唐灯平,朱艳琴,杨 哲,曹国平,肖广娣

(苏州大学计算机科学与技术学院,江苏苏州 215006)

计算机网络管理仿真平台防火墙实验设计

唐灯平,朱艳琴,杨 哲,曹国平,肖广娣

(苏州大学计算机科学与技术学院,江苏苏州 215006)

计算机网络管理课程既要有理论讲解又要有实践的验证,因网络管理的复杂性,故需要搭建综合的实验平台。该平台要能够尽量满足对网络管理的五大功能域的管理。防火墙技术是安全管理的重要技术。通过整合GNS3、VMware、SNMPc搭建网络管理仿真平台,在此基础上利用GNS3防火墙设备构建防火墙实验平台。介绍了在计算机网络管理仿真平台的基础上搭建的防火墙仿真实验平台,并探索了整个实验的设计仿真过程,结果表明仿真效果和真实设备是一样的,充分显示了仿真平台的优越性。

计算机网络管理;GNS3;仿真;防火墙;ASA

计算机网络管理包括五大功能域,即故障管理、配置管理、计费管理、性能管理以及安全管理,其中网络安全管理主要是通过适当的安全技术措施和管理手段,确保网络资源的机密性、完整性、可用性、抗抵赖性、可控性,使网络不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害而导致网络中断、信息泄露或破坏。网络安全作为计算机网络管理一大功能域,已经上升为国家战略。计算机网络安全技术包括防火墙技术、入侵检测技术、入侵防御技术、防病毒技术、VPN技术、身份认证技术以及密码技术等,其中防火墙技术作为基本的网络安全技术被广泛使用。笔者搭建的计算机网络管理仿真实验平台能够很好地仿真防火墙技术,达到和真实设备同样的效果,为学生的实验以及教师的教学演示创造了良好的条件[1]。

1 计算机网络管理仿真实验平台介绍

计算机网络管理仿真实验平台由GNS3、VMware以及SNMPc组成。

GNS3主要仿真网络互连设备。由于在GNS3中加载真实的IOS设备,所以仿真的效果几乎和真实设备一样。GNS3不但能够仿真基本的路由器和交换机,还能够仿真入侵检测、入侵防御以及防火墙设备,因此能够基本满足对网络互连设备的仿真需求[2-3]。

VMware主要仿真各种操作系统,包括网络操作系统以及终端设备系统。特别的是GNS3能够通过“Cloud”和VMware中的操作系统以及物理机器进行网络连接,为计算机网络管理系统的仿真创造了条件[4-5]。

SNMPc是可视化的网络管理系统平台,是基于简单网络管理协议SNMP开发的。它能够对整个网络系统进行管理。

计算机网络管理仿真实验平台是以校园网为基础,依据主流的三层网络架构搭建的,分别为面向终端设备的接入层、对接入层设备进行汇聚的汇聚层以及核心层。GNS3通过“Cloud”和VMware中的操作系统进行网络连接,在VMware的操作系统中部署SNMPc网络管理系统平台,实现对整个网络的管理。该仿真平台的搭建以及基本配置参数如图1所示。

图1 计算机网络管理仿真实验平台拓扑设计

2 防火墙实验设计

2.1 防火墙技术介绍

防火墙是由硬件和软件组成的系统,处于内部网络和外部网络之间,根据由系统管理员设置的访问控制规则,对数据流进行过滤,从而保护内部网络免遭非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关等4个部分组成。

防火墙通常处于Intranet网络和Internet网络之间,使Internet与Intranet之间建立起一个安全网关(security gateway)。通过将网络划分为不同的区域,并制定不同区域之间的访问控制策略来控制不同区域间传送的数据流[6-7]。一般将Internet划分为不可信任(untrust)区域,将内部Intranet网络划分为可信任(trust)区域或者本地区域(local),而将网络服务器群划分为非军事化(DMZ)区域。本地区域是最高级别的安全区域,其安全优先级为100,非军事化区域为中度级别的安全区域,其安全优先级为50,不可信任区域的安全优先级比较低。

2.2 防火墙实验拓扑设计

防火墙实验的设计是基于计算机网络管理仿真平台。防火墙的接口e0/0和外部网络Internet相连, e0/1接口和内部网络Intranet相连,e0/2接口和非军事化区域DMZ相连。

为了验证防火墙的效果,在VMware虚拟机上安装了3台计算机。操作系统分别为Windows server 2003,Windows server 2008以及Windows XP,其中安装Windows server 2003操作系统的计算机IP地址规划为202.102.10.100/24,该机作为Internet上的一台服务器使用;安装Windows server 2008操作系统的计算机IP地址规划为192.168.3.100/24,该机作为校园网的一台网络服务器使用;安装Windows XP操心系统的计算机IP地址规划为192.168.20.100/24,该机作为计算机学院的一台终端设备使用。防火墙实验的拓扑图以及IP地址规划如图2所示。

图2 防火墙仿真实验拓扑

2.3 防火墙实验场景设计

通过配置防火墙,让内部网络的计算机能够ping通外部网络,让外网的计算机能够ping通DMZ区的网络服务器。

3 防火墙配置过程

3.1 使整个校园网内部网络互连互通

校园网的互连主要是配置网络设备和终端。首先配置接入层设备,在接入层设备上划分VLAN以及对端口模式进行设置(见图2)。将每个接入层设备划分2个VLAN,将每个设备的2—7号端口以及8—15号端口放入不同的VLAN中,并将连接汇聚层设备的端口模式设置为“Trunk”。配置汇聚层设备端口的IP地址以作为终端设备的网关地址,通过对汇聚层连接接入层设备的端口创建子接口,来解决单个汇聚层接口连接两个不同VLAN网段的问题。另外,配置汇聚层连接核心层接口的IP地址以及核心层设备的接口IP地址[8-10]。

基本配置后还需要启用动态路由协议,将不同的网络互连起来。RIP协议是常使用的动态路由协议。配置防火墙连接内网端口的IP地址以及配置防火墙动态路由协议,使内网计算机能够连通该接口:

在ASA防火墙中要配置nameif名字,否则端口不能启动。配置不同的名字代表具有不同的优先级,内网只可配置在内网的端口上,是一个系统自带的值。默认的优先级是100,属于最高的级别,而其他默认端口的优先级都是0。

测试终端计算机和防火墙连接内网计算机的连通性结果如下:

实验结果可以看出终端计算机和防火墙连接内网的端口是连通的。

3.2 配置外部网络,使外部网络互连互通

首先对路由器接口的IP地址进行配置,再配置防火墙连接外网的接口e0/0的IP地址,以及配置Windows server 2003服务器的IP地址:

最后对外部网络的连通性进行测试,从外网的服务器ping防火墙连接外网的端口,结果可以看出外部网络能够ping通防火墙连接外部网络的接口。

3.3 配置DMZ区域,使DMZ区互连互通

程序如下:

对DMZ服务器与防火墙连接DMZ区的端口的连通性进行测试,结果是连通的。

3.4 配置防火墙

3.4.1 将防火墙的默认路由通过RIP路由协议向其他设备注入

首先配置防火墙:

同样的命令对核心层设备和汇聚层设备进行配置,配置完成后通过查看核心层设备以及汇聚层设备的路由表,发现均产生了一条默认路由:

3.4.2 使内部计算机通过防火墙访问外网

程序如下:

因为在默认情况下防火墙是把ping作为一种攻击手段给拒绝掉的,所以需要通过访问控制列表允许ping命令通过:

测试结果表明,计算机学院的计算机可以ping外网,程序如下:

结果是可以ping通的,查看地址转换结果,如下所示:

3.4.3 配置防火墙使外网能够访问DMZ服务器

由于处于DMZ区的服务器所配置的IP地址为内网私有地址,外部计算机不可能直接ping通该地址,因此需要将内部服务器的IP地址静态映射为一个公网IP地址。外部计算机通过访问该公网IP地址,达到实际访问内部服务器的目的。程序如下:

测试结果表明可以实现外部计算机ping通DMZ区域服务器:

4 结束语

网络安全作为国家战略,在计算机网络管理中呈现越来越重要的地位。学生在掌握网络安全理论知识的同时,需要通过实验来验证理论,从而达到理论与实践的结合。计算机网络管理仿真实验平台的搭建需要满足网络安全实验仿真的需求。实验结果表明,所设计的计算机网络管理仿真防火墙实验平台的仿真效果达到了与真实设备同样的效果。

References)

[1]雷震甲.计算机网络管理[M].北京:人民邮电出版社,2009.

[2]龙艳军,欧阳建权,俞佳曦.基于GNS3和VMware的虚拟网络系统集成实验室研究[J].实验技术与管理,2013,30(2):90-93.

[3]刘武,吴建平,段海新,等.用VMware构建高校的网络安全实验床[J].计算机应用研究,2005(2):212-214.

[4]唐灯平.整合GNS3和VMware搭建虚实结合的网络技术综合实训平台[J].浙江交通职业技术学院学报,2012(2):41-44.

[5]唐灯平.利用packet tracer模拟软件实现三层网络架构的研究[J].实验室科学,2010(3):143-146.

[6]肖宇峰,沈军.电信运营商防火墙测试技术的研究与应用[J].电信技术,2013(10):9-13.

[7]李胜广,杨东凯,刘建伟.防火墙及网络协议综合实验平台构建[J].实验技术与管理,2007,24(2):72-76.

[8]唐灯平.利用Packet Tracer模拟组建大型单核心网络的研究[J].实验室研究与探索,2011,30(1):186-189,198.

[9]周敏,龚箭.“计算机网络安全”实验教学研究[J].实验技术与管理, 2011,28(9):145-148.

[10]赵凯鑫.基于虚拟机的网络安全实验平台的构建[J].大庆师范学院学报,2010(3):17-19.

Design of firewall experiment based on computer network management simulation platform

Tang Dengping,Zhu Yanqin,Yang Zhe,Cao Guoping,Xiao Guangdi
(College of Computer Science&Technology,Soochow University,Suzhou 215006,China)

The Computer Network Management course is a combination of theory and practice courses,so it needs to build a comprehensive experimental platform for teaching.The platform can manage the five functions of network management.The firewall technology is an important technology of security management.By integrating GNS3,VMware,SNMPc the network management simulation platform is established,and GNS3 firewall equipment is used to build a firewall experimental platform.This paper introduces the firewall simulation experimental platform based on the simulation platform of computer network management,and introduces the whole experiment of the simulation.The results show that the simulation results and the real equipment results are the same,which fully demonstrates the superiority of the simulation platform.

computer network management;GNS3;simulation;firewall;ASA

TP391.9

A

1002-4956(2015)4-0156-05

2014-08-13

苏州大学计算机与信息技术国家级实验教学示范中心建设项目“计算机网络管理虚拟仿真实验平台设计”;苏州大学计算机科学与技术学院教学资源建设项目“‘计算机网络管理’课程仿真实验教学环境及教学资源开发”

唐灯平(1976—),男,江苏宝应,硕士,副教授,主要研究方向为计算机网络技术.