基于思科模擬器中防火墻技術的應用與研究

舒小松

摘 ? 要：思科模擬器是學習計算機網絡必不可少的軟件平臺，而防火墻技術是計算機網絡中安全防范技術中的重要環節，通過對防火墻的研究，能夠更好地學習計算機網絡安全技術。文章通過思科模擬器進行防火墻的配置，并進行了相關的模擬與仿真。

關鍵詞：思科模擬器;防火墻;模擬與仿真

Cisco Packet Tracer是一款由思科公司開發的，為網絡課程的初學者提供輔助教學的實驗模擬器。使用者可以在該模擬器中搭建各種網絡拓撲，實現基本的網絡配置。該軟件是開源的，對使用者來說是完全免費的。

1 ? ?防火墻技術介紹

防火墻（Firewall），也稱防護墻，由Check Point創立者Gil Shwed于1993年發明并引入國際互聯網。防火墻是位于內部網和外部網之間的屏障，按照系統管理員預先定義好的規則來控制數據包的進出。防火墻是系統的第一道防線，作用是防止非法用戶的進入。防火墻通常分為內網、外網和隔離區（Demilitarized Zone，DMZ）3個區域[1]。

2 ? ?防火墻技術在思科模擬器中的應用

2.1 ?設置網絡拓撲圖

對防火墻拓撲圖進行設置，如圖1所示，設置為內網、外網和DMZ 3個區域。

內網為inside區域，涉及的網段為192.168.1.0/24與192.168.2.1/24，設備有PC電腦和Other路由器;外網為outside區域，涉及的網段有200.1.1.2/24與200.1.2.2/24，設備有ISP路由器與Internet路由器;DMZ為隔離區區域，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，涉及的網段為192.168.3.1/24，設備有服務器。計劃把防火墻的e0/0口劃分到vlan 1里面;防火墻的e0/1口劃分到vlan 3里面;防火墻的e0/2口劃分到vlan 2里面[2]。

2.2 ?防火墻中內網、外網和DMZ的配置

配置內網、外網和DMZ之前，需要對路由器Other，ISP，Internet進行默認路由的設置，當IP數據包中的目的地址找不到存在的其他路由時，路由器所選擇的就是默認路由。目的地不在路由器的路由表里時所有數據包都會使用默認路由。默認路由的設置規范為：ip route網絡地址子網掩碼下一跳。這里網絡地址和子網掩碼默認都為0.0.0.0。

路由器Other：Router（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.2。

路由器ISP：Router（config）#ip route 0.0.0.0 0.0.0.0 200.1.1.1。

路由器Internet：Router（config）#ip route 0.0.0.0 0.0.0.0 200.1.2.1。

配置防火墻的時候，一般把可信度高的主機放置于內區域，把因特網隔離于外區域，DMZ區域用于放置可信度介于內部主機和因特網的各類服務器。

2.2.1 ?內網區域配置

接口E0/0區域設置為inside區域，安全級別為100。內網區域又叫Trust區域，它是指位于防火墻之內的可信網絡，是防火墻要保護的目標。

ciscoasa（config）#no dhcpd address 192.168.1.5-192.168.1.35 insideciscoasa（config）#interface Ethernet0/0

ciscoasa（config-if）#switchport access vlan 1

ciscoasa（config）#interface vlan 1

ciscoasa（config-if）#ip address 192.168.2.2 255.255.255.0

ciscoasa（config）#security-level 100

ciscoasa（config）#nameif inside

對于內網而言，安全級別是最高的，由于系統默認是自動獲取IP地址，防火墻提供動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）服務，需要停用DHCP服務，并重新設置IP地址。配置步驟為：首先，停用DHCP服務;進入相關接口，把其劃入vlan 1里，并設置相關IP地址;其次，設置安全級別為100，配置為內網區域。

2.2.2 ?外網區域配置

接口E0/2區域設置為outside區域，安全級別為0。外網區域又叫Untmst區域，它是位于防火墻之外的公共開放網絡，一般指因特網。

ciscoasa（config）#interface Ethernet0/2

ciscoasa（config-if）#switchport access vlan 2

ciscoasa（config）#interface vlan 2

ciscoasa（config-if）#ip address 200.1.1.1 255.255.255.0

ciscoasa（config）#security-level 0

ciscoasa（config）#nameif outside

配置步驟為：首先，進入相關接口，把其劃入vlan 2里，并設置相關IP地址;其次，設置安全級別為0，配置為外網區域。

2.2.3 ?DMZ區域配置

接口E0/1區域設置為DMZ區域，安全級別為50。DMZ也稱周邊網絡，安全敏感度和保護強度較低，一般用來放置提供公共網絡服務的設備。

ciscoasa（config）#interface Ethernet0/1

ciscoasa（config-if）#switchport access vlan 3

ciscoasa（config）#interface vlan 3

ciscoasa（config-if）#ip address 192.168.3.2 255.255.255.0

ciscoasa（config）#security-level 50

ciscoasa（config）#nameif dmz

配置步驟為：首先，進入相關接口，把其劃入vlan 3里，并設置相關IP地址;其次，設置安全級別為50，配置為DMZ區域。

由于思科模擬器的局限性，DMZ區域設置會出現錯誤，這個問題只有等該公司后續進行修正。

2.2.4 ?配置向外的默認路由和向內的靜態路由

ciscoasa（config）#route outside 0.0.0.0 0.0.0.0 200.1.1.2

ciscoasa（config）#route inside 192.168.1.0 255.255.255.0 192.168.2.1

設置防火墻route inside代表路由器去內網的方向。防火墻route outside代表路由器去外網的方向。

2.2.5 ?配置ACL，允許內網ping通外網

ciscoasa（config）#access-list 101 permit icmp any 192.168.1.0 255.255.255.0

ciscoasa（config）#access-group 101 in interface outside

設置允許通過的網段為192.168.1.0/24，其他網段不允許通過;最后，進行接口控制，其他不允許通過的數據在路由器出口處進行丟棄。

3 ? ?設置結果分析

如圖2所示，從PC0發包到Other路由器、防火墻、ISP路由器已經Internet路由器中狀態成功，說明防火墻配置已經成功。

在防火墻操作系統中用show running查看相關配置，如圖3所示。

通過對網絡中防火墻的研究，能夠更好地了解網絡安全知識。對于設置防火墻要注意的是，不同區域的安全級別需要不同設置，安全級別為：內網>DMZ>外網。本文中內網設置為等級100，DMZ設置為等級50，外網設置為等級0，在現實中，可以按具體需求設置。

[參考文獻]

[1]徐小娟，李曉雯.網絡設備管理與維護項目教程[M].北京：清華大學出版社，2016.

[2]葉阿勇.計算機網絡實驗與學習指導—基于Cisco Packet Tracer模擬器[M].北京：清華大學出版社，2017.