基于Packet Tracer的ASA防火墻實驗設(shè)計

范君 蔡彬彬

摘要：防火墻實驗是網(wǎng)絡(luò)課程中安全實驗的一個重要組成部分，從防火墻安全實驗教學(xué)出發(fā)，以項目化教學(xué)案例為引導(dǎo)，設(shè)計實驗需求、實驗拓?fù)洹嶒灁?shù)據(jù)，使用PacketTracer仿真軟件給出實驗拓?fù)湓O(shè)計與配置流程，并對實驗結(jié)果進(jìn)行驗證與分析。應(yīng)用結(jié)果表明，該實驗對學(xué)生提升的防火墻配置能力和協(xié)助教師教學(xué)開展取得良好效果。

關(guān)鍵詞：ASA;防火墻;Packet Tracer;實驗設(shè)計

中圖分類號：TP391.9 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）32-0039-04

1概述

隨著互聯(lián)網(wǎng)應(yīng)用發(fā)展，對網(wǎng)絡(luò)工程安全的要求日益提高，防火墻已經(jīng)成為在網(wǎng)絡(luò)工程建設(shè)中必不可少的設(shè)備，防火墻實驗也成為網(wǎng)絡(luò)技術(shù)課程中的重要實驗內(nèi)容之一。較常規(guī)實驗課而言，防火墻的實驗教學(xué)有較大的難度，首先，防火墻技術(shù)需以路由與交換技術(shù)為基礎(chǔ)，防火墻的數(shù)據(jù)過濾機(jī)制和數(shù)據(jù)地址轉(zhuǎn)換機(jī)制復(fù)雜，理論學(xué)習(xí)難度較高;其次，防火墻硬件產(chǎn)品價格高于其他網(wǎng)絡(luò)產(chǎn)品，在學(xué)生實踐過程中難以實現(xiàn)每名學(xué)生獨立擁有物理防火墻實驗條件，使得教學(xué)實踐難以大規(guī)模開展和深入。

目前，Packet Tracer仿真環(huán)境已實現(xiàn)ASA5505防火墻的仿真，該類仿真環(huán)境是對思科ASA防火墻硬件的仿真，此類仿真較CBAC路由器級的防火墻實驗更接近真實的防火墻環(huán)境。因此設(shè)計基于ASA5505的仿真實驗，作為防火墻教學(xué)實踐的課程載體，借助實際案例展示工程實施流程和步驟，幫助學(xué)生掌握防火墻原理和知識，并進(jìn)一步完善和深化學(xué)生在實驗環(huán)節(jié)中配置防火墻的能力。

2實驗背景

工學(xué)結(jié)合的計算機(jī)網(wǎng)絡(luò)工程的實驗，應(yīng)源于工程實踐并適合實驗類的教學(xué)開展?；谏鲜隼砟?，實驗設(shè)計以江蘇某物流企業(yè)的廣域網(wǎng)改造的項目作為實驗設(shè)計的項目載體，根據(jù)企業(yè)的網(wǎng)絡(luò)安全實際規(guī)劃進(jìn)行教學(xué)過程中的ASA防火墻實驗設(shè)計。該企業(yè)無錫總部通過ASA5520防火墻外聯(lián)至互聯(lián)網(wǎng)，徐州分支機(jī)構(gòu)則使用ASA5510防火墻外聯(lián)至互聯(lián)網(wǎng)，兩臺防火墻通過接入運(yùn)營商ISP實現(xiàn)分支機(jī)構(gòu)訪問總部相關(guān)數(shù)據(jù)業(yè)務(wù)。

3實驗設(shè)計

3.1拓?fù)湓O(shè)計

參考上述企業(yè)需求，實驗拓?fù)湓O(shè)計如圖1所示，總部和分支機(jī)構(gòu)都使用ASA5500系列設(shè)備互聯(lián)至ISP運(yùn)營商，總部的ASA防火墻按照業(yè)務(wù)流量，劃分為OutSide、InSide、DMZ三個不同的區(qū)域，其中OutSide區(qū)上聯(lián)至ISP，InSide下聯(lián)到內(nèi)網(wǎng)的3560交換機(jī)，DMZ側(cè)聯(lián)至對外業(yè)務(wù)的Web服務(wù)器用于提供外部訪問公司門戶網(wǎng)站。分支機(jī)構(gòu)的ASA防火墻按業(yè)務(wù)流量只劃分為OutSide、InSide兩個區(qū)域。實驗拓?fù)鋱D如圖1所示。

3.2IP地址規(guī)劃

根據(jù)設(shè)計，將工程中涉及的設(shè)備互聯(lián)IP網(wǎng)段、終端設(shè)備業(yè)務(wù)網(wǎng)段IP進(jìn)行統(tǒng)一規(guī)劃嘲，網(wǎng)絡(luò)設(shè)備IP規(guī)劃如表1所示，終端設(shè)備IP地址規(guī)劃如表2所示。

3.3防火墻安全設(shè)計

防火墻所聯(lián)的各個網(wǎng)段對應(yīng)不同的安全區(qū)域，這些安全區(qū)域中設(shè)置為不同的安全級別。數(shù)據(jù)流量通過防火墻時，防火墻將根據(jù)流量的方向、流經(jīng)區(qū)域安全級別，應(yīng)用在端口上所設(shè)置的不同的安全策略對數(shù)據(jù)流量進(jìn)行過濾和限制，故防火墻的端口安全級別需要在設(shè)計之初就規(guī)劃好?；谏鲜鏊悸罚瑢τ谕?fù)鋱D中防火墻的安全規(guī)劃如表3所示，其中端口安全級別的數(shù)值范圍為0-100，數(shù)值越大表示安全級別越高。

3.4實驗仿真設(shè)計

3.4.1實驗設(shè)備拓?fù)浞抡?/p>

參考3.1小節(jié)拓?fù)湓O(shè)計、IP地址規(guī)劃表和防火墻安全規(guī)劃表，使用Pack-et Tracer6.3進(jìn)行仿真拓?fù)湓O(shè)計。在Packet Tracer6.3中，選擇兩臺ASA5505分別作為總部和分支的對外互聯(lián)設(shè)備，在兩臺防火墻中間選擇一臺2811路由器模擬ISP電信運(yùn)營商互聯(lián)至防火墻。兩臺ASA5505的安全區(qū)域所對應(yīng)的互聯(lián)設(shè)備，依照安全區(qū)域的設(shè)計規(guī)劃與表1數(shù)據(jù)，分別選擇3560和2960交換機(jī)進(jìn)行互聯(lián)。所設(shè)計的實驗拓?fù)浞抡嫒鐖D2所示。

3.4.2路由器配置

因防火墻內(nèi)部流量IP為私有網(wǎng)段無須發(fā)布到外部路由器的路由表中，根據(jù)拓?fù)湓O(shè)計，ISP路由器只需完成如圖2所示的端口配置即可。

3.4.3防火墻配置

根據(jù)實際工程實施流程，在實驗設(shè)計中，將防火墻的配置劃分為端口配置、路由配置、NAT地址映射配置、安全策略配置等幾個步驟嘲，上述各個部分的配置過程是逐層遞進(jìn)的關(guān)系，為避免將當(dāng)前配置過程中的錯誤引入到下一階段，在配置過程中需要對階段功能進(jìn)行驗證。

步驟1：防火墻端口配置

不同于ASA5510級別以上的ASA系列防火墻，ASA5505的物理接口實際是作為二層端口，該端口不能夠直接配置三層lP地址，需要在交換虛擬接口SVI（Switch Virtual Interface）中先行配置Interface VLAN IP地址，之后將二層端口加入對應(yīng)的VLAN后實現(xiàn)三層轉(zhuǎn)發(fā)功能。以總部ASA5505為例，參照表3的數(shù)據(jù)，對端口的名稱、安全級別、地址等信息進(jìn)行配置，如圖3所示。

ASA5505默認(rèn)使用VLAN 1、VLAN 2作為IP配置，在實驗配置中，為讓學(xué)生體會在防火墻設(shè)計中VLAN的規(guī)劃，在配置前需將VLAN l和VLAN2中默認(rèn)配置的nameff區(qū)域名、IP地址配置信息去除，根據(jù)表3的規(guī)劃自行建立VLAN 10、VLAN 20、VLAN 30。因仿真軟件對ASA5505的限制，仿真環(huán)境中最多只能使用三個nameif區(qū)域，禁止多于兩個區(qū)域以上的流量進(jìn)入in-side區(qū)域，即第三個VLAN端口的流量配置時有限制，故在配置dmz端口的時候，需要先行增加如圖3中f1）的命令，限制dmz區(qū)域的流量進(jìn)人inside區(qū)域之后，方可正常啟用dmz端口功能。

配置完SVI，即可將ASA 5505防火墻的物理接口分配到SVI所相應(yīng)的VLAN中，配置如圖5所示。

步驟2：防火墻路由配置

ASA定義靜態(tài)路由目的在于讓防火墻對發(fā)往不同區(qū)域流量的目標(biāo)IP進(jìn)行識別并轉(zhuǎn)發(fā)到相應(yīng)的outside、inside或dmz區(qū)域。如圖5所示，總部的ASA5505-01訪問公網(wǎng)非直連網(wǎng)段130.0.0./30，需要首先指明流量路由到outside端口，然后設(shè)置目標(biāo)網(wǎng)段、子網(wǎng)掩碼和指向ISP路由器的220.0.0.2下一跳地址。

步驟3：NAT地址映射配置

服務(wù)器IP映射方式根據(jù)其業(yè)務(wù)分為兩類，一類是靜態(tài)NAT映射，實現(xiàn)一對一的映射，通過nat命令指定服務(wù)器內(nèi)網(wǎng)ip映射到的公網(wǎng)地址供外部用戶訪問，如圖7命令f1）所示。另一類是端口NAT映射，當(dāng)內(nèi)部多臺服務(wù)器需要主動發(fā)起內(nèi)網(wǎng)到外網(wǎng)的訪問，可將此類服務(wù)器網(wǎng)段地址統(tǒng)一映射到防火墻outside外網(wǎng)口的IP，實現(xiàn)多對一的映射，如圖6命令（2）所示。

步驟4：安全策略配置

完成基本配置的防火墻，需要開啟基本的安全策略防火墻才能開始工作。默認(rèn)情況下，ASA防火墻允許高安全區(qū)域的數(shù)據(jù)流量流向低安全區(qū)，而低安全區(qū)域流量流向高安全區(qū)時則需要通過設(shè)置安全策略命令放行，ASA安全策略特性如圖7所示。

ASA安全策略分析，以dmz區(qū)的服務(wù)器ping包訪問outside區(qū)的ISP路由器地址為例，數(shù)據(jù)流量從dmz區(qū)進(jìn)入ASA防火墻后，ASA判斷目標(biāo)IP對應(yīng)outside區(qū)域，且該區(qū)域的安全級別低于源IP的dmz區(qū)域，則ASA放行此部分流量，并在離開outside端口前應(yīng)用NAT將dmz的服務(wù)器地址轉(zhuǎn)換為公網(wǎng)IP。當(dāng)上述流量返回，ASA安全策略判別源lP、目標(biāo)lP安全級別相同，ASA防火墻從outside端口接受流量后將目標(biāo)lP地址通過NAT轉(zhuǎn)換為dmz區(qū)域的IP地址，此時防火墻進(jìn)一步檢查安全策略，防火墻判別目標(biāo)IP地址安全級別高于源IP地址，在未設(shè)置安全策略時則默認(rèn)將此部分流量丟棄。

為放行outside上聯(lián)isp的220.0.0.0/29網(wǎng)段訪問dmz服務(wù)器172.16.10.0/24網(wǎng)段的流量，定義如圖9所示的安全策略并應(yīng)用到端口中。根據(jù)流量的源IP和目標(biāo)IP所對應(yīng)的網(wǎng)段，首先定義網(wǎng)段IP對應(yīng)的地址對象，如圖9命令（1）所示。然后定義ACL安全策略，允許在icmp協(xié)議背景下，上述isp網(wǎng)段訪問dmz網(wǎng)段，如圖9命令（2）所示。最后將定義的安全策略應(yīng)用到dmz端口的out方向上，如圖9命令（3）所示。

inside與outside區(qū)域之間的流量安全策略定義與部署與圖8命令類似，除地址對象和ACL不一樣外，應(yīng)在inside端口out方向上應(yīng)用安全策略。

3.4.4交換機(jī)配置

總部的3560交換機(jī)下聯(lián)的多個VLAN的網(wǎng)關(guān)終結(jié)在3560上，與ASA5505采用三層連接。仿真環(huán)境中設(shè)計中，我們發(fā)現(xiàn)ASA5505防火墻仿真環(huán)境中，對于直連的inside區(qū)域的流量是可以直接通過防火墻NAT進(jìn)行地址轉(zhuǎn)換后訪問外網(wǎng)，而3560以下的VLAN業(yè)務(wù)流量到達(dá)ASA5505時，盡管有相關(guān)NAT和策略放行配置命令，但ASA5505并不支持對此部分非直連的in-side區(qū)域IP網(wǎng)段實現(xiàn)NAT功能。

為解決上述問題，在實驗設(shè)計中，利用3560具備三層路由和NAT功能，將源地址為非直連的內(nèi)網(wǎng)業(yè)務(wù)IP網(wǎng)段，在3560-02設(shè)備上先行NAT轉(zhuǎn)換為3560-02與ASA5505互聯(lián)網(wǎng)段的IP網(wǎng)段，最終通過兩級NAT實現(xiàn)防火墻放行inside區(qū)域所有IP網(wǎng)段訪問外網(wǎng)。

默認(rèn)情況下，3560交換機(jī)處于二層工作模式，需要使用如圖9所示的命令（1）進(jìn)入三層工作模式。進(jìn)行NAT的outside端口則直接定義在物理接口Gigo/1上，且該接口也配置了物理IP，如命令（2）、（3）所示，而NAT的inside端口則在VLAN 10和VLAN 20的SVI接口下配置，如命令（4）、（5）所示。對于上述兩個VLAN的地址網(wǎng)段通過定義ACL，配置基于Gig0/1端口的NAT[121端口映射，如命令（6）所示，將上述網(wǎng)段的IP均轉(zhuǎn)換為10.0.0.2的IP地址，并配置3560缺省路由指向ASA5505的in-side端口IP，如圖命令（7）所示，最終實現(xiàn)所有內(nèi)網(wǎng)流量能夠訪問到ISP路由器。篇幅所限，3560的HSRP等配置此處不再敘述。

5實驗驗證

上述數(shù)據(jù)配置完成后，進(jìn)行實驗數(shù)據(jù)檢驗與分析。首先通過在防火墻節(jié)點執(zhí)行show route命令，檢測ASA設(shè)備的路由表中的靜態(tài)路由、缺省路由等信息是否完整，轉(zhuǎn)發(fā)方向和端口是否對應(yīng)。

對于ASA功能配置驗證，以DMZ區(qū)域的兩臺服務(wù)器為例，使用Server1服務(wù)器訪問ASA外網(wǎng)側(cè)的路由器，執(zhí)行ping命令結(jié)果如圖10所示。

檢查防火墻的流量轉(zhuǎn)換情況，可通過show nat命令觀察和驗證。如圖11所示，觀察到內(nèi)網(wǎng)VLAN 10和VLAN 20訪問ISP路由器時，可以看到內(nèi)網(wǎng)流量NAT轉(zhuǎn)換都正常，同時dmz區(qū)的服務(wù)器也有NAT成功的流量記錄。即NAT配置和安全策略使用正常。

6總結(jié)

通過設(shè)計ASA防火墻的綜合性實驗，能夠讓學(xué)生較為完整的理解防火墻在工程項目中的設(shè)計和應(yīng)用，提高了學(xué)生的防火墻設(shè)計、實施、故障排除能力，同時有效了提升學(xué)生在網(wǎng)絡(luò)系統(tǒng)集成過程中安全設(shè)計能力。實驗設(shè)計中在3560上啟用NAT功能，結(jié)合ASA防火墻NAT功能，實現(xiàn)兩級NAT地址轉(zhuǎn)換，有效促進(jìn)學(xué)生在設(shè)計過程中對NAT的理解和應(yīng)用。