基 于 eNSP 的 防 火 墙 仿 真 实 验

孟 祥 成

(三江学院 计算机科学与工程学院，江苏 南京 210012)



基 于 eNSP 的 防 火 墙 仿 真 实 验

孟 祥 成

(三江学院 计算机科学与工程学院，江苏 南京 210012)

介绍了防火墙的原理和工作模式，从防火墙教学实验出发，以工程案例为引导，设计教学实验目的、拓扑结构、实验环境。利用 eNSP软件仿真防火墙技术实验，实验给出了详细的设计方法、拓扑结构、配置过程和配置命令，并对实验结果进行验证和分析。实验证明，通过防火墙仿真实验的设计和验证，学生能够更好地了解网络设备与加深巩固理论教学的内容，该仿真实验方法在计算机网络实践课程的实验教学中取得了良好的效果。

eNSP； 仿真； 防火墙

0 引 言

随着“互联网+”越来越火热，互联网作用又上升了一个层次，网络安全越来越受到重视，防火墙在互联网中的安全作用不言而喻。而现实中由于防火墙教学设备缺乏或因设备昂贵无财力购买，影响了实验教学[1]。笔者设计的防火墙仿真实验案例，能够很好地仿真防火墙技术，达到和现实中真实设备一样的效果。

1 防火墙的基本原理和工作模式

1.1 防火墙的基本原理

防火墙技术作为一种隔离内部安全网络与外部不信任网络的防御技术，已经成为计算机网络安全体系结构中的一个重要组成部分。所谓的防火墙指的是一个由软件与硬件设备组合而成、在内部网与外部网之间、专用网与公共网之间的界面上构造的保护隔离屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙[2]。

1.2 防火墙工作模式

防火墙工作模式主要有3种：路由模式、透明模式和混合模式。

路由模式是指设备接口具有IP地址，通过3层与外连接；透明模式是指设备接口没有IP地址，通过2层对外连接；混合模式是指设备接口既有工作在路由模式的接口，又有工作在透明模式的接口。

2 eNSP仿真软件

eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化的网络设备仿真平台，主要对企业网路由器、交换机、WLAN等设备进行软件仿真，完美呈现真实设备部署实景，支持大型网络模拟，可以在没有真实设备的情况下也能够开展实验测试，学习网络技术。目前最新版华为模拟器为eNSP v1.2.00.360。

3 实验设计分析

3.1 实验目的

实验的目的为：①了解防火墙基本原理；②理解防火墙工作模式；③掌握防火墙配置过程；④掌握eNSP使用方法。

3.2 具体实训项目及指导思想

以工程案例为指导思想，以企业真实的工程项目为依据，将现实中的工程项目分解成多个子项目逐步完成，最终将实际任务搭建成实验室的具体实验项目来完成[3]。南京某IT公司因业务需要，在另一个城市昆山建立了子公司，现在要求子公司研发小组能够通过Internet把子公司关键业务机密数据安全地传给总公司。要求子公司可以访问总公司的Web服务器、FTP服务器、Telnet服务器。总公司通过防火墙连接Internet，子公司通过路由器连接到Internet。使用防火墙技术解决这个问题，采取的主要实验步骤为：①需求分析；②拓扑结构设计；③实验环境的配置；④具体实验步骤；⑤实验结果验证。

3.3 网络拓扑结构仿真设计

在eNSP工作区绘制网络拓扑结构仿真图，如图1所示。

图1 网络拓补结构图

3.4 实验环境配置

(1) 设备选择。在进行仿真实验时，选择设备防火墙USG5500 1台，为FW1，作为总公司连接外网Internet接入设备；路由器AR2220 5台，分别为AR1～AR5，其作用分别是：模拟Telnet服务器、模拟Internet网络、子公司连接Internet接入设备、模拟子公司Telnet客户端、模拟Internet外网Telnet客户端；服务器Server 2台，分别为CLIENT1、CLIENT2，其中1台作为Web Server，另外1台作为FTP Server；PC模拟器3台，分别为CLIENT3、CLIENT4、CLIENT5，CLIENT3作为公司南京总部内网普通PC机，CLIENT4作为昆山子公司PC客户端访问Web Server和FTP Server，CLIENT5作为外网PC客户端测试服务器；交换机S3700 3台，为LSW1、LSW2、LSW3，分别为总公司内部组网设备、子公司组网设备、外网设备。

(2) 设备互连。设备端口互连情况，如图1所示。

(3) IP地址规划。为了达到逼真接近现实环境的效果，首先要规划一下IP地址。将南京总部与昆山子公司各自内部主机地址都设置为私有的IP地址，南京总部为192.168.1.0/24，昆山子公司为192.168.2.0/24。将南京总部与外网Internet相连部分的网段设置为202.101.12.0/24，昆山子公司与外网Internet相连部分的网段设置为202.101.10.0/24，外网Internet所包含网段为202.101.15.0/24。

4 网络组建

4.1 总公司网络组建

对总公司防火墙、服务器端设备配置，可以组建一个总公司局域网，主要分为以下几个步骤：

4.1.1 Web Server与FTP Server终端设备IP地址配置

双击CLIENT1，在基础配置窗口中将Web Server IP地址设置为192.168.1.80，子网掩码为255.255.255.0，网关设置为192.168.1.1，如图2所示。CLIENT2，作为FTP服务器， IP地址设置方法与CLIENT1地址设置方法相同，设置为192.168.1.21，子网掩码为255.255.255.0，网关设置为192.168.1.1。CLIENT3，作为总公司内网普通主机，采取DHCP自动分配获得IP地址。

图2 Web服务器IP地址配置

4.1.2 Telnet服务器配置

配置Telnet服务器接口与远程登录方式，双击路由器AR1，在弹出窗口输入命令配置Telnet Server，主要命令如下：

〈Huawei〉system-view //进入系统视图界面

[Huawei]sysname AR1 //修改设备名称为AR1

[AR1]interface GigabitEthernet 0/0/0 //进入接口GE0/0/0

[AR1-GigabitEthernet0/0/0]ip address 192.168.1.23 24 //配置IP地址与子网掩码

[AR1-GigabitEthernet0/0/0]quit //退出接口界面

[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 //定义默认路由，实现网络连通

[AR1]user-interface vty 0 4 //为AR1配置登录方式为密码验证登录

[AR1-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):tel123 //设置密码为tel123

4.1.3 防火墙FW1的配置

(1) 采取路由模式配置防火墙内网与外网的接口，并加入到相应的zone，内网开启DHCP。双击防火墙FW1，在弹出窗口输入命令配置FW1，主要命令如下：

〈SRG〉system-view //进入系统视图界面

[SRG]sysname FW1 //修改设备名称

[FW1]interface GigabitEthernet 0/0/0 //进入接口GE0/0/0

[FW1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 //配置IP地址与子网掩码

[FW1-GigabitEthernet0/0/0]dhcp select interface //关联接口

[FW1-GigabitEthernet0/0/0]dhcp server gateway-list 192.168.1.1 //配置客户端网关

[FW1-GigabitEthernet0/0/0]quit //退出接口界面

[FW1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2 //添加默认路由

[FW1]firewall zone trust //进入trust安全区域视图

[FW1-zone-trust]add interface GigabitEthernet0/0/0 //将接口加入到trust区域

[FW1-zone-trust]quit //退出

[FW1]firewall zone untrust //进入untrust安全区域视图

[FW1-zone-untrust]add interface GigabitEthernet0/0/1 //将接口加入到untrust区域

[FW1-zone-untrust]quit //退出

(2) 配置完成后，内网PC可以获得地址，防火墙可以ping外网设备的地址，但是外网设备没法进行ping防火墙，所以放行untrust到local的inbound的策略里面的icmp和telnet，配置如下：

[FW1]policy interzone local untrust inbound

[FW1-policy-interzone-local-untrust-inbound]policy 1

[FW1-policy-interzone-local-untrust-inbound-1]action permit

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set icmp

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set telnet

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set ftp

[FW1-policy-interzone-local-untrust-inbound-1]policy service service-set http

(3) 开启trust到untrust的默认行为允许。

[FW1]firewall packet-filter default permit interzone trust untrust direction outbound

(4) 开启防火墙的NAT，允许内网访问外网的NAT策略。

[FW1]nat address-group 1 202.101.12.1 202.101.12.1 //创建NAT地址池

[FW1]nat-policy interzone trust untrust outbound //配置trust到untrust的NAT Outbound规则

[FW1-nat-policy-interzone-trust-untrust-outbound]policy 1

[FW1-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

[FW1-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.0 mask 24

[FW1-nat-policy-interzone-trust-untrust-outbound-1]address-group 1

(5) 设置允许外网访问telnet Server、FTP Server、Web Server，telnet使用端口号为2323，其它服务器选择默认端口。先做NAT，再匹配策略。

[FW1]nat server 0 protocol tcp global interface GigabitEthernet0/0/1 2323 inside 192.168.1.23 telnet //配置NAT Server telnet规则

[FW1]nat server 1 protocol tcp global interface GigabitEthernet0/0/1 ftp inside 192.168.1.21 ftp //配置NAT Server FTP规则

[FW1]nat server 2 protocol tcp global 202.101.12.1 www inside 192.168.1.80 www //配置NAT Server http规则

[FW1]policy interzone trust untrust inbound //配置trust到untrust的NAT Inbound规则

[FW1-policy-interzone-trust-untrust-inbound]policy 1

[FW1-policy-interzone-trust-untrust-inbound-1]action permit

[FW1-policy-interzone-trust-untrust-inbound-1]policy service service-set telnet

[FW1-policy-interzone-trust-untrust-inbound-1]policy service service-set ftp

[FW1-policy-interzone-trust-untrust-inbound-1]policy service service-set http

[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.23 0

[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.21 0

[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.1.80 0

4.2 子公司网络组建

对子公司路由器、客户端设备配置，可以组建一个子公司小型局域网，主要分为3步，配置步骤如下：

(1) 路由器AR3配置。配置子公司路由器AR3连接内网的接口，并配置Easy-IP地址转换，双击路由器AR3，在弹出窗口输入命令，主要配置命令如下：

〈Huawei〉system-view //进入系统视图界面

[Huawei]sysname AR3 //修改设备名称为AR3

[AR3]interface GigabitEthernet 0/0/1 //进入接口GE0/0/1

[AR3-GigabitEthernet0/0/1]ip address 192.168.2.1 24 //配置IP地址与子网掩码

[AR3-GigabitEthernet0/0/1]quit //退出接口界面

[AR3]interface GigabitEthernet 0/0/2 //进入接口GE0/0/2

[AR3-GigabitEthernet0/0/2]ip address 202.101.10.2 24 //配置IP地址与子网掩码

[AR3]ip route-static 0.0.0.0 0 202.101.10.1 //添加默认路由

[AR3]acl 2001 //定义ACL 2001

[AR3-acl-basic-2001]rule 5 permit source 192.168.2.0 0.0.0.255 //定义规则源地址

[AR3-acl-basic-2001]quit //退出

[AR3]interface GigabitEthernet0/0/2 //进入接口G0/0/2

[AR3-GigabitEthernet0/0/2]nat outbound 2001 //对ACL 2001定义的地址段进行地址转换，并且直接使用G0/0/2接口的IP地址作为NAT转换后的地址

(2) Telnet客户端配置。双击路由器AR4，在弹出窗口输入命令配置Telnet 客户端，主要命令如下：

〈Huawei〉system-view //进入系统视图界面

[Huawei]sysname AR4 //修改设备名称为AR4

[AR4]interface GigabitEthernet 0/0/2 //进入接口GE0/0/2

[AR4-GigabitEthernet0/0/1]ip address 192.168.2.3 24 //配置IP地址与子网掩码

[AR4-GigabitEthernet0/0/1]quit //退出接口界面

[AR4]ip route-static 0.0.0.0 0.0.0.0 192.168.3.1 //定义默认路由，实现网络连通

(3) FTP、Web客户端配置。双击CLIENT4，在基础配置窗口中将IP地址设置为192.168.2.2，子网掩码为255.255.255.0，网关设置为192.168.2.1，与 Web服务器IP地址配置方法相同，可参照图2。

4.3 外网Internet配置

(1) 路由器AR2配置。配置路由器AR2接口，并运行rip协议关联网络。

〈Huawei〉system-view //进入系统视图界面

[Huawei]sysname AR2 //修改设备名称为AR4

[AR2]interface GigabitEthernet 0/0/1 //进入接口GE0/0/1

[AR2-GigabitEthernet0/0/1]ip address 202.101.12.2 24 //配置IP地址与子网掩码

[AR2-GigabitEthernet0/0/1]quit //退出接口界面

[AR2]interface GigabitEthernet 0/0/2 //进入接口GE0/0/2

[AR2-GigabitEthernet0/0/2]ip address 202.101.10.1 24 //配置IP地址与子网掩码

[AR2-GigabitEthernet0/0/2]quit //退出接口界面

[AR2]interface GigabitEthernet 0/0/0 //进入接口GE0/0/0

[AR2-GigabitEthernet0/0/0]ip address 202.101.15.1 24 //配置IP地址与子网掩码

[AR2-GigabitEthernet0/0/0]quit //退出接口界面

[AR2]rip //开启rip进程

[AR2]version 2 //运行v2版本

[AR2-rip-1]network 202.101.12.0 //宣告网络

[AR2-rip-1]network 202.101.10.0 //宣告网络

[AR2-rip-1]network 202.101.15.0 //宣告网络

(2) Internet Telnet客户端配置。双击路由器AR5，在弹出窗口输入命令配置外网Telnet 客户端，主要命令如下：

〈Huawei〉system-view //进入系统视图界面

[Huawei]sysname AR5 //修改设备名称为AR5

[AR5]interface GigabitEthernet 0/0/2 //进入接口GE0/0/2

[AR5-GigabitEthernet0/0/2]ip address 202.101.15.3 24 //配置IP地址与子网掩码

[AR5-GigabitEthernet0/0/2]quit //退出接口界面

[AR5]ip route-static 0.0.0.0 0.0.0.0 202.101.15.1 //定义默认路由，实现网络连通

(3) 外网FTP、Web客户端配置。双击CLIENT5，在基础配置窗口中将IP地址设置为202.101.15.2，子网掩码为255.255.255.0，网关设置为202.101.15.1，与 Web服务器IP地址配置方法相同，可参照图2。

4.4 防火墙策略配置

要实现子公司客户端可以访问总公司服务器，限制外网Internet客户端访问总公司服务器，还需在总公司防火墙做以下配置：

[FW1]policy interzone trust untrust inbound //配置trust到untrust的NAT Inbound规则

[FW1-policy-interzone-trust-untrust-inbound]policy 1

[FW1-policy-interzone-trust-untrust-inbound-1]policy source 202.101.10.2 0//添加策略，指定子公司网段地址可以访问总公司服务器

5 实验结果验证

5.1 全网互通仿真实验结果

通过上述4.1～4.3节实验过程操作，可以实现子公司与总公司、外网Internet与总公司之间相互通信。通过验证外网客户端、子公司客户端可以访问总公司的Web服务器、FTP服务器、Telnet服务器。

5.2 仿真实验最终结果

在全网互通的基础上，总公司防火墙添加策略配置，见4.4节实验过程操作，实现了外网Internet不能访问总公司服务器，而子公司客户端可以访问总公司的Web服务器、FTP服务器、Telnet服务器。双击子公司Telnet客户端AR4，输入“telnet 202.101.12.1 2323”，回车，提示输入密码，输入Telnet服务器远程登录密码“tel123”，即成功登录Telnet服务器AR1，见图3所示。而在外网客户端AR5中输入“telnet 202.101.12.1 2323”，则提示不能访问Telnet服务器。

图3 子公司客户端成功登录Telnet服务器

开启总公司FTP、Web服务器，在子公司客户端访问FTP服务器和Web服务器，显示可以登录访问。而在外网Internet客户端访问总公司服务器，则显示不能访问。

6 结 语

笔者所设计的防火墙仿真虚拟实验，以工程案例为背景，逼真地模拟了现实环境，让学生可以完成实际工程项目积累真实的经验，既达到了教学的目的，又能降低设备财力投入。

[1] 唐灯平，朱艳琴，杨 哲.计算机网络管理仿真平台防火墙实验设计[J].实验技术与管理，2015(4):156-160.

[2] 孟祥丰，白永祥著. 计算机网络安全技术研究[M].北京：北京理工大学出版社，2013.10.

[3] 唐灯平. 基于PacketTracer的GRE隧道配置实验教学设计[J].实验室研究与探索， 2010(11):378-381.

[4] 范 君，高成强. 基于Packet Tracer的帧中继实验设计与分析[J].实验室研究与探索，2012(4):208-212.

[5] 曹腾飞，孟永伟，黄建强. 西部高校计算机网络实验[J].实验室研究与探索， 2014(4):129-131.

[6] 龙艳军，欧阳建权，俞佳曦.基于GNS3和VMware的虚拟网络系统集成实验室研究[J].实验技术与管理，2013(2):90-93.

[7] 薛 琴.基于Packet Tracer的计算机网络仿真实验教学[J].实验室研究与探索， 2010(2):57-59.

[8] 田安红，付承彪.NAT原理实验在仿真器中的设计与实现[J].实验技术与管理， 2013(2):135-138.

[9] 姜恩华.基于Packet Tracer软件的防火墙技术实验教学设计[J].通化师范学院学报，2013(8):45-47.

[10] 张 磊.安全网络构建中防火墙技术的研究与应用[D].济南：山东大学，2009.

[11] 姜恩华，窦德召. Packet Tracer软件在无线网络技术实验教学中的应用[J].实验技术与管理，2011(10):88-91.

[12] 邹 航，李 梁.整合ACL和NAT的网络安全实验设计[J] .实验室研究与探索，2011(4):61-65.

[13] 唐灯平. 构建安全的虚拟专用网环境技术[J] .实验科学与技术，2011(3):49-50.

[14] 唐灯平. 基于Packet Tracer的IPv6静态路由实验教学设计[J] .实验科学与技术，2011(3):49-50.

[15] 周 敏，龚 箭. “计算机网络安全”实验教学研究[J].实验技术与管理，2011(9):145-148.

[16] 肖宇峰，沈 军. 电信运营商防火墙测试技术的研究与应用[J].电信技术, 2013(10):9-13.

[17] 唐灯平.利用Packet Tracer模拟组建大型单核心网络的研究[J].实验室研究与探索， 2011(1):186-189.

Firewall Simulation Experiment Based on eNSP

MENGXiang-cheng

(Sanjiang College Department of Computer Science and Technology, Nanjing 210012, China)

The article introduced the principle and working mode of firewall from the point of the view of the firewall experimental teaching. The article used the case of engineering as the guide, and discussed the design of teaching experimental purposes, experimental topology and experimental environment. It used the ENSP as simulation software to design topology and configure experiment，it first introduced the teaching environment of simulation laboratory，then discusseds and provided the detailed design procedures and configuration commands. It also testified and analyzed the experimental results．Experiments show that students can learn about the network devices，and also console the theory teaching content better through the specific design and test of firewall simulation experiments; at last the method has gained favorable effect in the experimental teaching of computer network practice course．

eNSP; simulation; firewall

2015-09-22

孟祥成(1981-)，男，江苏灌南人，硕士，实验师，研究方向计算机网络技术。Tel.:15345185087;E-mail:mxiang5087@qq.com

TP 393

A

1006-7167(2016)04-0095-06