(完整版)GNS3模拟ASA防火墙

基于GNS3模拟器的Cisco ASA防火墙技术应用仿真实现刘景林【摘要】利用GNS3模拟器搭建Cisco ASA防火墙应用的网络场景,仿真模拟ASA防火墙的工作过程并测试验证防火墙内部网络、外部网络以及DMZ三个区域主机间的相互通信.通过配置ASA防火墙实现内网主机可访问外部网络以及对外发布内网服务器,同时也可针对来自外网的非法访问进行拦截过滤,有效地保护内网的安全.【期刊名称】《河北软件职业技术学院学报》【年(卷),期】2018(020)003【总页数】5页(P12-16)【关键词】GNS3模拟器;ASA防火墙;内网安全【作者】刘景林【作者单位】泉州经贸职业技术学院信息技术系,福建泉州 362000【正文语种】中文【中图分类】TP393.0820 引言在网络与信息安全形势日益复杂的今天，如何更好地保护内网的安全成了网络安全技术人员研究的热点，防火墙作为保护内网安全的第一道门槛，担负着数据包的检查与过滤功能，其作用是隔离不同的网络区域，并针对不同的信任区域制定不同的限制规则[1]。

防火墙可根据预先配置好的策略和规则，来阻塞和放行试图进入网络的流量[2]。

通过配置防火墙的ACL功能，实现内网、外网以及DMZ三个区域数据包的访问控制，同时利用防火墙的NAT功能，实现内网私有地址的主机访问外部网络以及对外发布内网服务器。

利用GNS3模拟器搭建ASA防火墙的应用场景，实现内网主机可访问DMZ区域主机和外网主机，DMZ区域主机与外网主机之间也可以相互访问，同时能够针对来自外网的非法流量进行过滤，从而保障内网的安全。

1 ASA防火墙应用场景的搭建GNS3是一款具有图形化界面的网络搭建虚拟仿真软件，可以运行在Windows和Linux平台上，它通过模拟路由器和交换机来创建复杂的物理网络的模拟环境[3]。

利用GNS3模拟器搭建包含自适应安全设备（ASA）防火墙的如下网络场景的拓扑，整个网络分为内网、外网与DMZ三个区域，每个区域都有其相应的主机，如图1所示。

实验三 ASA模拟器从内网访问DMZ区服务器配置（ASA模拟器）注意：本实验配置为用模拟器来实现，用来练习防火墙命令的使用，实现的功能和“实验三asa 5505 从内网访问外网服务（真实防火墙）”相同，为了降低操作难度，我们只对ASA防火墙模拟器进行配置，完整的实验请参照“实验三asa 5505 从内网访问外网服务（真实防火墙）”。

一、实验目标在这个实验中朋友你将要完成下列任务：1．用nameif命令给接口命名2．用ip address命令给接口分配IP3．用duplex配置接口的工作模式----双工（半双工）4．配置内部转化地址池（nat）外部转换地址globla二、实验拓扑三、实验过程1. ASA 模拟器基本配置：ciscoasa>ciscoasa> enablePassword:ciscoasa#ciscoasa# configure terminalciscoasa(config)# interface e0/1 *进入e0/1接口的配置模式ciscoasa(config-if)# nameif outside *把e0/1接口的名称配置为dmzINFO: Security level for "outside" set to 0 by default.ciscoasa(config-if)# ip address 10.0.1.1 255.0.0.0 *给e0/1接口配置IP地址ciscoasa(config-if)# duplex auto *设置e0/1接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/1接口ciscoasa(config-if)# exit *退出e0/1接口的配置模式ciscoasa(config)#ciscoasa(config)# interface e0/0 *进入e0/0接口的配置模式ciscoasa(config-if)# nameif inside *把e0/0接口的名称配置为insideINFO: Security level for "inside" set to 100 by default.*安全级别取值范围为1～100，数字越大安全级别越高，在默认情况下，inside安全级别为100。

【模拟环境】我所使用的GNS3版本为0.7.4，如果低于这个版本，有些版本会缺少些选项无法支持。

GNS3_0.74下的asa配置【ASA】下载地址：/data/219643ASA有2种模式的编译文件，分别为单模式和多模式，可选择使用。

我使用的是单模式，我试用过多模式，不太好用。

这里不是使用Unpack将IOS中提取出编译文件（initrd文件）和内核（vmlinuz文件）来使用，网上有使用这种方法的，但是我尝试不成功。

于是我直接使用已经编译好的.gz文件，虽然需要初始化等一些操作，但可以使用CRT 的按钮功能来弥补。

如果你们还有更好的方法，可以共享。

一、配置我将它存放到GNS3文件夹下，路径分别为：G:\GNS3\Fw\ASA\Run\asa802-k8-sing.gzG:\GNS3\Fw\ASA\Run\asa802-k8-muti.gzG:\GNS3\Fw\ASA\Run\asa802-k8.vmlinuz3、打开GNS3，编辑→首选项→Qemu→ASA；添加单模式：Identifier name：asa802-k8-sing（自己填名称，但不能是中文）RAM：256（使用默认的256）Number of NICs：6（网卡数量，默认是6）NIC model：e1000（网卡类型，默认是e1000）Qemu Options：-hdachs 980,16,32 -vnc :1（手动输入）Initrd：G:\GNS3\Fw\ASA\Run\asa802-k8-sing.gz（编译文件路径）Kernel：G:\GNS3\Fw\ASA\Run\asa802-k8.vmlinuz（内核文件路径）Kernel cmd line：auto console=ttyS0,9600n8 nousb ide1=noprobe bigphysarea=16384 hda=980,16,32（关键，否则无法telnet）输入完后，点击保存，下面列表中会出现。

GNS3模拟 Linux Microcore ，PIX ，Juniper ，ASA ，IPS【模拟环境】我所使用的GNS3版本为0.7.4，如果低于这个版本，有些版本会缺少些选项无法支持。

GNS3官方下载地址：/download【Linux Microcore 】 一、配置1、下载所需要的文件（linux-microcore-2.10.img ）； 下载地址：/file/e60l5ch9#linux-microcore-2.10.img到2011-9-7已经更新到linux-microcore-3.8.2 官网下载：/gns-3/linux-microcore-3.8.2.img?download2、将下载好的文件统一存放，文件夹和文件名必须使用英文，GNS3不识别中文路径； 我这里将它统一存放到GNS3文件夹下，路径： G:\GNS3\Qemu\linux-microcore-2.10.img3、打开GNS3，编辑→首选项→Qemu→Qemu Host ；Un Re gi st er ed按以下内容输入：Identifier name ：Linux-MicroCore-2.10（自己填写名称，但不能是中文）Binary image ：G:\GNS3\Qemu\linux-microcore-2.10.img （image 路径，就是第2步的路径） RAM ：128（内存，默认是128）Number of NICs ：6（网卡数量，默认是6） NIC model ：e1000（网卡类型，默认是e1000） Qemu Options ：-no-acpi （手动输入，默认为空）这个版本显示Qemu 窗口，不能telnet ，目前linux-microcore-3.8.2.img 可以telnet 了。

需要的可以去gns3官网下载；高级用户：root 高级密码：root 普通用户：tc切换用户命令： su root/tclinux-microcore-3.8.2版本设置： Identifier name ：linux-microcore-3.8.2Binary image ：G:\GNS3\Qemu\linux-microcore-3.8.2.img RAM ：128（内存，默认是128） Number of NICs ：6 NIC model ：e1000Qemu Options ：-no-acpi console=ttyS0,38400n8 -vnc :1（可telnet 登陆，去掉-vnc :1后，运行时显示Qemu 控制台）Qemu 窗口为Linux 的控制台，默认是登陆的是普通模式 控制台修改用户密码：sudopasswd root //修改root 用户密码 su root //切换用户为roottelnet 密码修改先用tc 登陆，再修改root 密码用户密码：tc 高级用户：root高级用户密码：root(官网发布的密码，但一直提示不正确)输入完后，点击保存，下面列表中会出现，然后点Apply （应用）/OK （确定），这样Linux Microcore 2.10就配置完成。

这段时间有几位同学问我GNS3模拟器的使用方法，现将这个模拟器详细的使用方法整理成文档，希望对同学们学习企业网络高级技术这门课程有所帮助！GNS3 使用教程—安装设置篇一、软件安装1、下载软件：GNS3-0.7.2-win32-all-in-one （网上下载或与本人联系）2、GNS3 简介:GNS3是基于Dynamips开源的免费软件，（感谢作者Jeremy Grossman），GNS3可以仿真复杂网络的图形界面模拟器，可以模拟路由器、交换机、ASA防火墙、PC等，可以用来完成ATEN 课程中的实验，比小凡更直观，更方便及占用CPU更省。

3、安装过程：安装过程相当简单，直接“NEXT”就可以了，如下图所示：到此，GNS3的安装已全部完成。

二、GNS3设置：安装完成后，打开GNS3软件，第一次打开GNS3，会出现设置向导，设置具体步骤如下： 1、设置“Dynamips”：在设置向导界面中，选择“STEP1”，或选编辑—首选项如下图所示：上“简体中文(cn)”。

如下图所示：接着，我们需要设置一下“工程目录”和“IOS/PIXOS 目录”，如下图所示：工程目录----网络拓扑图保存位置IOS/PIXOS目录----Cisco IOS/PIXOS 位置选上“当添加链接默认使用手动模式”，如下图所示：GNS3 是Dynamips的图形界面，记得测试一下。

如下图所示：如下图所示：2、设置“IOS”：返回到设置向导，选择“Step 2”设置IOS ,或选编辑---IOS和Hypervisor。

在“IOS”窗口选择Cisco IOS文件，以及和IOS文件对应的“平台”和“型号”后，单击“保存”，如下图所示：在“外部Hypervisors”窗口单击保存添加主机端口，如下图所示：GNS3 使用教程—软件使用篇 1、软件界面：完成设置向导后，进入到软件界面，如下图所示：2、绘制拓扑图：拖动左边“节点类型”中的设备到中间的“拓扑图绘制区”可绘制网络拓扑图。

GNS3中的ASA防火墙如何使用ASDM关联
软件：ASDM的客户端、bin文件、JDK、3CD （TFTP）
1、设置云的桥接方式为本地物理连接，如果正使用无线，也可以选择无线连接。

如下图所示：
下拉三角选择—点击“添加”—点击“apply”—点击“OK”
2、如下图所示进行拓扑搭建
3、333333312
3、启动ASA防火墙，清空startup-config，特权下#write erase，然后write保存，最后reload一下，与配置回答NO。

4、配置接口ip，需要与本机ip处于同一个网段，并且配置完成保证互通。

首先查看本机ip：ipconfig/all
这里我的本机ip为10.255.250.46，ASA接口ip设置为10.255.250.1，如图
互通：
5、设置TFTP服务器的文件路径正确，为bin 文件的所在路径。

上传文件到ASA的flash中：
回车，根据提示输入TFTP的ip；源文件名称（就是全部的名称，加上后缀的）；目标名称（直接回车就好）
6、对ASA进行如下配置
然后安装并运行ASDM的客户端软件，输入用户名与密码
记得勾上Run in Demo Mode，某则报错，反正我的不勾就报错了。

界面如下：。

图２　设置流程
３　开始实验
将一个ASA拖到工作区不要立刻启用。

在通电之前，右键单击该设备，出现浮动菜单。

选择“配置”菜单，在打开的“节点配置”窗口中点击“ASA1”选项。

在“网卡模块”的下拉列表中把“e1000”改为“pcnet”。

点击【OK】按钮，保存设置。

如图2所示。

在设备初次通电运行，就直接右键点击“console”，会发现在CLI
然最后也能到达命令提示符，但是在实验过程中对端口进行“no shutdown”却不能成功。

４　结　语
GNS3是可以运行在多平台上的图形界面网络虚拟软件，可以通过它完成CCNA、CCNP、CCIE
实验模拟操作[3]。

只要通过以上方法配置好
比其他软件更好地模拟出ASA防火墙。

学生就能完成更多的防火墙实验，就能更深刻理解防火墙知识，就能更好掌握
图１　设置ＡＳＡ参数的流程。