科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Cisco IOS防火墙的安全规则和配置(2)

Cisco IOS防火墙的安全规则和配置(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文主要介绍地址转换和访问控制两种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。试验环境是一台有fir ewall版本IOS的cisco2621路由器、一台交换机组成的局域网利用ISDN拨号上网。

作者:51CTO.COM 2007年10月30日

关键字: iOS 访问控制 NAT 路由器 CISCO 防火墙

  • 评论
  • 分享微博
  • 分享邮件

  具体配置:由于实验用的是ISDN拨号上网,在internet上只能随机获得出口地址,所以NAT转换的地址池设置为BRI口上拨号所获得的地址。

  interface FastEthernet0/0

  ip address 172.16.18.200 255.255.255.0

  ip nat inside the interface connected to inside world

  !

  interface BRI0/0

  ip address negotiated

  ip nat outside the interface connected to outside network

  encapsulation ppp

  no ip split-horizon

  dialer string 163

  dialer load-threshold 150 inbound

  dialer-group 1

  isdn switch-type basic-net3

  ip nat inside source list 1 interface BRI0/0 overload

  access-list 1 permit 172.16.18.0 0.0.0.255

  3、内部地址和外部地址出现交叠

  当内部和外部用同一个网络段地址时,在地址没有重复的情况下,可以同时对内外接口进行NAT转换使之可以正常通讯。

  4、用一个出口地址映射内部多台主机

  应用于internet上的大型网站有多台主机对应同一个系统的同一个出口地址。

  可以用sh ip nat translation 和debug ip nat 命令来检查NAT的状态。

  二、基于上下文的访问控制(Context-based access control--CBAC)

  CISCO路由器的access- list只能检查网络层或者传输层的数据包,而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP和UDP的sessi on;CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接,同时检查内外两个方向的sessions。

  1、工作原理

  比如当CBAC配置于连到internet的外部接口上,一个从内部发出的TCP数据包(telnet会话)经过该接口连出,同时CBAC的配置中已经包括了t cp inspection,将会经过以下几步:

  (1)数据包到达防火墙的外部接口(设为s0);

  (2)数据包由该接口outbound access-list检查是否允许通过(不通过的数据包在此被丢弃,不用经过以下步骤);

  (3)通过access list检查的数据包由CBAC检查来决定和记录包连接状态信息,这个信息被记录于一个新产生的状态列表中为下一个连接提供快速通道;

  (4)如果CBAC没有定义对telnet应用的检查,数据包可以直接从该接口送出;

  (5)基于第三步所获得的状态信息,CBAC在s0的inbound access list中插入一个临时创建的access list入口,这个临时通道的定义是为了让从外部回来的数据包能够进入;

  (6)数据包从s0送出;

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章