计算机网络管理仿真平台防火墙实验设计
2021-11-21李耀莹
李耀莹
(山西师范大学临汾学院,山西 临汾 041000)
0 引言
从20世纪40年代世界首台计算机诞生以来,相关技术的发展突飞猛进,给各行业发展带来了强大助力。而互联网作为现代人相互交往的第二社会,必须要通过一定措施保障人们的使用安全,而目前最为常见,也是最为高效的方式便是构建防火墙。
1 计算机网络管理
计算机网络管理主要包括5个功能域包括:故障管理、性能管理、安全管理、计费管理和配置管理,其中,受人们关注最为广泛的管理内容为安全管理。安全管理是指利用某些安全技术措施与管理方式,保证网络资源维持良好的完整性、隐秘性、可控性以及可用性,让网络不会由于网络设备、服务、通信协议遭到人为因素或自然因素的影响出现网络中断、信息破坏或者泄露等问题。网络安全属于计算机网络管理中至关重要的功能域,其关键性已经上升到国家战略级别[1]。目前,最为常见的网络安全技术内容包括防火墙技术、防病毒技术、密码技术、VPN技术、入侵检测及防御技术等。而其中应用范围最为广泛的是防火墙技术,其作为一种基本网络安全技术而被人们所熟知。
2 计算机网络管理仿真实验平台
依据计算机网络安全的实际需求,针对仿真平台进行设计,以实现对防火墙相关功能的全面实现。在本设计方案中,平台主要由GNS3,VMware和SNMPc所构成。其中,GNS3的主要功能为仿真网络互联设备,这是因为在GNS3中对真实IOS设备进行加载,所获仿真效果与真实设备基本一致[2]。GNS3不仅可以对基本交换机与路由器进行仿真,还可以仿真入侵防御、检测和防火墙等设备,所以能有效满足对于网络互连设备进行仿真的实际需求。VMware的作用在于仿真各类操作系统,主要包括终端设备系统与网络操作系统。VNware内的操作系统和物理机器实现网络连接,为仿真计算机网络管理系统形成了有力支持。SNMPc属于一种具有可视化功能的网络管理系统平台,是以SNMP(简单的网络管理协议)为基础进行开发的,可以实现对网络整体的全面管理[3]。
仿真实验平台需要将校园网作为基础,并按照主流网络架构进行搭建。GNS3依靠“Cloud”及VNware内的操作系统实现网络连接,并通过VMware操作系统当中所部署的网络管理系统平台,达到对整个网络进行管理的目的。
3 防火墙实验设计
3.1 防火墙技术
防火墙是一种由硬件及软件共同构成的系统,其介于外部网络与内部网络二者之间,依据系统管理人员所设定的访问控制规则,针对数据流实施过滤处理,继而实现对内部网络的保护,防止受到非法用户的入侵,确保内网中各种数据资料的安全性。防火墙的主要组成部分可以具体分为:服务访问规则、包过滤、验证工具以及应用网关。
通常情况下,防火墙处在Intranet网络与Internet网络中间,在二者间构建起安全网关(即security gateway)。对网络进行划分,使其分成一些具体的区域,针对每个区域制定出相应的访问控制策略,因此控制相互之间数据流的传送过程。在日常使用过程中,人们会将Internet划分成不可信任区域(untrust),而将内部Intranet设定为可信任区域(trust)或本地区域(local),并且将网络服务器群设置成非军事化区域(DMZ)[4]。其中,本地区域在安全区域中具有最高级别,相应安全优先级是100;而非军事化区域属于中度级别,相应安全优先级是50;不可信任区域所对应的安全优先级则非常低。
3.2 实验拓扑设计
笔者针对防火墙所开展的实验设计是以计算机网络管理方针平台为基础的,是防火墙接口e0/0与外部网络Internet之间相互连接,e0/1接口与内部网络Intranet之间相互连接,而e0/2接口则与非军事化区域DMZ之间相互连接。
为了对防火墙效果进行验证,将三台计算机安装于VMware虚拟机之上。其操作系统分别是Windows server2003,Windows server2008和Windows XP。三者中安装有Windows server2003系统的计算机,其IP地址为202.102.10.100/24,将此台机器当作Internet中的一个服务器;而安装有Windows server2008的计算机,其IP地址是192.168.3.100/24,将此计算机当作校园网内的一个网络服务器;安装有Windows XP的计算机,其IP地址是192.168.20.100/24,将其当作计算机学院内的一个终端设备。
4 防火墙配置过程
4.1 校园网内部网络的相互连通
使校园网之间相互连接需要配置网络设备及终端。先要对接入层设备进行配置,在接入层设备中具体划分出VLAN,并针对端口模式加以设置。使每一个接入层的设备都被划分成2个VLAN,并使各设备中的2~7号端口、8~15号端口被放进不同VLAN当中,随后对汇聚层连接设备所处的端口模式进行设置(Trunk)[5]。为汇聚层端口配置IP地址,将其当作终端设备对应的网关地址,依靠汇聚层与接入层设备相互连接设备的端口完成子接口创建,以此解决一个汇聚层接口与两个VLAN网段相互连接的问题。除此之外,还要针对汇聚层和核心层接口相互连接的IP地址加以配置。
在完成各种基本配置以后,要将动态路由协议启动,使不同网络之间实现相互连接。RIP协议属于较为常用的一种动态路由协议,需要对防火墙与内网端口IP地址相互连接、动态路由协议进行配置,让内网计算机可以完成与此端口之间的相互连通。
4.2 外部网络的相互连通
先要针对路由器接口IP地址加以配置,再设置防火墙与外网相互连接接口e0/0的IP地址,最后对Windows server 2003服务器IP地址进行设置。在完成上述操作之后,还要针对外部网络所具备的连通性加以测试,由外网服务器ping防火墙与外网端口之间相互连接,通过所获结果得知能够实现连接。
4.3 DMZ区的相互连通
针对DMZ服务器和防火墙相互连接的DMZ区端口加以测试,以确认其连通性,实验结果发现是连通的[6]。
5 结语
总而言之,防火墙对于保障计算机网络安全具有非常重要的作用和意义,对其开展仿真实验是提升其应用性能的关键措施之一,值得人们投入更多人力、物力和财力促进实验研究活动的进一步深化。作为一名网络安全管理人员,应该在日常工作中积极探索,对国外的一些先进应用技术和理念加以借鉴,继而与我国计算机网络安全的整体情况相结合,创建一套更加贴合我国国情的网络安全仿真体系,在实现自我价值的同时,为国家安全提供更大保障,促进国家政治、经济的稳定发展。