、Linux等操作系統通信，能將真實實驗效果體現出來。通過整合GNS3和VMware能夠搭建虛實結合的網絡安全技術實訓平臺。

[1]王麗娜，何軍，侯健敏等.基于 DynamipsGUI 的兩類路由協議仿真通信實驗[J].實驗室研究與探索，2010.

[2]顧春峰，李偉斌，蘭秀風.基于VMware,GNS3實現虛擬網絡實驗室[J].實驗室研究與探索，2012.

[3]李元元.基于GNS3軟件構建三網融合仿真實訓平臺[J].中國現代教育裝備，2012.

[4]奧多姆.CCNP ROUTE(642-902)認證考試指南[M].北京:人民郵電出版社，2010.

[5]王煜林，王金恒.使用GNS3模擬網絡實驗室[J].電腦編程技巧與維護，2010.

[6]梁發詢.GNS3在網絡實驗中的應用[J].電腦與電信，2010.

[7]彭春燕，劉兵.GNS3在計算機網絡課程教學中的應用[J].學理論，2010.