当前位置:大学毕业论文> 发表论文>材料浏览

防火墙技术类有关大学毕业论文范文 和基于GNS3和vMware的防火墙技术仿真设计方面大学毕业论文范文

主题:防火墙技术论文写作 时间:2024-03-16

基于GNS3和vMware的防火墙技术仿真设计,本文是防火墙技术方面有关论文范文资料跟vMware和防火墙和GNS3有关本科论文开题报告范文.

防火墙技术论文参考文献:

防火墙技术论文参考文献 建筑工程技术和设计杂志建筑工程技术和设计期刊建筑工程技术毕业设计电脑知识和技术期刊

陈天武

摘 要:防火墙技术是解决网络安全问题重要的方法之一,其中下一代防火墙技术作为应对现行复杂网络环境的一种新型安全技术,是应用型网络技术人才必须掌握的技术.但防火墙等网络设备昂贵、技术更新快,使得许多高等院校不能开设相关实验内容.论文先探讨了防火墙技术的基本工作原理和部署方式,而后设计并搭建了基于GNS3和VMware的下一代防火墙仿真实验案例,表明网络仿真技术可以作为解决实际教学中防火墙等网络设备不足的问题的重要手段.

关键词:下一代防火墙;虚拟仿真;GNS3;VMware

一、前言

防火墙技术作为解决网络安全问题的最重要方法之一,地位愈发重要.随着云计算、移动互联网等技术的发展,为了更好的应对现有复杂的网络安全威胁,下一代防火墙(NextGeneration?Firewall,NGFW)技术应运而生.许多高等院校都开设了网络安全类课程,但在教学过程中缺乏实验设备,制约了对学生实践能力的培养.

快速发展的各类仿真软件是解决上述难题的一种重要解决方案,仿真软件包括虚拟机软件、网络仿真软件以及其他虚拟化产品等.虚拟机软件,常用的如 Virtual?Box,VMwareWorkstation,它们都是在宿主机中虚拟出计算机,并模拟其工作过程[1] .网络仿真软件如 GNS3,Cisco?Packet?Tracer,eNSP 等,提供了在计算机上实时模拟多种网络设备、构建网络环境的技术,能有效完成大部分仿真实验及测试.同时,随着云计算等的技术发展,各网络安全厂商都推出了虚拟化网络安全产品,可以以虚拟主机的形态部署在网络中.例如山石网科推出了下一代虚拟防火墙产品山石云界,思科推出了思科下一代虚拟防火墙?(NGFWv).这些产品的推出,给实践教学培养提供了新的手段. 本文基于VMware、 GNS3仿真软件和山石云界防火墙,设计并搭建了某校园网络的下一代防火墙仿真部署环境.

二、防火墙技术简介

防火墙是指由软件和硬件组合而成的一种特殊的网络互连设备,在内部网络与外部网络之间建立起一个安全网关[2] .网络中所有流入流出的流量均要经过它,主要通过访问规则、验证、包过滤等方法,来保护内部网络免受外界非法用户的入侵.

传统防火墙采用基于端口的IP五元组 (源地址、 目的地址、源端口、目的端口、协议类型)控制策略,基于用户名和基于应用*防火墙等方式对网络进行管理控制[3] .而在现在的网络环境下,传统防火墙的几种控制策略已不能有效的应对现阶段网络环境的巨大变化.例如越来越多的应用和协议采用跳变端口技术,使得 IP 不等于用户、端口不等于应用,无法再根据 IP 五元组对应用进行识别和控制.

为此,产生了NGFW.NGFW没有准确的定义,一般来说,其具备了传统状态监测防火墙所应当具备的全部功能[3-5] ,包括包过滤、状态监测、VPN、无缝集成?IPS 等,并能高速的、深入的检测网络流量中应用的行为和内容,对流量进行全面分析,更注重应用层面威胁的检测和处理.

三、防火墙部署模式

下一代防火墙的部署模式与传统防火墙相类似,不论产品的形式如何,都主要有以下四种 :

(一)路由模式

路由模式下,防火墙的各接口工作在第三层[6] ,类似于路由器的接口,被绑定到三层安全域上.根据网络规划配置接口的 IP 地址、安全域间的访问策略以及 NAT(地址转换)规则.在这种配置应用下,设备既具有路由功能,又具有安全策略功能,还具有址转换功能.此时,防火墙位于内部网络与外部网络之间,防火墙通过三层接口,分割了多个网段.如图 1 所示.

(二)透明模式

透明模式下,防火墙的各接口处于二层工作模式[6] ,被绑定到二层安全域上,类似于二层交换机的接口.此时各接口无需 IP 地址,用户不必重新设定和修改内部路由,防火墙就可以直接安装在网络中使用.如图 2 所示.在该模式下,防火墙对于用户而言,就像透明的设备,不会影响用户网络的结构.透明模式部署时,无需修改原有网络的?IP?、路由等设置.

(三)旁路模式

旁路模式下,防火墙仅对流量进行扫描、统计和记录,并不对流量进行转发,同时,网络流量也不会受到设备本身的任何影响,所以,对于仅有审计需求的网络而言,使用旁路模式将会更加有效合理.组网图如图 3 所示.

(四)混合模式

混合模式是指将设备部分接口应用为路由模式,部分接口应用为透明模式,这样就能实现混合应用模式.

四、下一代防火墙仿真环境设计与实现

为了模拟实际工程中下一代防火墙的部署,本文设计了简化后的某校园防火墙实验环境.网络部署要求为:

(1)某校园网络分为学生区、教学区、服务器区;有申请到电信与联通线路,租用了多个公网 IP 作为访问公网出口.内网所有主机使用私有地址,并采用?PAT?实现内部网络与Internet?之间的访问.

(2)根据校园网络资源的特点,学生区流量经过 NGFW由联通出口访问 Internet,教务区、服务器区流量经过 NGFW 由电信出口访问 Internet.

简化后的校园网络拓扑图如图 4 所示:

防火墙接口规划如表 1 所示,各网络设备的 IP 地址如图4 所示,其中电信公网 IP 为 200.0.0.11/24-200.0.0.12/24, 网关为200.0.0.254/24,联通公网 IP 为 100.0.0.11/24?-100.0.0.12/24,, 网关为 100.0.0.254/24.

(一)仿真拓扑构建

考虑到所需功能和稳定性,本方案中虚拟机软件采用VMware?v10.0,网络仿真软件采用 GNS3?v1.3.3,NGFW 采用山石云界防火墙?v5.5.具体搭建步骤为:

(1)利用 VMware 中虚拟网络编辑器的功能,在 PC 中创建 5 张虚拟网卡,并将虚拟网卡 VMnet 设置为“仅主机模式”,分别命名为“VMnet1”至“VMnet5”.

(2)在 VMware 中建立 4 台虚拟机:一台是山石云界防火墙,按表 1 所示在该防火墙中定义 5 个接口为 e0/1 至 e0/5.两台是 Windows?xp 系统分别模拟学生区主机、教务区主机;一台是 Windows?Server?系统模拟 DMZ 区主机.

(3)在 GNS3 中定义两台路由器 R1、R2,并设置相应的环回接口,模拟电信出口与联通出口;并定义一个 Cloud 云,用于连接虚拟网卡.

(4)根据接口连接表表 2 所示,将山石云界防火墙、3 台虚拟机、GNS3 中两台路由器,桥接到相应的虚拟网卡上,仿真物理介质的连线过程.

(二)防火墙配置

山石云界防火墙的操作系统基本组成部分包括:接口、安全域、VSwitch、?VRouter、策略以及?VPN.在本实验中,山石云界防火墙的关键配置步骤为:

(1) 配置防火墙的各个接口, 将接口加入到相应的安全域,并配置 IP 地址和管理方式.

(2)定义相应地址簿.

SG-6000(config)#?address?"private_net"

SG-6000(config-addr)#?ip?10.1.1.0/24

SG-6000(config-addr)#?ip?192.168.1.0/24

SG-6000(config-addr)#?ip?192.168.2.0/24

SG-6000(config)#?address?"DMZ_net"

SG-6000(config-addr)#?ip?10.1.1.0/24

SG-6000(config)#?address?"student_net"

SG-6000(config-addr)#?ip?192.168.2.0/24

SG-6000(config)#?address?"teacher_net"

SG-6000(config-addr)#?ip?192.168.1.0/24

SG-6000(config)#?address?"telecom-pnat"

SG-6000(config-addr)#?range?200.0.0.11?200.0.0.12

SG-6000(config)#?address?"unioncom-pnat"

SG-6000(config-addr)#?range?100.0.0.11?100.0.0.12

(3)创建防火墙安全策略.

SG-6000(config)#?policy-global

SG-6000(config-polic)#?rule?id?1?# 允许内网访问外网 #

SG-6000(config-policy-rule)#?action?permit

SG-6000(config-policy-rule)#?src-zone?"trust"

SG-6000(config-policy-rule)#?dst-zone?"untrust"

SG-6000(config-policy-rule)#?src-addr?"private_net"

SG-6000(config-policy-rule)#?dst-addr?"Any"

SG-6000(config-policy-rule)#?service?"Any"

SG-6000(config-polic)#?rule?id?2?# 允许外网访问 DMZ 区的HTTP 服务 #

SG-6000(config-policy-rule)#?action?permit

SG-6000(config-policy-rule)#?src-zone?"untrust"

SG-6000(config-policy-rule)#?dst-zone?"DMZ"

SG-6000(config-policy-rule)#?src-addr?"Any"

SG-6000(config-policy-rule)#?dst-addr?"DMZ_network"

SG-6000(config-policy-rule)#?service?"HTTP"

(4)配置防火墙的?NAT 策略和默认路由.

SG-6000(config)#?nat

SG-6000(config-vrouter)#?snatrule?id?1?from?"teacher_net"?to "Any"?service?"Any"?eif?ethernet0/1?trans-to?address-book?"telecom-pnat"?mode?dynamicport?log?# 学生区经联通出口访问外网 #

SG-6000(config-vrouter)#?snatrule?id?2?from?"student_net"?to "Any"?service?"Any"?eif?ethernet0/2?trans-to?address-book?"unioncom-pnat"?mode?dynamicport?log?# 教务区经电信出口访问外网 #

SG-6000(config-vrouter)#?dnatrule?id?1?from?"Any?"?to?"200.0.0.10" service?"HTTP"?trans-to?10.1.1.1?port?8080?log?# 外网访问 Web 服务器 #

SG-6000(config-vrouter)#?ip?route?0.0.0.0/0?200.0.0.254?# 联通出口默认路由 #

SG-6000(config-vrouter)#?ip?route?0.0.0.0/0?100.0.0.254?# 电信出口默认路由 #

(三)仿真结果

完成网络仿真环境搭建后,查看防火墙上路由表如图 5:

为了测试防火墙策略的正确性,在 GNS3 中的路由器 R1、R2 上分别创建一个环回接口,IP 地址为 172.16.1.128/32.分别在教务区和学生区 ping 该地址,根据 NAT 转换日志可以看出,教务区流量是通过 e0/2 接口送至电信出口,而学生区流量是通过 e0/1 接口送至联通出口,达到预期的流量走向.

五、结语

防火墙技术作为解决网络安全问题最重要的方法之一,是应用型网络技术人才必须掌握的技术,学生的部署实施能力必须通过相应的实操来培养,仿真技术的发展有效的解决了教学过程中搭建实验环境的问题.本文浅析了防火墙的基本原理和部署模式,基于仿真软件 GNS3、VMware 以及山石云界下一代防火墙搭建了网络仿真环境,进行模拟和验证.

该文评论,本文是关于经典防火墙技术专业范文可作为vMware和防火墙和GNS3方面的大学硕士与本科毕业论文防火墙技术论文开题报告范文和职称论文论文写作参考文献.

一种基于GPON技术接入网设计
【摘要】 一种基于GPON 技术接入网设计,该设计方案包括OLT(光缆终端)、OUN(光网络单元)与BRAS(远程宽带服务器)的接入关系 OLT 与BRAS 直挂,其间不再设置交换机进行OLT 汇聚,.

分析计算机网络安全与防火墙技术
摘要防火墙技术作为计算机安全技术之一,可以有效保证计算机信息安全性,进而满足用户的使用需求 对此,本文在研究中主要以计算机网络安全为核心,探究计算机网络安全及防火墙技术,进而为相关研究人员提供一定的借.

规模化牧场机动设备清污与排污设施设计的技术要点
摘要随着规模化奶牛养殖在我国的快速发展,机械设备在规模化奶牛养殖业中的重要性也愈加凸显 规模化牧场的粪污清理方式依牧场的设计不同而呈现出多样化的发展方式,近年来常见的清污方式有机动车清理的人工机动清理.

关于田园综合体规划设计的技术
【摘要】开展田园综合体建设,契合乡村振兴战略,是推动新时代农业农村建设的重大政策创新举措,是美丽乡村建设与发展的新趋势、新引擎;是改革农业供给侧、满足“两个梦想”现实消费新需求.

论文大全