科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道配置防火墙的CBAC(2)

配置防火墙的CBAC(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在Cisco 2514系列访问路由器上安装了版本为12.2的IOS防火墙。在那个时候,这个路由器还在使用扩展ACL来过滤从互联网接口中进入的流量。在断开外部接口的电缆后,整理并删除了现存的ACL,然后实现如下的IOS防火墙性能。

作者:51CTO.COM 2007年11月6日

关键字: 配置 CBAC 防火墙

  • 评论
  • 分享微博
  • 分享邮件

  这是通用的配置命令模式。需要你在很短的时间内指定名称,协议,警报设置,审核,和超时值。现在,我们来创建一个自己的。

  我已经命名了check-tcp规则,指定协议检测TCP,同时激活警报和审核选项。需要主意的是警报和审核跟踪选项。这需要一个Syslog系统来发送信息。尽管那个配置超出了本文讨论的范围,我还是要建议在记录所有防火墙活动时使用审核。在这里,我在外部接口应用了Serial1规则,如下:

  Router (config)# Interface serial1

  Router (config-if)# ip inspect check-tcp out

  请注意我已经在外部接口上应用了对外流量的检测规则。这将跟踪检测由内部发起的连接和所有外部接口发往互联网或其他一些外部网络的通信的标题。

  如果你在配置CBAC过程中遇到什么困难的话,你可以使用下列的通用命令模式停止配置并恢复所有相关的设置。这并不会删除你配置在外部接口上的扩展访问列表。如果你关闭检测功能,请记住由于访问列表过滤了大多数,如果不是全部的话,从外部接口进入的流量,这很有可能把你的私人网络的所有通信入口都关闭。关闭检查是很简单的:

  Router (config)# no ip inspect

  这个命令将删除配置中的所有检测信息,包括过滤器规则和应用在接口上的命令行。

  现在不再需要基本配置的详细资料了,让我们看一下用ACLs和CBAC检查功能配置一个互联网防火墙路由器。

  由于在外部接口上访问列表被用来接收信息,这个基本的CBAC配置只允许有限的ICMP信息通过防火墙路由器。检测规则相当于filter1,它允许内部的用户通过HTTP端口和外界的WWW进行连接并跟踪这些连接,打开返回的状态信息,扩展访问列表。这对FTP和SMTP同样适用。在未来,如果我允许用户使用RealAudio或NetMeeting通道,我可以只是简单的使用add ip inspect 名称命令,其中filter1是名称。

  如果想改变检查规则,你可以添加或删除某个行条目。如果想添加说明,通过使用和用户定义的规则相同的名称,用ip inspect 名称命令。如果需要删除某一行,使用no形式的ip inspect名称命令,看下面的例子:

  Router (config)# ip inspect filter1 tcp

  Router (config)# no ip inspect filter1 tcp

  如果你想检查配置中的某一项,可以使用show ip inspect命令,得到CBAC安装详细资料。就象下面的:

  Router# show ip inspect all

  所有的参数将显示诸如当前检查的配置,当前通过防火墙的连接这样的信息。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章