基于GNS3的防火墙实验室构建研究

摘 要：针对高职院校网络技术教学过程中网络安全技术更新快、建设网络安全实验室投入成本大等问题，提出使用GNS3开源软件平台构建ASA防火墙实验环境，通过仿真实验表明，GNS3能够很好的满足ASA防火墙实验教学需要。

关键词：GNS3；网络安全；ASA防火墙

中图分类号：TP391.9

随着网络技术的快速发展，网络安全问题也日益受到各大企业的关注，因此许多的高职院校中也将网络安全技术加入到计算机网络技术专业的教学内容当中。然而，网络安全技术是一门实践性非常强的技术，为满足众多学生的学习需求，需要购买大量的网络安全设备，由于网络安全设备价格非常昂贵，因此建设网络安全技术实验室需要投入相当大的成本，部分学校只停留在理论教学环节，教学效果不理想。本文通过使用GNS3开源软件，在PC平台上仿真Cisco公司的ASA防火墙，由于GNS3软件可以模拟多台防火墙设备，因此可以在1台PC上模拟出一个网络安全实验室环境，通过实验表明，GNS3能够很好的满足网络安全技术实验需要，能极大的提升实践教学效果。

1 ASA防火墙

ASA防火墙是Cisco公司的一款集防火墙、VPN集中器以及入侵检测（IDS）为一体的网络安全产品[1]。Cisco ASA防火墙是一款非常出色的企业级防火墙，在各行各业都得到了广泛的应用，它不仅提供了防火墙的基本功能，还能适应于各种网络应用环境，方便企业的管理、监控和维护。其主要特性有：应用层感知状态包过滤；可以扩展IPS（入侵防御系统）和有着内容过滤功能；支持DHCP和PPPoE客户动态分析地址，支持RIP、OSPF、EIGRP等多种路由协议；支持多种AAA协议对拔入ASA的各类远程访问VPN、登录ASA的管理会话和穿越ASA的网络流量进行AAA的认证、授权；支持各类VPN等。

2 实验环境搭建

2.1 实验环境简介。实验环境中使用最新版的GNS3 1.2.1模拟器[2]，最新版本的GNS3集成了GNS3 Server、Packet Capture、VPCS、Dynamips、IOS on UNIX、VirtualBox、QEMU等组件，其中Dynamips可以模拟Cisco的1800、2600、3600、3725、7200系列的路由器和部分交换机功能；GNS3 Server可以实现在多台PC上实现分布式的交换机路由器仿真平台，达到更多的仿真设备互连；Packet Capture可以捕捉数据链路间的数据包，主要用来对网络协议进行分析，默认使用Wireshark进行数据包的捕获与分析；VPCS可以模拟PC的功能；QEMU可以仿真Cisco PIX防火墙、IDS以及ASA防火墙以及IPS（入侵防御系统），本实验主要利用QEMU来模拟Cisco公司的ASA8.4.2防火墙，其设备方法如图1所示。

图1 ASA防火墙设置窗口

2.2 网络安全实验拓朴。为了充分更好的仿真ASA防火墙功能，同时又能节约系统资源，本实验中规划了如图2所示的网络实验环境，其中ASA-1防火墙提供了三个接口，一个接口与互联相连，一个接口与DMZ区（非军事区）相连，一个接口与内部局域网络互连。主要在内部PC1上测试是否能够访问DMZ区的Web Server以及Internet区的主机。

图2 网络安全实验室拓扑

3 实验配置与分析

3.1 实验配置。ASA防火墙的配置如下：

（1）初始化ASA防火墙设备

ASA# configure terminal

ASA（config）#interface g0/0

ASA（config-if）#nameif inside

ASA（config-if）#sec 100

ASA（config-if）#ip address 192.168.1.254 255.255.255.0

ASA（config-if）#no shutdown

ASA（config-if）#interface gigaethernet 0/1

ASA（config-if）#nameif dmz

ASA（config-if）#sec 50

ASA（config-if）#ip address 192.168.20.254 255.255.255.0

ASA（config-if）#no shut

ASA（config-if）#interface gigaethernet 0/2

ASA（config-if）#nameif outside

ASA（config-if）#sec 0

ASA（config-if）#ip address 172.16.1.254 255.255.255.0

ASA（config-if）#no shutdown

（2）配置ASA防火墙的静态路由

ASA（config）#route outside 0.0.0.0 0.0.0.0 172.16.1.254

（3）配置PAT和Static NAT

ASA（config）#nat （inside） 1 192.168.1.0 255.255.255.0

ASA（config）#global （outside） 1 interface

（4）配置ACL放行WWW、ICMP流量

ASA（config）#access-list OUT extended permit icmp any any

ASA（config）#access-list OUT extended permit tcp any interface outside eq www

3.2 实验分析。系统配置完成后，可以在PC1上使用ping命令测试与DMZ区的Web服务器以及Internet区域的主机进行连通性测试，能够得到正确的响应，表明数据包均能顺利的通过防火墙。

4 结束语

使用GNS3模拟器仿真ASA防火墙，几乎可以模拟ASA所有的功能，学习者可以在虚拟的环境下随意的搭建网络安全拓朴环境，仿真各类网络安全实验，同时由于GNS3是软件模拟环境，可以及时更新，模拟出当前最先进的网络安全设备环境，同时还可以结合VMware虚拟机技术[3]，构建更为逼真的网络实验环境，此方法不失为一种有效的网络安全实验室建设方案，在节约网络安全实验室建设成本的同时也能有效提升教学效果，值得在广大的职业院校中推广使用。

参考文献：

[1]黄俊.浅析防火墙ASA特性及其和NAT技术结合的合理性[J].中国新通信，2013（09）.

[2]GNS3.http：//[EB/OL]，2014.12.

[3]龙艳军，欧阳建权，俞佳曦.基于VMware和GNS3的虚拟网络系统集成实验室研究[J].实验技术与管理，2013.

作者简介：陈彦（1969-），湖南永州人，副教授，主要研究方向：网络安全技术。

作者单位：永州职业技术学院，湖南永州 425000