基于GNS3模拟器的Cisco ASA防火墙技术应用仿真实现

基于GNS3模拟器的Cisco ASA防火墙技术应用仿真实现刘景林
【摘要】利用GNS3模拟器搭建Cisco ASA防火墙应用的网络场景,仿真模拟ASA防火墙的工作过程并测试验证防火墙内部网络、外部网络以及DMZ三个区域主机间的相互通信.通过配置ASA防火墙实现内网主机可访问外部网络以及对外发布内网服务器,同时也可针对来自外网的非法访问进行拦截过滤,有效地保护内网的安全.
【期刊名称】《河北软件职业技术学院学报》
【年(卷),期】2018(020)003
【总页数】5页(P12-16)
【关键词】GNS3模拟器;ASA防火墙;内网安全
【作者】刘景林
【作者单位】泉州经贸职业技术学院信息技术系,福建泉州 362000
【正文语种】中文
【中图分类】TP393.082
0 引言
在网络与信息安全形势日益复杂的今天，如何更好地保护内网的安全成了网络安全技术人员研究的热点，防火墙作为保护内网安全的第一道门槛，担负着数据包的检查与过滤功能，其作用是隔离不同的网络区域，并针对不同的信任区域制定不同的
限制规则[1]。

防火墙可根据预先配置好的策略和规则，来阻塞和放行试图进入网
络的流量[2]。

通过配置防火墙的ACL功能，实现内网、外网以及DMZ三个区域
数据包的访问控制，同时利用防火墙的NAT功能，实现内网私有地址的主机访问外部网络以及对外发布内网服务器。

利用GNS3模拟器搭建ASA防火墙的应用场景，实现内网主机可访问DMZ区域主机和外网主机，DMZ区域主机与外网主机
之间也可以相互访问，同时能够针对来自外网的非法流量进行过滤，从而保障内网的安全。

1 ASA防火墙应用场景的搭建
GNS3是一款具有图形化界面的网络搭建虚拟仿真软件，可以运行在Windows和Linux平台上，它通过模拟路由器和交换机来创建复杂的物理网络的模拟环境[3]。

利用GNS3模拟器搭建包含自适应安全设备（ASA）防火墙的如下网络场景的拓扑，整个网络分为内网、外网与DMZ三个区域，每个区域都有其相应的主机，如图1所示。

图1 ASA防火墙应用场景
在GNS3模拟器中，要求ASA防火墙必须在关机状态下才能与其他设备进行连接。

在本网络拓扑中，外网路由器R1必须自行插入以太网接口模块，否则在没有接口的情况下无法与ASA防火墙或交换机进行连线。

另外，R1路由器只需要配置各个接口的IP地址，无须配置到ASA防火墙的路由。

接下来，分别在C1、C2和C3
三台主机上配置本地UDP连接端口和远程UDP连接端口，通过运行VPCS软件
配置内网主机、外网主机及DMZ区域主机的IP及网关等参数，其中的VPCS 1
对应内网主机C1，VPCS 2对应DMZ主机C2，VPCS 3对应外网主机C3。

每台主机的IP地址、子网掩码及网关配置如图2所示。

2 ASA防火墙的基本配置与网络配置
2.1 ASA防火墙的基本配置
首先应该进行ASA防火墙的初始化，在ASA防火墙设备中执行如下命令：
#/mnt/disk0/lina_monitor //单模式初始化
图2 三台VPCS虚拟机的IP参数配置
接下来在模拟器中应停止ASA防火墙的运行，重启进入系统重新加载过程。

在GNS3模拟器中ASA防火墙的启动过程需要稍等片刻，如果仍一直无法启动，则应检查GNS3软件中配置的ASA编译文件和内核文件是否正确（如图3所示），要求两个文件均不可包含中文路径，否则会造成无法成功启动ASA防火墙等意外
错误。

若两个文件配置检查无误，仍无法成功加载ASA系统并启动，则可尝试删
除原先的ASA防火墙，重新拖出一台新的ASA设备进行配置。

如果问题还无法解决，则应重新复制ASA防火墙的系统相关文件。

图3 GNS3模拟器中ASA防火墙系统文件配置
在ASA防火墙成功启动之后，便会出现命令行窗口，此处只可最小化该窗口，不
可关闭，接下来便可进入ASA防火墙的基本配置。

ciscoasa>enable
ciscoasa#conf t
ciscoasa（config）#copy running-config disk0：/.private/startup-config
//创建ASA防火墙启动配置文件startup-config，否则执行write命令无法保存
配置
ciscoasa （config）#boot config disk0：/.private/startup-config
ciscoasa（config）#hostname ASA1
ASA1（config）#int e0/0 //配置内网接口 e0/0
ASA1（config-if）#nameif inside
//配置接口的逻辑名称，内网接口为inside
ASA1（config-if）#security-level 100
//配置接口的安全级别，内网接口默认为100
ASA1 （config-if）#ip address 192.168.1.254 255.255.255.0
ASA1（config-if）#no shutdown
ASA1（config-if）#exit
ASA1（config）#int e0/1//配置 DMZ 接口 e0/1
ASA1（config-if）#nameif dmz
//配置接口的逻辑名称，DMZ接口为dmz
ASA1（config-if）#security-level 50
//配置接口的安全级别，DMZ接口设置为50
ASA1 （config-if）#ip addr 172.16.1.254 255.255.255.0
ASA1（config-if）#no shutdown
ASA1（config-if）#exit
ASA1（config）#int e0/2 //配置外网接口 e0/2
ASA1（config-if）#nameif outside
//配置接口的逻辑名称，外网接口为outside
ASA1（config-if）#security-level 0
//配置接口的安全级别，外网接口默认为0
ASA1 （config-if）#ip addr 200.1.1.2 255.255.255.0
ASA1（config-if）#no shut
ASA1（config-if）#exit
ASA1 （config）#route outside 0.0.0.0 0.0.0.0 200.1.1.1
//创建从outside接口出去到达任意网段，走下一跳为R1路由器的F0/0接口IP （200.1.1.1）的默认路由
ASA1（config）#end
ASA1#show route //显示ASA防火墙的路由表（如图4所示）
图4 ASA防火墙路由表
2.2 ASA防火墙的网络配置
由于ASA防火墙默认安全规则是拦截过滤所有数据包，使得各接口所在网络的主机无法相互Ping通。

因此，必须在ASA防火墙上配置放行Ping的ICMP数据流量。

ASA1#conf t
ASA1（config）#access-list 111 permit icmp any any
或执行命令：
ASA1 （config）#access-list 111 permit icmp any any echo-reply
由于Ping命令的ICMP数据包是双向的，ASA防火墙对于高安全级别端口到低安全级别端口的流量允许通过，反之低安全级别端口到高安全级别端口的流量则不允许通过，被直接过滤，所以此时应放行类型为echo-reply返回数据包。

ASA1（config）#access-group 111 in interface outside
//将编号为111的访问控制列表应用在ASA防火墙outside接口的IN方向上ASA1（config）#access-group 111 in interface dmz
//将编号为111的访问控制列表应用在ASA防火墙dmz接口的IN方向上
在ASA防火墙三个接口中，Inside接口、DMZ接口及Outside接口的安全级别一般分别设置为100、50和0。

默认情况下，高安全级别接口一端主机可以访问低安全级别接口一端主机，而低安全级别接口一端主机无法直接访问高安全级别接口一端主机。

在ASA防火墙进行网络配置之前，首先应确保防火墙各区域主机能够Ping通其相应网关的IP，其中内网主机和DMZ区域主机的网关分别为与其直连的ASA防火墙接口，外网主机的网关为与其直连的外网路由器R1的接口。

2.2.1 内网主机访问外网的NAT配置
ASA1（config）#nat-control //开启 ASA 防火墙NAT转换控制功能
ASA1（config）#nat（inside） 1 0.0.0.0 0.0.0.0
//指定需要NAT转换的数据流量，本例为内网的所有网段。

本命令表示inside接口一端的所有内网网段均可进行NAT转换，指明该NAT转换的id号为1
ASA1（config）#global（outside） 1 interface
//定义一个全局地址池，指定将id号为1的需要NAT转换的（内网）网段访问外网时均通过PAT转换为ASA防火墙outside接口的公网IP地址
内网主机C1最初是无法Ping通DMZ区域主机C2及外网主机C3的，在ASA 防火墙完成以上的NAT配置之后，测试结果表明内网主机C1可正常访问外网主机C3。

2.2.2 内网主机访问DMZ区域主机的NAT配置
在ASA防火墙指定将id号为1、需要NAT转换的内网网段访问DMZ区域主机时，均通过动态NAT转换至地址池172.16.1.100-172.16.1.200中的地址（该地址池IP必须与DMZ区域为同一网段），以便内网主机通过使用映射的地址池中的地址访问DMZ区域主机。

ASA1（config）#global（dmz） 1 172.16.1.100-172.16.1.200
完成ASA防火墙以上NAT配置之后，内网主机C1便可分别Ping通DMZ区域主机C2和外网主机C3，见图5。

ASA1（config）#exit
ASA1#show xlate //显示 ASA防火墙的NAT映射表（映射表见图6）
2.2.3外网主机访问DMZ区域主机的NAT配置
由于外网主机所连接的ASA防火墙outside端的安全级别低于DMZ区域主机所连接的ASA防火墙DMZ端，故外网主机无法直接访问DMZ区域主机，此时应
将DMZ主机（私有IP）进行一对一静态NAT映射到一固定公网IP上，实现发布DMZ区域的服务器，以便外网主机通过此映射的公网IP访问该DMZ主机。

图5 内网主机分别Ping通DMZ区域主机与外网主机
图6 ASA防火墙NAT映射表
ASA防火墙配置静态NAT映射的具体命令如下：
ASA1#conf t
ASA1（config）#static （dmz,outside） 200.1.1.3 172.16.1.1
//DMZ端的主机IP（本例为IP地址172.16.1.1的DMZ主机C2）静态映射为outside端的公网IP（本例自行指定为200.1.1.3，该IP必须与ASA防火墙outside端IP在同一公网网段，即均应属于200.1.1.0/24网段）
ASA1（config）#access-list out-to-dmz permit icmp any host 200.1.1.3 ASA1 （config）#access-group out-to-dmz in interface outside
//创建名称为out-to-dmz扩展访问控制列表，允许任何主机Ping IP为200.1.1.3主机的ICMP数据包，并将该ACL应用在ASA防火墙outside接口的IN方向，以便ASA防火墙放行任意主机访问IP为200.1.1.3主机的Ping流量，此时外网主机才可Ping通DMZ主机
ASA1（config）#end
ASA1#show xlate //显示ASA防火墙的NAT地址映射（如图7所示）映射的公网IP地址Ping通DMZ主机，见图8。

图7 ASA防火墙NAT映射表
此时，外网主机可成功利用DMZ主机静态NAT
图8 外网主机Ping通DMZ主机
验证DMZ区域主机C2，也可利用该静态NAT映射访问外网主机C3，见图9。

图9 DMZ主机Ping通外网主机
3 结语
利用GNS3软件模拟仿真ASA防火墙的配置，既能节约实验成本，又能提高实验效率。

通过在真实的IOS上仿真实训，操作过程与实体设备完全相同，有助于在实体设备欠缺的情况下理解与掌握ASA防火墙的工作过程[4]。

通过配置ASA防火墙，不仅能够实现所有内网主机通过NAT映射访问公网计算机，也可以对外发布内网服务器，以提供给外网进行访问，而外网主机则无法直接访问内网主机，实现对内网的安全保护，从而较好地解决内网私有地址主机访问外网以及内网安全的问题。

参考文献：
【相关文献】
［1］Alexandre M.S.P.Moraes.Cisco防火墙［M］.北京：人民邮电出版社，2014.
［2］Andrew Ossipov,Omar Santos,Jazib Frahim.Cisco ASA设备使用指南（第3版）［M］.北京：人民邮电出版社，2016.
［3］Jason C.Neumann.GNS3实战指南［M］.北京：人民邮电出版社，2016.
［4］周俊.基于GNS3+VMware虚拟实验室的仿真ASA防火墙实验的设计与实现［J］.网络安全技术与应用，2017（4）：70-72.。