姜恩華，李素文，趙慶平，汪徐德

(淮北師范大學 物理與電子信息學院，安徽 淮北 235000)

計算機網(wǎng)絡安全課程是網(wǎng)絡工程、通信工程和信息安全等專業(yè)重要的基礎課程，其教學內容分為理論教學和實驗教學兩部分.防火墻技術是計算機網(wǎng)絡安全課程理論教學的重要知識點[1]，也是該課程實驗教學的重要內容，在實驗室缺乏網(wǎng)絡硬件設備的情況下，如何開展防火墻技術的實驗教學是值得研究的問題.

在計算機網(wǎng)絡安全課程實驗教學的過程中，發(fā)現(xiàn)可以采用Packet Tracer5.3.2軟件輔助完成防火墻技術實驗的教學，在Packet Tracer5.3.2軟件平臺上，通過路由器、計算機和服務器等網(wǎng)絡仿真設備搭建防火墻技術實驗的網(wǎng)絡仿真場景[2]，然后在路由器上配置訪問控制列表ACL、基于上下文的訪問控制CBAC和基于區(qū)域的防火墻技術ZFW，完成防火墻技術的實驗教學，實驗過程靈活、直觀和方便，能夠提高防火墻技術實驗教學的效率，降低實驗成本，不但解決了因缺乏網(wǎng)絡硬件設備不能開展防火墻技術實驗教學的問題，而且鍛煉了學生配置防火墻技術的能力.

1 防火墻技術

1.1 計算機網(wǎng)絡安全課程涉及的防火墻技術

在計算機網(wǎng)絡安全課程中主要講述包過濾型和狀態(tài)監(jiān)測型等防火墻技術.包過濾依據(jù)數(shù)據(jù)包的源地址和源端口、目的地址和目的端口及其數(shù)據(jù)包的傳送協(xié)議實現(xiàn)允許或拒絕數(shù)據(jù)包通過路由器；狀態(tài)監(jiān)測在數(shù)據(jù)包過濾的基礎上，對發(fā)起初始連接的數(shù)據(jù)包進行狀態(tài)監(jiān)測，把數(shù)據(jù)包信息與防火墻中的規(guī)則比較，若沒有規(guī)則允許，則拒絕連接，否則允許建立連接，構造一個會話，此會話主要包括該連接源地址、源端口、目標地址、目標端口和連接時間等信息，若后續(xù)數(shù)據(jù)包到達時，把數(shù)據(jù)包信息與會話信息比較，若匹配，允許數(shù)據(jù)包通過[1，3].

1.2 Packet Tracer5.3.2軟件配置防火墻技術的方法

在Packet Tracer5.3.2軟件中，實現(xiàn)的防火墻技術主要包括：標準的訪問控制列表和擴展的訪問控制列表ACL，ACL是路由器端口的指令列表，允許或拒絕端口轉發(fā)數(shù)據(jù)包；基于上下文的訪問控制CBAC，在應用層過濾TCP和UDP數(shù)據(jù)包；基于區(qū)域的防火墻技術ZFW，區(qū)域內的不同接口之間可以自由訪問，區(qū)域之間默認為數(shù)據(jù)包全部丟棄，若允許區(qū)域之間某些數(shù)據(jù)包通過則需配置相應的策略.

2 防火墻技術實驗教學案例分析

在Packet Tracer5.3.2軟件環(huán)境下完成防火墻技術實驗教學，其教學目的主要包括：

(1)掌握訪問控制列表ACL、基于上下文的訪問控制CBAC和基于區(qū)域的防火墻技術ZFW的概念和原理；(2)掌握訪問控制列表ACL、基于上下文的訪問控制CBAC和基于區(qū)域的防火墻技術ZFW配置指令和步驟；(3)設計防火墻技術實驗的網(wǎng)絡拓撲結構并規(guī)劃各個端口的IP地址，在路由器上配置防火墻技術，實現(xiàn)網(wǎng)絡安全；(4)實驗結果測試.

2.1 防火墻技術實驗的網(wǎng)絡拓撲結構設計

根據(jù)訪問控制列表ACL、基于上下文的訪問控制CBAC和基于區(qū)域的防火墻技術ZFW的概念、原理及其在Packet Tracer5.3.2仿真平臺上的配置方法，設計的網(wǎng)絡拓撲結構如圖1所示.對圖1所示的網(wǎng)絡拓撲結構中網(wǎng)絡設備各個端口的IP地址進行規(guī)劃，各端口的IP地址信息如表1所示.

圖1 防火墻技術實驗的網(wǎng)絡拓撲結構

表1 網(wǎng)絡設備各個端口的IP地址信息

2.2 防火墻技術實驗教學的內容與要求

防火墻技術實驗教學的內容與要求主要包括：(1)通過配置訪問控制列表ACL和基于上下文的訪問控制CBAC，使PC1不能訪問Server0，PC0能訪問Server1服務器的www服務，不能訪問FTP服務；(2)通過配置基于區(qū)域的防火墻技術ZFW，使PC1不能訪問Server0，PC0能訪問Server1的www服務，不能訪問FTP服務.

3 實驗操作過程

在Packet Tracer5.3.2軟件平臺上，按照圖1搭建防火墻技術實驗的網(wǎng)絡仿真場景，按照表1配置網(wǎng)絡設備各端口的IP地址信息，采取RIP路由協(xié)議，測試PC0、PC1、Server0和Server1之間能夠互相連通，在PC0和PC1上，能夠訪問Server0和Server1的www服務和FTP服務.

3.1 訪問控制列表ACL和CBAC配置

(1)配置標準訪問列表.在路由器Router0上配置標準訪問列表，實現(xiàn)PC1不能訪問Server0，但能與PC0互相連通，配置步驟如下[4，5，6].

Router0(config)#access-list 1 deny 192.168.2.2 0.0.0.0

Router0(config)#access-list 1 permit 192.168.1.2 0.0.0.0

Router0(config)#interface Serial0/0/0

Router0(config-if)#ip access-group 1 out

在PC1上測試：PC1不能訪問Server0；PC1能與PC0連通；在PC0上測試，PC0能夠訪問Server1服務器的www服務和FTP服務，也能與PC1連通.

(2)配置擴展訪問控制列表和CBAC .在路由器Router2上配置擴展訪問控制列表和基于上下文的訪問控制CBAC，實現(xiàn)PC0能訪問Server1服務器的www服務，但不能訪問FTP服務，配置步驟如下[4，5，6].

Router2(config)#access-list 100 permit tcp 192.168.1.2 0.0.0.0 host 192.168.4.2 eq www

Router2(config)#access-list 100 deny tcp 192.168.1.2 0.0.0.0 host 192.168.4.2 eq ftp

Router2(config)#ip inspect name a100 http //配置CBAC的檢測機制

Router2(config)#interface Serial0/0/0

Router2(config-if)#ip access-group 100 out

Router2(config-if)#ip inspect a100 out //配置CBAC

Router2(config-if)#ip inspect a100 in //配置CBAC

在PC0上測試：PC0能夠訪問訪問Server1服務器的www服務，不能訪問FTP服務.

3.2 基于區(qū)域的防火墻技術ZFW配置

在路由器Router1上配置ZFW區(qū)域的防火墻技術，實現(xiàn)PC1不能訪問Server0，PC0能訪問Server1的www服務，不能訪問FTP服務.

首先將網(wǎng)絡分為2個區(qū)域，信任區(qū)trustzone：包括Server0、PC0和Router0；因特網(wǎng)區(qū)internetzone：包括Server1、PC1和Router1.ZFW配置步驟如下[4，5，6].

(1)定義信任區(qū)域到因特網(wǎng)區(qū)域的信息流，允許IP地址為192.168.1.2主機PC0訪問IP地址為192.168.4.2的服務器Server1的www服務，拒絕訪問FTP服務.

Router1(config)#access-list 101 permit tcp 192.168.1.2 0.0.0.0 host 192.168.4.2 eq www

Router1(config)#access-list 101 deny tcp 192.168.1.2 0.0.0.0 host 192.168.4.2 eq ftp

Router1(config)#class-map type inspect match-all trust-to-internet

Router1(config-cmap)#match access-group 101

(2)定義信任區(qū)至因特網(wǎng)區(qū)的策略

Router1(config)#policy-map type inspect 1

Router1(config-pmap)#class type inspect trust-to-internet

Router1(config-pmap-c)#inspect

Router1(config-pmap-c)#class type inspect class-default

(3)創(chuàng)建區(qū)域，信任區(qū)域名稱為：trustzone，因特網(wǎng)區(qū)域名稱為：internetzone.

Router1(config)#zone security trustzone

Router1(config-sec-zone)#exit

Router1(config)#zone security internetzone

(4)將策略作用到區(qū)域間信息流，其中源區(qū)域為信任區(qū)trustzone，目的區(qū)域為因特網(wǎng)區(qū)internetzone.

Router1(config)#zone-pair security trust-internet source trustzone destination internetzone

Router1(config-sec-zone-pair)#service-policy type inspect 1

(5)將路由器Router1的接口Serial0/0/0分配給信任區(qū)域trustzone，將路由器Router1的接口Serial0/0/1分配給因特網(wǎng)區(qū)域internetzone.

Router1(config)#interface Serial0/0/0

Router1(config-if)#zone-member security trustzone

Router1(config-if)#exit

Router1(config)#interface Serial0/0/1

Router1(config-if)#zone-member security internetzone

在PC1上測試，PC1不能訪問Server0服務器，在PC0上測試，PC0可以訪問Server1的www服務，不能訪問FTP服務.

4 實驗效果分析

借助Packet Tracer5.3.2軟件完成防火墻技術的實驗教學，設計了防火墻技術的實驗教學案例，以計算機、服務器和路由器組成防火墻技術實驗的網(wǎng)絡仿真場景，從實驗目的、實驗內容與操作步驟、網(wǎng)絡拓撲結構設計和IP地址規(guī)劃、防火墻技術配置和實驗結果測試等方面分析了實驗教學案例的編寫過程；通過對訪問控制列表ACL、基于上下文的訪問控制CBAC和基于區(qū)域的防火墻技術ZFW的配置和測試，分析了仿真實驗過程；學生通過獨立完成仿真實驗，能夠加深對防火墻知識的掌握與理解，鍛煉配置防火墻技術的能力，提高了防火墻技術實驗教學的有效性.

參考文獻：

[1]黃河. 計算機網(wǎng)絡安全--協(xié)議、技術與應用[M].北京：清華大學出版社，2008.

[2]Cisco Packet Tracer[EB/OL]. http://www.cisco.com/web/learning/netacad/course_catalog/PacketTracer.html，2011.

[3] 馮博琴，陳文革.計算機網(wǎng)絡[M].北京:高等教育出版社，2008.

[4] 李晉超.基于Packet Tracer 模擬軟件配置路由器ACL[J].長治學院學報， 2011， 28(2):64-67.

[5](美)David Hucaby，(美)Steve McQuerry，(美)Andrew Whitaker著. Cisco路由器配置手冊(第2版)[M]. 付強， 張人元，譯.北京：人民郵電出版社，2012.

[6] 沈鑫剡，葉寒鋒，劉鵬，景麗.計算機網(wǎng)絡安全學習輔導與實驗指南[M].北京:清華大學出版社，2012.