文档介绍:在 Cisco IOS 上构建防火墙~教育资源库
现在,网络安全已成为每个联网企业的首要关注问题,而且防火墙也已作为一种主要的安全机制被人们采用。虽然一些企业已经开始致力于防火墙应用,(我并不是说这是一种最好的解决办法),但这些应用对于中小型企业来说相当昂贵。比如,一台Cisco PIX Firemary for Cisco router security有一些关于如何利用Cisco路由器构建防火墙的非常好的建议。这是我所见到的介绍这方面知识的最好站点。
获取合适的的IOS
首先,您应该获取适合自己Cisco路由器的IOS。如果您只对最基本的防火墙感兴趣(对IP地址和端口进行过滤),那么您可以通过Cisco路由器中已有的扩展访问控制列表来实现这种过滤。但如果您想要防火墙更强大的功能,那么您还需要加入防火墙/入侵检测系统(Fit tcp any eq smtp host gt 1023
access-list 100 permit tcp any host eq smtp
access-list 100 rcodeark End ---------------------------------- 然后,使用下面的命令将控制列表应用到串口(英特网接口)上:interface Serial1/0
ip access-group 100 in 对网络安全来说,将防火墙阻断的各类数据记录到日志中是相当重要的一点。尽管每个访问控制列表都清楚地列出了应该拒绝的数据包,但防火墙却不能将这些报文记录到日志中。我建议在网络中安装一台日志服务器,让路由器登录到该日志服务器上,记录所有被防火墙拒绝的数据包。在本例中,网络中的Web服务器也是日志服务器,您可以通过下面的命令对路由器进行相应配置:
123下一页友情提醒:,特别!access-list 100 deny ip any any log
logging
配置NBAR
说了这么多,我们仍然还没有真正接触到Cisco FIME,PCAnydash;例如丢弃这个连结。举一个简单的例子,我们看看如何利用NBAR阻止红色代码攻击。首先,定义一个此类攻击的class-map,指明您想阻断对哪种应用、那个文件的访问:
class-map match-any http-hacks
match protocol http url **
match protocol http url ** 接着,利用一个策略映射(policy map)标记具有这些特征的数据包:
policy-map mark-inbound-http-hacks
class http-hacks
set ip dscp 1
然后,在以太口(英特网接口)上应用该策略映射:
interface Serial1/0