基于Packet Tracer软件的防火墙技术实验教学设计

姜恩华，李素文，赵庆平，汪徐德

(淮北师范大学 物理与电子信息学院，安徽 淮北 235000)

计算机网络安全课程是网络工程、通信工程和信息安全等专业重要的基础课程，其教学内容分为理论教学和实验教学两部分.防火墙技术是计算机网络安全课程理论教学的重要知识点[1]，也是该课程实验教学的重要内容，在实验室缺乏网络硬件设备的情况下，如何开展防火墙技术的实验教学是值得研究的问题.

在计算机网络安全课程实验教学的过程中，发现可以采用Packet Tracer5.3.2软件辅助完成防火墙技术实验的教学，在Packet Tracer5.3.2软件平台上，通过路由器、计算机和服务器等网络仿真设备搭建防火墙技术实验的网络仿真场景[2]，然后在路由器上配置访问控制列表ACL、基于上下文的访问控制CBAC和基于区域的防火墙技术ZFW，完成防火墙技术的实验教学，实验过程灵活、直观和方便，能够提高防火墙技术实验教学的效率，降低实验成本，不但解决了因缺乏网络硬件设备不能开展防火墙技术实验教学的问题，而且锻炼了学生配置防火墙技术的能力.

1 防火墙技术

1.1 计算机网络安全课程涉及的防火墙技术

在计算机网络安全课程中主要讲述包过滤型和状态监测型等防火墙技术.包过滤依据数据包的源地址和源端口、目的地址和目的端口及其数据包的传送协议实现允许或拒绝数据包通过路由器；状态监测在数据包过滤的基础上，对发起初始连接的数据包进行状态监测，把数据包信息与防火墙中的规则比较，若没有规则允许，则拒绝连接，否则允许建立连接，构造一个会话，此会话主要包括该连接源地址、源端口、目标地址、目标端口和连接时间等信息，若后续数据包到达时，把数据包信息与会话信息比较，若匹配，允许数据包通过[1，3].

1.2 Packet Tracer5.3.2软件配置防火墙技术的方法

在Packet Tracer5.3.2软件中，实现的防火墙技术主要包括：标准的访问控制列表和扩展的访问控制列表ACL，ACL是路由器端口的指令列表，允许或拒绝端口转发数据包；基于上下文的访问控制CBAC，在应用层过滤TCP和UDP数据包；基于区域的防火墙技术ZFW，区域内的不同接口之间可以自由访问，区域之间默认为数据包全部丢弃，若允许区域之间某些数据包通过则需配置相应的策略.

2 防火墙技术实验教学案例分析

在Packet Tracer5.3.2软件环境下完成防火墙技术实验教学，其教学目的主要包括：

(1)掌握访问控制列表ACL、基于上下文的访问控制CBAC和基于区域的防火墙技术ZFW的概念和原理；(2)掌握访问控制列表ACL、基于上下文的访问控制CBAC和基于区域的防火墙技术ZFW配置指令和步骤；(3)设计防火墙技术实验的网络拓扑结构并规划各个端口的IP地址，在路由器上配置防火墙技术，实现网络安全；(4)实验结果测试.

2.1 防火墙技术实验的网络拓扑结构设计

根据访问控制列表ACL、基于上下文的访问控制CBAC和基于区域的防火墙技术ZFW的概念、原理及其在Packet Tracer5.3.2仿真平台上的配置方法，设计的网络拓扑结构如图1所示.对图1所示的网络拓扑结构中网络设备各个端口的IP地址进行规划，各端口的IP地址信息如表1所示.

图1 防火墙技术实验的网络拓扑结构

表1 网络设备各个端口的IP地址信息

2.2 防火墙技术实验教学的内容与要求

防火墙技术实验教学的内容与要求主要包括：(1)通过配置访问控制列表ACL和基于上下文的访问控制CBAC，使PC1不能访问Server0，PC0能访问Server1服务器的www服务，不能访问FTP服务；(2)通过配置基于区域的防火墙技术ZFW，使PC1不能访问Server0，PC0能访问Server1的www服务，不能访问FTP服务.

3 实验操作过程

在Packet Tracer5.3.2软件平台上，按照图1搭建防火墙技术实验的网络仿真场景，按照表1配置网络设备各端口的IP地址信息，采取RIP路由协议，测试PC0、PC1、Server0和Server1之间能够互相连通，在PC0和PC1上，能够访问Server0和Server1的www服务和FTP服务.

3.1 访问控制列表ACL和CBAC配置

(1)配置标准访问列表.在路由器Router0上配置标准访问列表，实现PC1不能访问Server0，但能与PC0互相连通，配置步骤如下[4，5，6].

Router0(config)#access-list 1 deny 192.168.2.2 0.0.0.0

Router0(config)#access-list 1 permit 192.168.1.2 0.0.0.0

Router0(config)#interface Serial0/0/0

Router0(config-if)#ip access-group 1 out

在PC1上测试：PC1不能访问Server0；PC1能与PC0连通；在PC0上测试，PC0能够访问Server1服务器的www服务和FTP服务，也能与PC1连通.

(2)配置扩展访问控制列表和CBAC .在路由器Router2上配置扩展访问控制列表和基于上下文的访问控制CBAC，实现PC0能访问Server1服务器的www服务，但不能访问FTP服务，配置步骤如下[4，5，6].

Router2(config)#access-list 100 permit tcp 192.168.1.2 0.0.0.0 host 192.168.4.2 eq www

Router2(config)#access-list 100 deny tcp 192.168.1.2 0.0.0.0 host 192.168.4.2 eq ftp

Router2(config)#ip inspect name a100 http //配置CBAC的检测机制

Router2(config)#interface Serial0/0/0

Router2(config-if)#ip access-group 100 out

Router2(config-if)#ip inspect a100 out //配置CBAC

Router2(config-if)#ip inspect a100 in //配置CBAC

在PC0上测试：PC0能够访问访问Server1服务器的www服务，不能访问FTP服务.

3.2 基于区域的防火墙技术ZFW配置

在路由器Router1上配置ZFW区域的防火墙技术，实现PC1不能访问Server0，PC0能访问Server1的www服务，不能访问FTP服务.

首先将网络分为2个区域，信任区trustzone：包括Server0、PC0和Router0；因特网区internetzone：包括Server1、PC1和Router1.ZFW配置步骤如下[4，5，6].

(1)定义信任区域到因特网区域的信息流，允许IP地址为192.168.1.2主机PC0访问IP地址为192.168.4.2的服务器Server1的www服务，拒绝访问FTP服务.

Router1(config)#access-list 101 permit tcp 192.168.1.2 0.0.0.0 host 192.168.4.2 eq www

Router1(config)#access-list 101 deny tcp 192.168.1.2 0.0.0.0 host 192.168.4.2 eq ftp

Router1(config)#class-map type inspect match-all trust-to-internet

Router1(config-cmap)#match access-group 101

(2)定义信任区至因特网区的策略

Router1(config)#policy-map type inspect 1

Router1(config-pmap)#class type inspect trust-to-internet

Router1(config-pmap-c)#inspect

Router1(config-pmap-c)#class type inspect class-default

(3)创建区域，信任区域名称为：trustzone，因特网区域名称为：internetzone.

Router1(config)#zone security trustzone

Router1(config-sec-zone)#exit

Router1(config)#zone security internetzone

(4)将策略作用到区域间信息流，其中源区域为信任区trustzone，目的区域为因特网区internetzone.

Router1(config)#zone-pair security trust-internet source trustzone destination internetzone

Router1(config-sec-zone-pair)#service-policy type inspect 1

(5)将路由器Router1的接口Serial0/0/0分配给信任区域trustzone，将路由器Router1的接口Serial0/0/1分配给因特网区域internetzone.

Router1(config)#interface Serial0/0/0

Router1(config-if)#zone-member security trustzone

Router1(config-if)#exit

Router1(config)#interface Serial0/0/1

Router1(config-if)#zone-member security internetzone

在PC1上测试，PC1不能访问Server0服务器，在PC0上测试，PC0可以访问Server1的www服务，不能访问FTP服务.

4 实验效果分析

借助Packet Tracer5.3.2软件完成防火墙技术的实验教学，设计了防火墙技术的实验教学案例，以计算机、服务器和路由器组成防火墙技术实验的网络仿真场景，从实验目的、实验内容与操作步骤、网络拓扑结构设计和IP地址规划、防火墙技术配置和实验结果测试等方面分析了实验教学案例的编写过程；通过对访问控制列表ACL、基于上下文的访问控制CBAC和基于区域的防火墙技术ZFW的配置和测试，分析了仿真实验过程；学生通过独立完成仿真实验，能够加深对防火墙知识的掌握与理解，锻炼配置防火墙技术的能力，提高了防火墙技术实验教学的有效性.

参考文献：

[1]黄河. 计算机网络安全--协议、技术与应用[M].北京：清华大学出版社，2008.

[2]Cisco Packet Tracer[EB/OL]. http://www.cisco.com/web/learning/netacad/course_catalog/PacketTracer.html，2011.

[3] 冯博琴，陈文革.计算机网络[M].北京:高等教育出版社，2008.

[4] 李晋超.基于Packet Tracer 模拟软件配置路由器ACL[J].长治学院学报， 2011， 28(2):64-67.

[5](美)David Hucaby，(美)Steve McQuerry，(美)Andrew Whitaker著. Cisco路由器配置手册(第2版)[M]. 付强， 张人元，译.北京：人民邮电出版社，2012.

[6] 沈鑫剡，叶寒锋，刘鹏，景丽.计算机网络安全学习辅导与实验指南[M].北京:清华大学出版社，2012.