用思科路由器建立网络安全机制(4)

　　正常情况下，我们使用的ICMP报文有：

　　⑴echo request：为ping使用的环路测试请求；

　　⑵echo reply：为ping使用的环路测试回应；

　　⑶packettoo big：某些程序用来侦测目标地址路径上的MTU；

　　⑷time to live (TTL)：tracerouter 测试网络报文生存周期；

　　⑸destination host unreachable：通知会话目标不可达。

　　上述报文都需要双向通讯。回到我们前面的例子，企业总部的网管员可能希望能ping和tracerouter分支机构的网络设备，而反之则不行。我们可以在路由器的配置中增加下列访问表项：

　　interface serial 0

　　ip access-group 100 in

　　ip access-group 101 out

　　access-list 100 permit icmp any 192.168.18.0 0.0.0.255 echo-reply

　　access-list 100 permit icmp any 192.168.18.0 0.0.0.255 packet-too-big

　　access-list 100 permit icmp any 192.168.18.0 0.0.0.255 ttl-exceeded

　　access-list 101 permit icmp 192.168.18.0 0.0.0.255 any echo-reply 应为request

　　access-list 101 permit icmp 192.168.18.0 0.0.0.255 any packet-too-big

　　access-list 101 permit ip 192.168.18.0 0.0.0.255 any

　　由于访问列表在最末隐含"deny all"表项，所以必须在访问列表101的最后一项要加上"access-list 101 permit ip 192.168.18.0 0.0.0.255 any"，否则总部的计算机就无法访问分支机构的计算机。

　　4． FTP协议的过滤

　　之所以将FTP单独拿出来讨论，是因为在建立访问列表时我们发现FTP是一个非常特殊而且复杂的多端口TCP*作。虽然FTP使用的是TCP端口 21（ftp-control），但它还使用了TCP端口20（ftp-data）。端口21用来传输FTP命令，端口20用来传输数据。令人头痛的是，客户机并不是在通过端口21建立FTP连接后简单地再建立一个到FTP服务器端口20的连接，相反是有FTP服务器从端口20建立与客户机的连接，它选择的客户机端口是大于1023的随机端口，客户机然后将端口信息通过已建立的数据通道发往FTP服务器。换句话说，FTP服务器会发起一个到客户机的返回连接。

　　回到前面的例子，如果位于企业总部的客户机希望访问分支机构的FTP服务器，那么FTP服务器将会发出一个新的连接至FTP的客户机，虽然报文的目的端口号大于1023，但是它的ACK或RST位不会被设置，那么将会受到"access-list 100 permit tcp any 192.168.18.0 0.0.0.255 gt 1023 established"的阻拦，因此，为保证FTP的正常工作，我们还需在访问列表中增加一项：

　　access-list 100 permit tcp any eq 20 192.168.18.0 0.0.0.255 gt 1023

　　这样我们就可以保证企业总部的客户机能够顺利访问分支机构的FTP服务器了。

　　三、利用静态ARP表保障路由器的安全运行

　　这一点和前面所谈的访问列表关系不大，但是，由于目前许多企业大量使用WINDOWS 平台下的PC，而WINDOWS系统可以任由用户自行定义IP地址，而许多用户在不了解网络的情况下，错误地将自己使用的PC的IP地址改为路由器以太网口的IP地址，这样势必造成网络传输的异常。为防止这类情况出现时，严重影响企业网络的正常运转，可以采取在路由器内建立静态ARP的办法，保证除IP地址出现问题的PC外，其他PC的正常工作。我们可以在CISCO路由器上使用如下命令：

　　arp 192.168.18.200 aa00.0400.6318 arpa

　　其中aa00.0400.6318为路由器以太网口的MAC地址。