摘要：随着人们对信息安全重要性认识的提高，对防火墙的应用越来越来越普遍。防火墙技术成为计算机网络专业重要的知识点之一，对防火墙技术的实验教学进行了研究，提出了基于GNS3的虚拟平台下PIX防火墙实验教学设计，设计了网络拓扑结构，构建了虚拟网络实验平台，在PIX防火墙上配置了IPSec VPN，最终对实验的结果进行了验证。

关键词：防火墙；实验教学；GNS3；IPSec；VPN

中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2013）02-0262-04

1 概述

随着Internet的进一步普及和迅猛发展，网络面临的威胁也越来越多，网络安全方面的问题成为网络管理员最头疼的问题[1]。应用防火墙技术维护网络安全势在必行。防火墙技术是计算机网络、电子通信等专业学生必须掌握的学习内容，防火墙配置实验是学习防火墙技术不可或缺的重要环节。目前由于各大学校网络安全实验室条件的限制，在防火墙设备缺乏或更新迟滞的条件下，如何开展防火墙技术实验教学是个值得研究的问题。通过在网络安全设备部署课程教学中的实际探索，发现可以借助GNS3软件构建PIX防火墙实验平台，帮助学生在此平台上完成设计、组建、管理网络的这个过程，提高了实验效率，降低了实验成本，保证了实验教学质量。本设计就是基于GNS3软件模拟出PIX防火墙设备，满足防火墙技术实验的要求。

2 防火墙工作原理

2.1 防火墙定义与常见类型

一般来说，防火墙是一种置于不同网络安全域之间的一台设备或者一套系统，是根据有关的访问安全策略来控制[2]。根据逻辑结构，防火墙主要分为两类：基于网络层的包过滤防火墙和基于应用层的服务器型防火墙。前一种主要是在网络层根据数据包的源和目的IP地址、来源端口号来进行过滤，而后一种是在应用层为每一种服务提供一个代理[3]。

2.2 Cisco PIX防火墙功能

Cisco PIX 防火墙就是基于上述两种技术结合的防火墙。Cisco PIX防火墙在设计上提供了一些优于基于应用程序的防火墙的重大优势，帮助实现PIX防火墙出色性能的两个关键组件是ASA（自适应安全算法）和贯穿式代理[4]。

2.2.1自适应安全算法（ASA）

Cisco PIX防火墙安全验证算法的核心是自适应安全算法（ASA）。ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流，同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。图1描绘了ASA算法的机制以及它是如何影响流过PIX防火墙的流量。

图1 ASA算法流程

1） 内部PC对外部网络资源的IP连接；2） PIX将相关连接信息写入状态表；3） 对连接对象和安全策略进行匹配；4） 如果安全策略匹配，则进行地址转换，并将此请求被转发给外部网络资源；5）外部网络资源响应请求；6） 响应信息到达防火墙并进行匹配。

2.2.2贯穿式代理

Cisco PIX防火墙的贯穿式代理（cut-throughproxy）特性提供了比应用程序代理防火墙更好的性能。图2描绘了贯穿式代理的工作机制以及在激活ASA之前的4个步骤。

图2 贯穿式代理工作流程

1）外部PC请求连接内部网络服务器；2） 用户在PIX防火墙上登录；3） Cisco PIX防火墙将用户信息转送到AAA服务器中进行认证；4） 在网络层打开与服务器的连接，会话信息被写入连接表中，ASA过程开始。

3 GNS3软件应用

3.1 GNS3简介

GNS3全称是Graphical Network Simulator。它是基于真实的IOS的优秀的图形化的仿真软件，所以运行它和运行真实设备有着一样的效果。它在网络设备选择和配置网络拓扑都使用了图形界面，更方便人机交互，更具有操作性[5]。GNS3是款开源的网络模拟软件，它适应于多种操作系统，易于安装，这样不但节省了教学资源，还可以让学生体验与真实硬件平台相同的学习环境[6]。

3.2 GNS3的组成

GNS3是由多种组件组成，主要包括：

1）Winpcap，它的主要作用来识别发送或接收数据帧的MAC地址。

2）Dynamips，它是Cisco的IOS模拟器的核心组件。

3）Pemu，它是基于开源的QEMU模拟器，可以用来模拟Cisco PIX防火墙。

4 基于GNS3的PIX防火墙实验平台搭建

4.1 实验目的

1） 了解IPSec VPN的工作原理；

2）了解PIX防火墙的工作原理；

3）掌握PIX上的IPSec VPN的配置过程；

4）掌握GNS3仿真软件的使用。

4.2 实验项目的背景描述[7]

某软件开发公司为了降低人员成本，在另一个中小城市建立了分公司，但是分公司上传给总公司的数据一般为软件开发的关键业务数据，如果被窃取，可能给公司带来难以预计的损失，现在要求分公司研发小组通过IPSec VPN连接到总公司的研发服务器。总公司和分公司都是通过PIX防火墙连接Internet。

4.3 实验拓扑结构设计

整个工程项目结构总体分为三部分，分别为分公司网络、总公司网络以及Internet。因此设计了如图3所示的网络拓扑图：PIX1为分公司连接Internet的出口设备，PIX2为总公司连接Internet的出口设备，路由器ISP模拟为Internet，在总公司和分公司的网络中连接了PC，分别模拟为分公司的研发PC和总公司的研发服务器，用于验证网络的连通性。

4.4 实验IP地址规划

分公司开发项目小组所在网络地址为172.16.10.X/24，其它客户端的网络地址为172.16.X.X/16，总公司研发部的网络地址规划为10.10.33.X/24，分公司与Intenet之间网段设置为100.0.0.1/30，总公司与Internet之间设置为200.0.0.1/30。

4.5 实验重要配置步骤

4.5.1 PIX防火墙的VPN功能激活

基于GNS的PIX防火墙在默认情况下是不支持VPN功能的，如图4所示，必须激活以后才可以使用，如图5所示。PIX防火墙的IOS、序列号以及KEY都可以从互联网上得到，激活命令如图6所示。

图4 PIX未激活前

图5 PIX激活后

图6 Ph7bFclhTJkMmXIeDd5rYZzNq/hz65BEvLwrYA9Gk9zQ=IX激活命令

4.5.2 实验重要配置命令

4.6 实验的运行与实验效果验证

配置完成以后，实验验证结果如图6所示。

图7 从分公司研发小组ping总公司研发服务器

图7结果表明分公司研发小组与总公司研发服务器之间通信正常。

5 结束语

基于GNS3仿真软件能够帮助我们实现PIX防火墙的实验教学设计，既能够节约了实验成本，又能提高了学生的实验效率。培养了学生网络分析、设计、组建、运行和维护网络工程的技能，有利于学生实践能力和创造能力的提高，值得推广。

参考文献：

[1] 唐灯平.基于Packet Tracer的访问控制列表实验教学设计[J].长沙通信职业技术学院学报，2011（3）：52.

[2] 林玉梅.防火墙技术及其研究[J].软件导刊，2012（9）：160.

[3] 李剑勇，谢正兰.防火墙的分类及选用[J].计算机光盘软件及选用，2011（18）：160.

[4] Greg B，Earl C.CCSP Cisco安全PIX防火墙CSPFA认证考试指南[M].北京：人民邮电出版社，2005：28-30.

[5] 梁发洵.GNS3在网络实验中的应用[J].电脑与电信，2010（10）：45.

[6] 彭春燕，刘兵.GNS3在计算机网络课程教学中的应用[J].学理论，2010（20）：292.

[7] 北大青鸟信息技术有限公司.网络安全高级应用[M].北京：科学技术文献出版社，2009：105-108.