GNS3在網(wǎng)絡(luò)安全實踐教學(xué)中的應(yīng)用

曾 剛

（遼寧警官高等?？茖W(xué)校公安信息系遼寧 遼寧 116036）

0 引言

隨著網(wǎng)絡(luò)的不斷發(fā)展，人們的日常生活越來越離不開網(wǎng)絡(luò)。與此同時，各種網(wǎng)絡(luò)安全事件不斷出現(xiàn)，給人們的生產(chǎn)生活帶來了巨大的影響。為了應(yīng)對網(wǎng)絡(luò)安全事件，并對網(wǎng)絡(luò)安全理論和實踐進(jìn)行研究，各高校紛紛成立了網(wǎng)絡(luò)安全專業(yè)。網(wǎng)絡(luò)安全知識的學(xué)習(xí)要求學(xué)員具有非常強(qiáng)的適應(yīng)能力與實踐能力，從業(yè)人員也要具有一定的創(chuàng)新意識。實踐教學(xué)是提高學(xué)員實踐創(chuàng)新能力的重要手段，因此其在網(wǎng)絡(luò)安全教學(xué)中占有重要的地位。

1 網(wǎng)絡(luò)安全實踐教學(xué)的特點及存在的問題

1.1 網(wǎng)絡(luò)安全實踐教學(xué)的特點

網(wǎng)絡(luò)安全專業(yè)的實踐教學(xué)活動具有自身的特點：①網(wǎng)絡(luò)安全專業(yè)的相當(dāng)多的實驗具有破壞性。比如，網(wǎng)絡(luò)攻擊實驗等，因此這類實驗不適合于在真實環(huán)境中實施；②有些實驗對于環(huán)境的要求非常苛刻。如：某些實驗必須在具有特定系統(tǒng)漏洞或錯誤的情況才可以開展。

1.2 網(wǎng)絡(luò)安全實踐教學(xué)中存在的問題

①實踐教學(xué)嚴(yán)重不到位。這里的不到位有兩層含義：一方面指應(yīng)該做的實驗沒有做，另一方面指應(yīng)達(dá)到一定復(fù)雜度的實驗而沒有達(dá)到。由于網(wǎng)絡(luò)安全實踐教學(xué)活動的特殊性，對于實驗設(shè)備與實驗環(huán)境都具有嚴(yán)格的要求，由于資金等因素的影響，需要購買較為昂貴設(shè)備的實驗不能開展；某些要求特殊環(huán)境的實驗也因為無法搭建環(huán)境而無法開展。本來應(yīng)該演示較為復(fù)雜的理論與實踐過程的，因為不具備苛刻的環(huán)境，多數(shù)情況下只做了較為膚淺的實驗。

②實驗缺乏靈活性與擴(kuò)展性。網(wǎng)絡(luò)安全的教學(xué)內(nèi)容隨著時代的發(fā)展在不斷地變化著，而實驗室內(nèi)的設(shè)施設(shè)備不能及時隨著教學(xué)內(nèi)容的變化而變化，因此缺乏靈活性。網(wǎng)絡(luò)安全實驗大多需要多種設(shè)備進(jìn)行綜合復(fù)雜的實驗，這在多數(shù)的實驗室中是無法做到的。

③設(shè)備故障嚴(yán)重影響實踐教學(xué)活動。設(shè)備都存在老化及故障的問題，由于設(shè)備的故障影響實踐效果的情況時常發(fā)生。

2 GNS3在網(wǎng)絡(luò)安全實踐創(chuàng)新課程中的應(yīng)用

在網(wǎng)絡(luò)安全實驗室中采用模擬器進(jìn)行實驗可以降低實驗室的投資及后期維護(hù)費用，能夠降低學(xué)員操作對物理設(shè)備的損耗，也能降低實驗時的復(fù)雜程序與難度。GNS3模擬器不僅自成系統(tǒng)，還可以通過宿主機(jī)的虛擬/真實網(wǎng)卡與虛擬機(jī)/真實網(wǎng)絡(luò)設(shè)備相連，以虛實結(jié)合的方式進(jìn)行實驗，這樣即降低了實驗的成本，增加了實驗的靈活程度，擴(kuò)展了實驗的范圍，也增強(qiáng)了實驗的真實感，而這一點在其它模擬器中是不具備的。

GNS3不僅可以用于網(wǎng)絡(luò)知識的學(xué)習(xí)，在網(wǎng)絡(luò)安全課程中同樣可以發(fā)揮重要的作用。

網(wǎng)絡(luò)安全課程涉及的內(nèi)容非常廣泛，主要包括：實體安全、操作系統(tǒng)的安全、信息的加密與鑒別技術(shù)、數(shù)據(jù)庫與數(shù)據(jù)安全、訪問控制技術(shù)、網(wǎng)絡(luò)安全協(xié)議、防火墻技術(shù)、入侵檢測技術(shù)等內(nèi)容。

在這些網(wǎng)絡(luò)安全知識的學(xué)習(xí)中，都可以使用GNS3進(jìn)行網(wǎng)絡(luò)安全實驗：

實體安全實驗：實體安全講解起來空洞，動起手來感覺無實驗可做。對此，可以對網(wǎng)絡(luò)設(shè)備的安全進(jìn)行設(shè)置，如：交換機(jī)和路由器的安全設(shè)置。

操作系統(tǒng)安全實驗：操作系統(tǒng)的安全實驗包括：系統(tǒng)的登錄與破解、系統(tǒng)的訪問控制等內(nèi)容。

網(wǎng)絡(luò)安全協(xié)議實驗：基于網(wǎng)絡(luò)的訪問控制實驗、基于網(wǎng)絡(luò)的IPsec協(xié)議實驗、基于網(wǎng)絡(luò)的SSL與SET協(xié)議實驗。

防火墻技術(shù)的實驗：GNS3可以裝載運行的防火墻有：CISCO的PIX/ASA防火墻、JuniOS防火墻等。

VPN實驗：利用路由器、防火墻實現(xiàn)遠(yuǎn)程訪問VPN及網(wǎng)關(guān)-網(wǎng)關(guān)VPN的實驗。

IDS/IPS實驗：利用IDS/IPS模擬器演示IDS/IPS效果的實驗。

3 GNS3與其他虛擬或真實設(shè)備的連接

3.1 與虛擬機(jī)/本地主機(jī)相連接

GNS3不僅可以模擬路由器、交換機(jī)、防火墻、入侵檢測設(shè)備等網(wǎng)絡(luò)設(shè)備外，還可以通過虛擬網(wǎng)卡與虛擬機(jī)相聯(lián)。連接的方法是這樣的：在GNS3中，有一個網(wǎng)絡(luò)部件——網(wǎng)絡(luò)云，給網(wǎng)絡(luò)云配置一個其他虛擬機(jī)的虛擬網(wǎng)卡，GNS3虛擬實驗環(huán)境就可以與VMWare等虛擬機(jī)連接起來；使用同樣的方法，也可以通過本機(jī)的真實網(wǎng)卡與本地真實主機(jī)相連，這樣極大地擴(kuò)展了實驗空間。

3.2 與Internet的連接

在安全實驗中，不僅需要虛擬機(jī)與真實主機(jī)這樣的主機(jī)環(huán)境，有時也需要擁有豐富資源的Internet，如果把GNS3實驗環(huán)境與 Internet連接起來，就會大大增加實驗的真實感，也會使實驗更豐富多彩。在網(wǎng)絡(luò)云中添加真實主機(jī)的網(wǎng)卡即可與真實主機(jī)所在網(wǎng)絡(luò)相連，為了提高實驗的穩(wěn)定性，通常在真實主機(jī)中添加Loopback網(wǎng)卡，在Win7中設(shè)置步驟是這樣的：

①添加過時的網(wǎng)卡，類型為M icrosoft的Loopback。

②把連接著Internet的真實網(wǎng)卡的共享屬性設(shè)置為“允許其他網(wǎng)絡(luò)用戶通過此計算機(jī)的Internet連接來連接”，在“家庭網(wǎng)絡(luò)連接”文本框中輸入 Loopback網(wǎng)卡的名稱，在“設(shè)置”中選擇Internet用戶可以訪問的服務(wù)。

③在GNS3中連接著網(wǎng)絡(luò)云（其實是Loopback網(wǎng)卡）的路由器中設(shè)置默認(rèn)路由與DNS。命令如下：

④做NAT轉(zhuǎn)換，這樣GNS3中的內(nèi)部網(wǎng)絡(luò)用戶就可以訪問Internet了。

4 基于GNS3的虛實結(jié)合的網(wǎng)絡(luò)安全實驗設(shè)計舉例

4.1 Vlan的劃分

V lan的劃分是網(wǎng)絡(luò)和網(wǎng)絡(luò)安全學(xué)習(xí)過程中一個基礎(chǔ)實驗。從安全角度看，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、提高網(wǎng)絡(luò)的安全性。由于不能模擬ASIC處理器，GNS3中并不能完全模擬真實的思科Catalyst交換機(jī)，但提供了一個傻瓜式的以太網(wǎng)交換機(jī)，它支持802.1q協(xié)議的VLAN；另外一個以太網(wǎng)交換機(jī)是在3725路由器的基礎(chǔ)上加NM-16ESW模塊模擬的交換機(jī)，該交換機(jī)可以進(jìn)行VLAN配置實驗。配置VLAN時，與真實交換機(jī)稍有不同，需要在VLAN數(shù)據(jù)庫模式下配置。如圖1所示，有四臺PC，分別接在交換機(jī)的不同端口上，劃分VLAN后，相同VLAN內(nèi)的PC1和PC2之間，PC3和PC4可以通信，不同VLAN間的PC之間不能通信。由于篇幅原因，以下實驗代碼不再附上。

圖1 GNS3中實現(xiàn)VLAN的劃分

4.2 訪問控制實驗

訪問控制技術(shù)保證合法主體訪問網(wǎng)絡(luò)資源，防止非法主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源，也可以防止合法用戶越權(quán)使網(wǎng)絡(luò)資源。訪問控制實驗可以利用路由器的訪問控制列表使某網(wǎng)段的主機(jī)不能訪問其他網(wǎng)段主機(jī)，以此達(dá)到學(xué)習(xí)目的。如圖2所示，實驗設(shè)計為：公司的經(jīng)理部、財務(wù)部門和銷售部門分屬不同的3個網(wǎng)段，三部門之間用路由器連接進(jìn)行信息傳遞，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部門不能對財務(wù)部門進(jìn)行訪問，但經(jīng)理部可以對財務(wù)部門進(jìn)行訪問。通過在路由器中設(shè)置訪問控制列表達(dá)到上述要求，實現(xiàn)不同用戶對資源具有不同訪問權(quán)限的目的。

圖2 訪問控制實驗

4.3 防火墻實驗

防火墻是一種介于不同網(wǎng)絡(luò)之間進(jìn)行訪問控制的網(wǎng)絡(luò)設(shè)備，它把網(wǎng)絡(luò)分為不安全的外部網(wǎng)絡(luò)、安全的內(nèi)部網(wǎng)絡(luò)以及介于這兩部分之間的非軍事區(qū)，通過設(shè)置一定的安全規(guī)則來保護(hù)內(nèi)網(wǎng)用戶及非軍事區(qū)服務(wù)器的安全。按過濾機(jī)制分為包過濾防火墻、應(yīng)用代理防火墻、狀態(tài)檢測防火墻等類型。GNS3中可以模擬PIX和ASA兩種防火墻。實驗拓?fù)淙鐖D所示，實驗需要設(shè)備有：PIX防火墻一臺、交換機(jī)二臺、云二個。一個云連接真實系統(tǒng)的LOOPBACK網(wǎng)卡，另一個云連接VMWare中的虛擬機(jī)，經(jīng)過4.2小節(jié)的設(shè)置GNS3中虛擬的PIX防火墻接入到了真實的Internet。通過PIX防火墻的設(shè)置使內(nèi)網(wǎng)VMWare虛擬機(jī)中的用戶能訪問因特網(wǎng)。這種連接因特網(wǎng)的方式使學(xué)員能更直觀清楚地學(xué)習(xí)與理解防火墻的原理與設(shè)置。

圖3 防火墻實驗拓?fù)?/p>

4.4 IDS/IPS實驗的設(shè)計

入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是網(wǎng)絡(luò)安全專業(yè)經(jīng)常需要講到的一種網(wǎng)絡(luò)安全設(shè)備，它依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵防御系統(tǒng)（Intrusion Prevention System，IPS）在入侵檢測的基礎(chǔ)上，對惡意報文進(jìn)行丟棄以阻斷攻擊，對濫用報文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。很多教材中都介紹了IDS/IPS，但由于客觀條件的限制，許多高校的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全專業(yè)無法實施IDS/IPS實驗，而GNS3中提供了IDS/IPS的模擬器。這也為我們開展IDS/IPS實驗提供了很好的條件。

IDS/IPS實驗設(shè)計：實驗需要IPS一臺、交換機(jī)三臺、網(wǎng)絡(luò)云三個。兩個云連接兩臺VMWare虛擬機(jī)，一臺虛擬機(jī)作為IPS的管理機(jī)IDM，一臺虛擬機(jī)為被攻擊的服務(wù)器，第三個云連接真實的計算機(jī)，真機(jī)作為攻擊的客戶機(jī)。拓?fù)淙鐖D所示。

Server為被攻擊目標(biāo)；Client運行攻擊軟件對服務(wù)器192.168.1.1進(jìn)行掃描攻擊；IDMhost端需要安裝JRE，運行IPS的管理軟件對IPS設(shè)備進(jìn)地配置。

圖4 IPS實驗拓?fù)鋱D

5 結(jié)語

GNS3作為一個免費的圖形化的Cisco網(wǎng)絡(luò)設(shè)備虛擬軟件，它能夠模擬多種網(wǎng)絡(luò)設(shè)備，還能夠與VMWare等多種虛擬機(jī)、真實計算機(jī)、Internet等相連，極大地拓展了實驗空間，增加靈活性，把它用于網(wǎng)絡(luò)安全實驗實在是不可多得的利器。

[1]唐燈平.整合GNS3和VMware搭建虛實結(jié)合的網(wǎng)絡(luò)技術(shù)綜合實訓(xùn)平臺[J].浙江交通職業(yè)技術(shù)學(xué)院學(xué)報，2012，13（2）：41-44.

[2]諶璽.虛擬化實驗室推進(jìn)計算機(jī)網(wǎng)絡(luò)專業(yè)實踐教學(xué)的解決方案[EB/OL].http：//7658423.blog.51cto.com/7648423/1307675

[3]周顯春，劉東山.GNS3+vmware在VPN實踐教學(xué)中的應(yīng)用[J].電腦知識與技術(shù)，2012，8（28）：6845-6848，6858.

[4]張立秋，常會友，劉翔.基于網(wǎng)絡(luò)的入侵防御系統(tǒng)[J].計算機(jī)工程與設(shè)計，2005，26（4）：976-977.