計算機(jī)網(wǎng)絡(luò)管理仿真平臺防火墻實(shí)驗(yàn)設(shè)計

李耀瑩

（山西師范大學(xué)臨汾學(xué)院，山西 臨汾 041000）

0 引言

從20世紀(jì)40年代世界首臺計算機(jī)誕生以來，相關(guān)技術(shù)的發(fā)展突飛猛進(jìn)，給各行業(yè)發(fā)展帶來了強(qiáng)大助力。而互聯(lián)網(wǎng)作為現(xiàn)代人相互交往的第二社會，必須要通過一定措施保障人們的使用安全，而目前最為常見，也是最為高效的方式便是構(gòu)建防火墻。

1 計算機(jī)網(wǎng)絡(luò)管理

計算機(jī)網(wǎng)絡(luò)管理主要包括5個功能域包括：故障管理、性能管理、安全管理、計費(fèi)管理和配置管理，其中，受人們關(guān)注最為廣泛的管理內(nèi)容為安全管理。安全管理是指利用某些安全技術(shù)措施與管理方式，保證網(wǎng)絡(luò)資源維持良好的完整性、隱秘性、可控性以及可用性，讓網(wǎng)絡(luò)不會由于網(wǎng)絡(luò)設(shè)備、服務(wù)、通信協(xié)議遭到人為因素或自然因素的影響出現(xiàn)網(wǎng)絡(luò)中斷、信息破壞或者泄露等問題。網(wǎng)絡(luò)安全屬于計算機(jī)網(wǎng)絡(luò)管理中至關(guān)重要的功能域，其關(guān)鍵性已經(jīng)上升到國家戰(zhàn)略級別[1]。目前，最為常見的網(wǎng)絡(luò)安全技術(shù)內(nèi)容包括防火墻技術(shù)、防病毒技術(shù)、密碼技術(shù)、VPN技術(shù)、入侵檢測及防御技術(shù)等。而其中應(yīng)用范圍最為廣泛的是防火墻技術(shù)，其作為一種基本網(wǎng)絡(luò)安全技術(shù)而被人們所熟知。

2 計算機(jī)網(wǎng)絡(luò)管理仿真實(shí)驗(yàn)平臺

依據(jù)計算機(jī)網(wǎng)絡(luò)安全的實(shí)際需求，針對仿真平臺進(jìn)行設(shè)計，以實(shí)現(xiàn)對防火墻相關(guān)功能的全面實(shí)現(xiàn)。在本設(shè)計方案中，平臺主要由GNS3，VMware和SNMPc所構(gòu)成。其中，GNS3的主要功能為仿真網(wǎng)絡(luò)互聯(lián)設(shè)備，這是因?yàn)樵贕NS3中對真實(shí)IOS設(shè)備進(jìn)行加載，所獲仿真效果與真實(shí)設(shè)備基本一致[2]。GNS3不僅可以對基本交換機(jī)與路由器進(jìn)行仿真，還可以仿真入侵防御、檢測和防火墻等設(shè)備，所以能有效滿足對于網(wǎng)絡(luò)互連設(shè)備進(jìn)行仿真的實(shí)際需求。VMware的作用在于仿真各類操作系統(tǒng)，主要包括終端設(shè)備系統(tǒng)與網(wǎng)絡(luò)操作系統(tǒng)。VNware內(nèi)的操作系統(tǒng)和物理機(jī)器實(shí)現(xiàn)網(wǎng)絡(luò)連接，為仿真計算機(jī)網(wǎng)絡(luò)管理系統(tǒng)形成了有力支持。SNMPc屬于一種具有可視化功能的網(wǎng)絡(luò)管理系統(tǒng)平臺，是以SNMP（簡單的網(wǎng)絡(luò)管理協(xié)議）為基礎(chǔ)進(jìn)行開發(fā)的，可以實(shí)現(xiàn)對網(wǎng)絡(luò)整體的全面管理[3]。

仿真實(shí)驗(yàn)平臺需要將校園網(wǎng)作為基礎(chǔ)，并按照主流網(wǎng)絡(luò)架構(gòu)進(jìn)行搭建。GNS3依靠“Cloud”及VNware內(nèi)的操作系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)連接，并通過VMware操作系統(tǒng)當(dāng)中所部署的網(wǎng)絡(luò)管理系統(tǒng)平臺，達(dá)到對整個網(wǎng)絡(luò)進(jìn)行管理的目的。

3 防火墻實(shí)驗(yàn)設(shè)計

3.1 防火墻技術(shù)

防火墻是一種由硬件及軟件共同構(gòu)成的系統(tǒng)，其介于外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)二者之間，依據(jù)系統(tǒng)管理人員所設(shè)定的訪問控制規(guī)則，針對數(shù)據(jù)流實(shí)施過濾處理，繼而實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護(hù)，防止受到非法用戶的入侵，確保內(nèi)網(wǎng)中各種數(shù)據(jù)資料的安全性。防火墻的主要組成部分可以具體分為：服務(wù)訪問規(guī)則、包過濾、驗(yàn)證工具以及應(yīng)用網(wǎng)關(guān)。

通常情況下，防火墻處在Intranet網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)中間，在二者間構(gòu)建起安全網(wǎng)關(guān)（即security gateway）。對網(wǎng)絡(luò)進(jìn)行劃分，使其分成一些具體的區(qū)域，針對每個區(qū)域制定出相應(yīng)的訪問控制策略，因此控制相互之間數(shù)據(jù)流的傳送過程。在日常使用過程中，人們會將Internet劃分成不可信任區(qū)域（untrust），而將內(nèi)部Intranet設(shè)定為可信任區(qū)域（trust）或本地區(qū)域（local），并且將網(wǎng)絡(luò)服務(wù)器群設(shè)置成非軍事化區(qū)域（DMZ）[4]。其中，本地區(qū)域在安全區(qū)域中具有最高級別，相應(yīng)安全優(yōu)先級是100；而非軍事化區(qū)域?qū)儆谥卸燃墑e，相應(yīng)安全優(yōu)先級是50；不可信任區(qū)域所對應(yīng)的安全優(yōu)先級則非常低。

3.2 實(shí)驗(yàn)拓?fù)湓O(shè)計

筆者針對防火墻所開展的實(shí)驗(yàn)設(shè)計是以計算機(jī)網(wǎng)絡(luò)管理方針平臺為基礎(chǔ)的，是防火墻接口e0/0與外部網(wǎng)絡(luò)Internet之間相互連接，e0/1接口與內(nèi)部網(wǎng)絡(luò)Intranet之間相互連接，而e0/2接口則與非軍事化區(qū)域DMZ之間相互連接。

為了對防火墻效果進(jìn)行驗(yàn)證，將三臺計算機(jī)安裝于VMware虛擬機(jī)之上。其操作系統(tǒng)分別是Windows server2003，Windows server2008和Windows XP。三者中安裝有Windows server2003系統(tǒng)的計算機(jī)，其IP地址為202.102.10.100/24，將此臺機(jī)器當(dāng)作Internet中的一個服務(wù)器；而安裝有Windows server2008的計算機(jī)，其IP地址是192.168.3.100/24，將此計算機(jī)當(dāng)作校園網(wǎng)內(nèi)的一個網(wǎng)絡(luò)服務(wù)器；安裝有Windows XP的計算機(jī)，其IP地址是192.168.20.100/24，將其當(dāng)作計算機(jī)學(xué)院內(nèi)的一個終端設(shè)備。

4 防火墻配置過程

4.1 校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的相互連通

使校園網(wǎng)之間相互連接需要配置網(wǎng)絡(luò)設(shè)備及終端。先要對接入層設(shè)備進(jìn)行配置，在接入層設(shè)備中具體劃分出VLAN，并針對端口模式加以設(shè)置。使每一個接入層的設(shè)備都被劃分成2個VLAN，并使各設(shè)備中的2～7號端口、8～15號端口被放進(jìn)不同VLAN當(dāng)中，隨后對匯聚層連接設(shè)備所處的端口模式進(jìn)行設(shè)置（Trunk）[5]。為匯聚層端口配置IP地址，將其當(dāng)作終端設(shè)備對應(yīng)的網(wǎng)關(guān)地址，依靠匯聚層與接入層設(shè)備相互連接設(shè)備的端口完成子接口創(chuàng)建，以此解決一個匯聚層接口與兩個VLAN網(wǎng)段相互連接的問題。除此之外，還要針對匯聚層和核心層接口相互連接的IP地址加以配置。

在完成各種基本配置以后，要將動態(tài)路由協(xié)議啟動，使不同網(wǎng)絡(luò)之間實(shí)現(xiàn)相互連接。RIP協(xié)議屬于較為常用的一種動態(tài)路由協(xié)議，需要對防火墻與內(nèi)網(wǎng)端口IP地址相互連接、動態(tài)路由協(xié)議進(jìn)行配置，讓內(nèi)網(wǎng)計算機(jī)可以完成與此端口之間的相互連通。

4.2 外部網(wǎng)絡(luò)的相互連通

先要針對路由器接口IP地址加以配置，再設(shè)置防火墻與外網(wǎng)相互連接接口e0/0的IP地址，最后對Windows server 2003服務(wù)器IP地址進(jìn)行設(shè)置。在完成上述操作之后，還要針對外部網(wǎng)絡(luò)所具備的連通性加以測試，由外網(wǎng)服務(wù)器ping防火墻與外網(wǎng)端口之間相互連接，通過所獲結(jié)果得知能夠?qū)崿F(xiàn)連接。

4.3 DMZ區(qū)的相互連通

針對DMZ服務(wù)器和防火墻相互連接的DMZ區(qū)端口加以測試，以確認(rèn)其連通性，實(shí)驗(yàn)結(jié)果發(fā)現(xiàn)是連通的[6]。

5 結(jié)語

總而言之，防火墻對于保障計算機(jī)網(wǎng)絡(luò)安全具有非常重要的作用和意義，對其開展仿真實(shí)驗(yàn)是提升其應(yīng)用性能的關(guān)鍵措施之一，值得人們投入更多人力、物力和財力促進(jìn)實(shí)驗(yàn)研究活動的進(jìn)一步深化。作為一名網(wǎng)絡(luò)安全管理人員，應(yīng)該在日常工作中積極探索，對國外的一些先進(jìn)應(yīng)用技術(shù)和理念加以借鑒，繼而與我國計算機(jī)網(wǎng)絡(luò)安全的整體情況相結(jié)合，創(chuàng)建一套更加貼合我國國情的網(wǎng)絡(luò)安全仿真體系，在實(shí)現(xiàn)自我價值的同時，為國家安全提供更大保障，促進(jìn)國家政治、經(jīng)濟(jì)的穩(wěn)定發(fā)展。