配置防火墙的CBAC(1)

　　我在Cisco 2514系列访问路由器上安装了版本为12.2的IOS防火墙。在那个时候，这个路由器还在使用扩展ACL来过滤从互联网接口中进入的流量。在断开外部接口的电缆后，我整理并删除了现存的ACL，然后实现如下的IOS防火墙性能。

　　在配置ACLs和CBAC的一个共同点就是需要在外部接口的入口安装一个互联网路由器，这样可以避免私人网络受到互联网中有害流量的攻击。这个配置对那些只允许由内部发起连接的返回流量通过的防火墙是相当简单的。为了实现这以目的，我在进入的接口增加了一个扩展访问列表，这样可以阻拦所有我想检查的流量：

　　Router （config）# Access-list 101 deny tcp any any

　　Router （config）# Access-list 101 deny udp any any

　　Router （config）# interface serial0

　　Router （config-if）# Ip access-group 101 in

　　在以前的陈述中，当在外部接口上应用进入检查时是阻拦所有TCP和UDP。这对检查所有通过的TCP和UDP流量提供了一个过滤方法。 通过在外部的101端口应用访问列表，可以确保互联网的通信一到达互联网路由器就被截获。我也可疑通过指定特定的应用层协议来实现更具体细微的控制，就象这个例子一样：

　　Router （config）# Access-list 101 deny tcp any any eq smtp

　　这一说明可以将所有SMTP通信阻挡在内部网络之外。在访问列表中，这应该放在先前的TCP过滤说明之前，否则没有什么作用。

　　定义超时

　　这个过程的下一步骤就是在使用CBAC跟踪连接时定义超时和最大值。你可以定义几个不同的值来加强CBAC防御网络进攻的能力。在启动环境中，大多数超时和最大值设置都有一个缺省值，可疑满足一般的需求。许多超时和最大值控制着路由器对DoS攻击如何应答。（我将在其他时候就时钟/最大值做更深入的讨论。）

　　请记住CBAC并不检查ICMP，只检查TCP和UDP。因此，你需要增加相应的ACL入口来适当限制ICMP。考虑在你的ACL上增加这些ICMP入口。这样可以让你的内部网络ping到在互联网中的主机，允许你的路由器对正确的ICMP流量做出回答。

　　直到目前，我们已经看到怎样配置扩展访问列表的入口并在外部接口上应用了进入流量规则的配置。ACL在入口阻拦所有的流量，而用CBAC可以进行检查。我使用缺省的超时和最大值设置，没有做修改。我建议开始时使用缺省值，然后根据你的需要进行调整。如果你不知道更改这些设置会对防火墙的运转产生什么样的影响，那贸然的更改设置不是一个好主意。接下来，我定义了实际的检查规则来管理哪个应用层协议应该被检查。让我们看一下检查规则的命令结构。