基于Packet Tracer的ASA防火墻實(shí)驗(yàn)設(shè)計(jì)

范君 蔡彬彬

摘要：防火墻實(shí)驗(yàn)是網(wǎng)絡(luò)課程中安全實(shí)驗(yàn)的一個(gè)重要組成部分，從防火墻安全實(shí)驗(yàn)教學(xué)出發(fā)，以項(xiàng)目化教學(xué)案例為引導(dǎo)，設(shè)計(jì)實(shí)驗(yàn)需求、實(shí)驗(yàn)拓?fù)洹?shí)驗(yàn)數(shù)據(jù)，使用PacketTracer仿真軟件給出實(shí)驗(yàn)拓?fù)湓O(shè)計(jì)與配置流程，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行驗(yàn)證與分析。應(yīng)用結(jié)果表明，該實(shí)驗(yàn)對(duì)學(xué)生提升的防火墻配置能力和協(xié)助教師教學(xué)開展取得良好效果。

關(guān)鍵詞：ASA;防火墻;Packet Tracer;實(shí)驗(yàn)設(shè)計(jì)

中圖分類號(hào)：TP391.9 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）32-0039-04

1概述

隨著互聯(lián)網(wǎng)應(yīng)用發(fā)展，對(duì)網(wǎng)絡(luò)工程安全的要求日益提高，防火墻已經(jīng)成為在網(wǎng)絡(luò)工程建設(shè)中必不可少的設(shè)備，防火墻實(shí)驗(yàn)也成為網(wǎng)絡(luò)技術(shù)課程中的重要實(shí)驗(yàn)內(nèi)容之一。較常規(guī)實(shí)驗(yàn)課而言，防火墻的實(shí)驗(yàn)教學(xué)有較大的難度，首先，防火墻技術(shù)需以路由與交換技術(shù)為基礎(chǔ)，防火墻的數(shù)據(jù)過濾機(jī)制和數(shù)據(jù)地址轉(zhuǎn)換機(jī)制復(fù)雜，理論學(xué)習(xí)難度較高;其次，防火墻硬件產(chǎn)品價(jià)格高于其他網(wǎng)絡(luò)產(chǎn)品，在學(xué)生實(shí)踐過程中難以實(shí)現(xiàn)每名學(xué)生獨(dú)立擁有物理防火墻實(shí)驗(yàn)條件，使得教學(xué)實(shí)踐難以大規(guī)模開展和深入。

目前，Packet Tracer仿真環(huán)境已實(shí)現(xiàn)ASA5505防火墻的仿真，該類仿真環(huán)境是對(duì)思科ASA防火墻硬件的仿真，此類仿真較CBAC路由器級(jí)的防火墻實(shí)驗(yàn)更接近真實(shí)的防火墻環(huán)境。因此設(shè)計(jì)基于ASA5505的仿真實(shí)驗(yàn)，作為防火墻教學(xué)實(shí)踐的課程載體，借助實(shí)際案例展示工程實(shí)施流程和步驟，幫助學(xué)生掌握防火墻原理和知識(shí)，并進(jìn)一步完善和深化學(xué)生在實(shí)驗(yàn)環(huán)節(jié)中配置防火墻的能力。

2實(shí)驗(yàn)背景

工學(xué)結(jié)合的計(jì)算機(jī)網(wǎng)絡(luò)工程的實(shí)驗(yàn)，應(yīng)源于工程實(shí)踐并適合實(shí)驗(yàn)類的教學(xué)開展。基于上述理念，實(shí)驗(yàn)設(shè)計(jì)以江蘇某物流企業(yè)的廣域網(wǎng)改造的項(xiàng)目作為實(shí)驗(yàn)設(shè)計(jì)的項(xiàng)目載體，根據(jù)企業(yè)的網(wǎng)絡(luò)安全實(shí)際規(guī)劃進(jìn)行教學(xué)過程中的ASA防火墻實(shí)驗(yàn)設(shè)計(jì)。該企業(yè)無錫總部通過ASA5520防火墻外聯(lián)至互聯(lián)網(wǎng)，徐州分支機(jī)構(gòu)則使用ASA5510防火墻外聯(lián)至互聯(lián)網(wǎng)，兩臺(tái)防火墻通過接入運(yùn)營(yíng)商ISP實(shí)現(xiàn)分支機(jī)構(gòu)訪問總部相關(guān)數(shù)據(jù)業(yè)務(wù)。

3實(shí)驗(yàn)設(shè)計(jì)

3.1拓?fù)湓O(shè)計(jì)

參考上述企業(yè)需求，實(shí)驗(yàn)拓?fù)湓O(shè)計(jì)如圖1所示，總部和分支機(jī)構(gòu)都使用ASA5500系列設(shè)備互聯(lián)至ISP運(yùn)營(yíng)商，總部的ASA防火墻按照業(yè)務(wù)流量，劃分為OutSide、InSide、DMZ三個(gè)不同的區(qū)域，其中OutSide區(qū)上聯(lián)至ISP，InSide下聯(lián)到內(nèi)網(wǎng)的3560交換機(jī)，DMZ側(cè)聯(lián)至對(duì)外業(yè)務(wù)的Web服務(wù)器用于提供外部訪問公司門戶網(wǎng)站。分支機(jī)構(gòu)的ASA防火墻按業(yè)務(wù)流量只劃分為OutSide、InSide兩個(gè)區(qū)域。實(shí)驗(yàn)拓?fù)鋱D如圖1所示。

3.2IP地址規(guī)劃

根據(jù)設(shè)計(jì)，將工程中涉及的設(shè)備互聯(lián)IP網(wǎng)段、終端設(shè)備業(yè)務(wù)網(wǎng)段IP進(jìn)行統(tǒng)一規(guī)劃嘲，網(wǎng)絡(luò)設(shè)備IP規(guī)劃如表1所示，終端設(shè)備IP地址規(guī)劃如表2所示。

3.3防火墻安全設(shè)計(jì)

防火墻所聯(lián)的各個(gè)網(wǎng)段對(duì)應(yīng)不同的安全區(qū)域，這些安全區(qū)域中設(shè)置為不同的安全級(jí)別。數(shù)據(jù)流量通過防火墻時(shí)，防火墻將根據(jù)流量的方向、流經(jīng)區(qū)域安全級(jí)別，應(yīng)用在端口上所設(shè)置的不同的安全策略對(duì)數(shù)據(jù)流量進(jìn)行過濾和限制，故防火墻的端口安全級(jí)別需要在設(shè)計(jì)之初就規(guī)劃好。基于上述思路，對(duì)于拓?fù)鋱D中防火墻的安全規(guī)劃如表3所示，其中端口安全級(jí)別的數(shù)值范圍為0-100，數(shù)值越大表示安全級(jí)別越高。

3.4實(shí)驗(yàn)仿真設(shè)計(jì)

3.4.1實(shí)驗(yàn)設(shè)備拓?fù)浞抡?/p>

參考3.1小節(jié)拓?fù)湓O(shè)計(jì)、IP地址規(guī)劃表和防火墻安全規(guī)劃表，使用Pack-et Tracer6.3進(jìn)行仿真拓?fù)湓O(shè)計(jì)。在Packet Tracer6.3中，選擇兩臺(tái)ASA5505分別作為總部和分支的對(duì)外互聯(lián)設(shè)備，在兩臺(tái)防火墻中間選擇一臺(tái)2811路由器模擬ISP電信運(yùn)營(yíng)商互聯(lián)至防火墻。兩臺(tái)ASA5505的安全區(qū)域所對(duì)應(yīng)的互聯(lián)設(shè)備，依照安全區(qū)域的設(shè)計(jì)規(guī)劃與表1數(shù)據(jù)，分別選擇3560和2960交換機(jī)進(jìn)行互聯(lián)。所設(shè)計(jì)的實(shí)驗(yàn)拓?fù)浞抡嫒鐖D2所示。

3.4.2路由器配置

因防火墻內(nèi)部流量IP為私有網(wǎng)段無須發(fā)布到外部路由器的路由表中，根據(jù)拓?fù)湓O(shè)計(jì)，ISP路由器只需完成如圖2所示的端口配置即可。

3.4.3防火墻配置

根據(jù)實(shí)際工程實(shí)施流程，在實(shí)驗(yàn)設(shè)計(jì)中，將防火墻的配置劃分為端口配置、路由配置、NAT地址映射配置、安全策略配置等幾個(gè)步驟嘲，上述各個(gè)部分的配置過程是逐層遞進(jìn)的關(guān)系，為避免將當(dāng)前配置過程中的錯(cuò)誤引入到下一階段，在配置過程中需要對(duì)階段功能進(jìn)行驗(yàn)證。

步驟1：防火墻端口配置

不同于ASA5510級(jí)別以上的ASA系列防火墻，ASA5505的物理接口實(shí)際是作為二層端口，該端口不能夠直接配置三層lP地址，需要在交換虛擬接口SVI（Switch Virtual Interface）中先行配置Interface VLAN IP地址，之后將二層端口加入對(duì)應(yīng)的VLAN后實(shí)現(xiàn)三層轉(zhuǎn)發(fā)功能。以總部ASA5505為例，參照表3的數(shù)據(jù)，對(duì)端口的名稱、安全級(jí)別、地址等信息進(jìn)行配置，如圖3所示。

ASA5505默認(rèn)使用VLAN 1、VLAN 2作為IP配置，在實(shí)驗(yàn)配置中，為讓學(xué)生體會(huì)在防火墻設(shè)計(jì)中VLAN的規(guī)劃，在配置前需將VLAN l和VLAN2中默認(rèn)配置的nameff區(qū)域名、IP地址配置信息去除，根據(jù)表3的規(guī)劃自行建立VLAN 10、VLAN 20、VLAN 30。因仿真軟件對(duì)ASA5505的限制，仿真環(huán)境中最多只能使用三個(gè)nameif區(qū)域，禁止多于兩個(gè)區(qū)域以上的流量進(jìn)入in-side區(qū)域，即第三個(gè)VLAN端口的流量配置時(shí)有限制，故在配置dmz端口的時(shí)候，需要先行增加如圖3中f1）的命令，限制dmz區(qū)域的流量進(jìn)人inside區(qū)域之后，方可正常啟用dmz端口功能。

配置完SVI，即可將ASA 5505防火墻的物理接口分配到SVI所相應(yīng)的VLAN中，配置如圖5所示。

步驟2：防火墻路由配置

ASA定義靜態(tài)路由目的在于讓防火墻對(duì)發(fā)往不同區(qū)域流量的目標(biāo)IP進(jìn)行識(shí)別并轉(zhuǎn)發(fā)到相應(yīng)的outside、inside或dmz區(qū)域。如圖5所示，總部的ASA5505-01訪問公網(wǎng)非直連網(wǎng)段130.0.0./30，需要首先指明流量路由到outside端口，然后設(shè)置目標(biāo)網(wǎng)段、子網(wǎng)掩碼和指向ISP路由器的220.0.0.2下一跳地址。

步驟3：NAT地址映射配置

服務(wù)器IP映射方式根據(jù)其業(yè)務(wù)分為兩類，一類是靜態(tài)NAT映射，實(shí)現(xiàn)一對(duì)一的映射，通過nat命令指定服務(wù)器內(nèi)網(wǎng)ip映射到的公網(wǎng)地址供外部用戶訪問，如圖7命令f1）所示。另一類是端口NAT映射，當(dāng)內(nèi)部多臺(tái)服務(wù)器需要主動(dòng)發(fā)起內(nèi)網(wǎng)到外網(wǎng)的訪問，可將此類服務(wù)器網(wǎng)段地址統(tǒng)一映射到防火墻outside外網(wǎng)口的IP，實(shí)現(xiàn)多對(duì)一的映射，如圖6命令（2）所示。

步驟4：安全策略配置

完成基本配置的防火墻，需要開啟基本的安全策略防火墻才能開始工作。默認(rèn)情況下，ASA防火墻允許高安全區(qū)域的數(shù)據(jù)流量流向低安全區(qū)，而低安全區(qū)域流量流向高安全區(qū)時(shí)則需要通過設(shè)置安全策略命令放行，ASA安全策略特性如圖7所示。

ASA安全策略分析，以dmz區(qū)的服務(wù)器ping包訪問outside區(qū)的ISP路由器地址為例，數(shù)據(jù)流量從dmz區(qū)進(jìn)入ASA防火墻后，ASA判斷目標(biāo)IP對(duì)應(yīng)outside區(qū)域，且該區(qū)域的安全級(jí)別低于源IP的dmz區(qū)域，則ASA放行此部分流量，并在離開outside端口前應(yīng)用NAT將dmz的服務(wù)器地址轉(zhuǎn)換為公網(wǎng)IP。當(dāng)上述流量返回，ASA安全策略判別源lP、目標(biāo)lP安全級(jí)別相同，ASA防火墻從outside端口接受流量后將目標(biāo)lP地址通過NAT轉(zhuǎn)換為dmz區(qū)域的IP地址，此時(shí)防火墻進(jìn)一步檢查安全策略，防火墻判別目標(biāo)IP地址安全級(jí)別高于源IP地址，在未設(shè)置安全策略時(shí)則默認(rèn)將此部分流量丟棄。

為放行outside上聯(lián)isp的220.0.0.0/29網(wǎng)段訪問dmz服務(wù)器172.16.10.0/24網(wǎng)段的流量，定義如圖9所示的安全策略并應(yīng)用到端口中。根據(jù)流量的源IP和目標(biāo)IP所對(duì)應(yīng)的網(wǎng)段，首先定義網(wǎng)段IP對(duì)應(yīng)的地址對(duì)象，如圖9命令（1）所示。然后定義ACL安全策略，允許在icmp協(xié)議背景下，上述isp網(wǎng)段訪問dmz網(wǎng)段，如圖9命令（2）所示。最后將定義的安全策略應(yīng)用到dmz端口的out方向上，如圖9命令（3）所示。

inside與outside區(qū)域之間的流量安全策略定義與部署與圖8命令類似，除地址對(duì)象和ACL不一樣外，應(yīng)在inside端口out方向上應(yīng)用安全策略。

3.4.4交換機(jī)配置

總部的3560交換機(jī)下聯(lián)的多個(gè)VLAN的網(wǎng)關(guān)終結(jié)在3560上，與ASA5505采用三層連接。仿真環(huán)境中設(shè)計(jì)中，我們發(fā)現(xiàn)ASA5505防火墻仿真環(huán)境中，對(duì)于直連的inside區(qū)域的流量是可以直接通過防火墻NAT進(jìn)行地址轉(zhuǎn)換后訪問外網(wǎng)，而3560以下的VLAN業(yè)務(wù)流量到達(dá)ASA5505時(shí)，盡管有相關(guān)NAT和策略放行配置命令，但ASA5505并不支持對(duì)此部分非直連的in-side區(qū)域IP網(wǎng)段實(shí)現(xiàn)NAT功能。

為解決上述問題，在實(shí)驗(yàn)設(shè)計(jì)中，利用3560具備三層路由和NAT功能，將源地址為非直連的內(nèi)網(wǎng)業(yè)務(wù)IP網(wǎng)段，在3560-02設(shè)備上先行NAT轉(zhuǎn)換為3560-02與ASA5505互聯(lián)網(wǎng)段的IP網(wǎng)段，最終通過兩級(jí)NAT實(shí)現(xiàn)防火墻放行inside區(qū)域所有IP網(wǎng)段訪問外網(wǎng)。

默認(rèn)情況下，3560交換機(jī)處于二層工作模式，需要使用如圖9所示的命令（1）進(jìn)入三層工作模式。進(jìn)行NAT的outside端口則直接定義在物理接口Gigo/1上，且該接口也配置了物理IP，如命令（2）、（3）所示，而NAT的inside端口則在VLAN 10和VLAN 20的SVI接口下配置，如命令（4）、（5）所示。對(duì)于上述兩個(gè)VLAN的地址網(wǎng)段通過定義ACL，配置基于Gig0/1端口的NAT[121端口映射，如命令（6）所示，將上述網(wǎng)段的IP均轉(zhuǎn)換為10.0.0.2的IP地址，并配置3560缺省路由指向ASA5505的in-side端口IP，如圖命令（7）所示，最終實(shí)現(xiàn)所有內(nèi)網(wǎng)流量能夠訪問到ISP路由器。篇幅所限，3560的HSRP等配置此處不再敘述。

5實(shí)驗(yàn)驗(yàn)證

上述數(shù)據(jù)配置完成后，進(jìn)行實(shí)驗(yàn)數(shù)據(jù)檢驗(yàn)與分析。首先通過在防火墻節(jié)點(diǎn)執(zhí)行show route命令，檢測(cè)ASA設(shè)備的路由表中的靜態(tài)路由、缺省路由等信息是否完整，轉(zhuǎn)發(fā)方向和端口是否對(duì)應(yīng)。

對(duì)于ASA功能配置驗(yàn)證，以DMZ區(qū)域的兩臺(tái)服務(wù)器為例，使用Server1服務(wù)器訪問ASA外網(wǎng)側(cè)的路由器，執(zhí)行ping命令結(jié)果如圖10所示。

檢查防火墻的流量轉(zhuǎn)換情況，可通過show nat命令觀察和驗(yàn)證。如圖11所示，觀察到內(nèi)網(wǎng)VLAN 10和VLAN 20訪問ISP路由器時(shí)，可以看到內(nèi)網(wǎng)流量NAT轉(zhuǎn)換都正常，同時(shí)dmz區(qū)的服務(wù)器也有NAT成功的流量記錄。即NAT配置和安全策略使用正常。

6總結(jié)

通過設(shè)計(jì)ASA防火墻的綜合性實(shí)驗(yàn)，能夠讓學(xué)生較為完整的理解防火墻在工程項(xiàng)目中的設(shè)計(jì)和應(yīng)用，提高了學(xué)生的防火墻設(shè)計(jì)、實(shí)施、故障排除能力，同時(shí)有效了提升學(xué)生在網(wǎng)絡(luò)系統(tǒng)集成過程中安全設(shè)計(jì)能力。實(shí)驗(yàn)設(shè)計(jì)中在3560上啟用NAT功能，結(jié)合ASA防火墻NAT功能，實(shí)現(xiàn)兩級(jí)NAT地址轉(zhuǎn)換，有效促進(jìn)學(xué)生在設(shè)計(jì)過程中對(duì)NAT的理解和應(yīng)用。