文档介绍：第七章 Cisco IOS 防火墙特征集
防火墙配置概述:
要注意的是,防火墙的具体配置方法不是千篇一律,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。
默认情况下,所有的防火墙有两种配置原则:
拒绝所有的流量(大多数防火墙默认方式)
允许所有的流量
防火墙配置概述
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:
简单实用
全面深入
内外兼顾
防火墙配置概述
1. 简单实用
对防火墙环境设计来讲,首要的就是越简单越好。越简单的实现方式,越容易理解和使用、并且越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
防火墙配置概述
2. 全面深入
单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。
应系统地看待整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
防火墙配置概述
3. 内外兼顾
防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。
Cisco IOS防火墙特征集
基于Cisco IOS的防火墙特性集(FFS,Firewall Features Set)能够实现对Cisco路由器提供附加的安全功能,方便实现边界安全部署,因此在实际应用中很受欢迎。包括:
基于上下文的访问控制(CBAC)提供基于应用的安全过滤,支持最新的协议和常用的应用程序。
入侵检测实时监控、截取并对网络误用作出响应。
动态的每用户验证和授权,适合基于局域网和广域网的用户及VPN客户。
端口到应用的映射:支持对已经应用进行的用户非标准端口定义,防火墙在应用层进行检查。早期的特征集不能实现对80端口以外的相关联的PAM可以改变这个限制等功能。
配置Cisco IOS防火墙包过滤功能
在Cisco IOS防火墙特征集中集成了强壮的防火墙功能和入侵检测功能,本节将以Cisco IOS防火墙为示例对防火墙配置技术进行讲解和分析。
在Cisco IOS防火墙中包过滤技术依赖于访问控制列表(ACL,Access Control List)。
根据对数据包检查的粒度,Cisco IOS防火墙将访问控制列表分为两类:标准访问控制列表和扩展访问控制列表。
根据功能和特点,访问控制列表还可以分为:静态访问控制列表、动态访问控制列表和反射访问控制列表。
配置Cisco IOS防火墙包过滤功能
配置访问控制列表
对于Cisco IOS,配置访问控制列表遵循两个步骤:
创建访问控制列表;
将访问控制列表绑定到某个网络接口。
配置访问控制列表的时候,需要为每一个访问控制列表分配一个惟一的数字以标识这个列表。Cisco公司对基于IOS的各种访问控制列表的编号进行了限制和定义,见表。
编号范围
标准访问控制列表
1~99
扩展访问控制列表
100~199
配置Cisco IOS防火墙包过滤功能
创建访问控制列表其实就是向某个访问控制列表中添加命令的过程,
命令一般格式是:
命令+访问控制列表编号+操作+条件,见表。
命令
说明
Router(config)#access-list access-list-number[permit |deny]测试条件
创建了某个访问控制列表并添加一条命令语句
Router(config)#no access-list access-list-