用思科路由器建立网络安全机制(1)

　　从传统的观点看，路由器的主要功能是将数据报文从一个网络传输到另一个网络。路由器在网络层*作，对应于OSI参考模型的第三层，通过检测报文的网络地址，路由器做出转发报文的决定和相应的动作， 与报文一起存在的另一个功能是创建和维护路由表。在安全方面，路由器是保证网络安全的第一关，其保护是以访问控制列表（access-list）的形式进行的，被创建的访问列表可以用来允许或拒绝报文通过路由器。

　　CISCO路由器的报文过滤可以让用户根据报文的源地址、目的地址以及应用类型控制流入网络的数据流。访问列表是基于将规则和报文进行匹配来允许或拒绝报文的排序表。路由器对报文的控制是按照访问列表中语句创建的顺序进行的，在列表的结尾处，有一句隐含的"deny all"，表明没有被此句前访问列表通过的报文将被此句拒绝。

　　用来允许或拒绝报文的标准是基于报文自身所包含的信息。通常，这些信息只限于报文头所包含的OSI参考模型的第三层的网络地址（访问列表）和第四层的端口（扩展访问列表）信息。因此，访问列表基本上不能使用第四层以上的信息过滤报文，比如，扩展访问列表能够控制ftp报文的访问，但却不能过滤特定的 ftp命令如ls 或get等。

　　访问列表建立在许多有关CISCO IOS的资料中均有十分详尽的介绍，在下面我仅介绍一下本人在设置访问列表所积累得部分心得。

　　一、建立合理的访问列表，必须了解企业的应用情况

　　访问列表的建立是为了保护企业网络的安全，因此，建立安全合理的访问列表，首先需要对这个企业的应用进行深入细致的了解，有哪些应用、使用哪些端口，访问哪些地址等等，使得访问列表的建立，不会影响到企业正常的网络运转。

　　可以通过下列命令建立访问列表日志文件来确立企业网络所使用的端口号：

　　interface serial 0

　　ip access-group 101 in

　　ip access-group 102 out

　　access-list 101 permit tcp any any log

　　access-list 101 permit udp any any log

　　access-list 101 permit ip any any log

　　access-list 102 permit tcp any any log

　　access-list 102 permit udp any any log

　　access-list 102 permit ip any any log

　　logging buffered

　　一段时间后，使用"show log"命令显示匹配访问列表的每个报文的细节信息。由于路由器的log buffer有限，为更彻底了解企业使用TCP/IP端口的详细情况，可以使用"logging A.B.C.E"命令将路由器所搜集的log信息传送到IP 地址为A.B.C.E的syslog server上，windows平台上的免费syslog server 软件可到http://support.3com.com/software/ut...bit.htm处下载。