上QQ阅读APP看书,第一时间看更新
2.3 利用Cisco防火墙设置访问控制
在网络边界(Network Perimeter)上,笔者建议使用专用的商业硬件防火墙设备进行防护,这主要是基于其性能和可配置管理性的优势。另外,使用异构的网络防火墙设备,还可以为网络内系统和服务增加一层安全防护。本节以Cisco防火墙为例,介绍ACL(Access Control List,访问控制列表)的使用方法。
ACL使用包过滤技术,在路由器上读取IP层及第4层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
Cisco IOS的访问控制列表ACL分为两种,根据不同场合应用不同种类的ACL:
1)标准访问控制列表。它通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。
2)扩展访问控制列表。它可以依据第4层的信息进行过滤,相对于标准访问控制列表,可以进行更细粒度的控制。
我们使用扩展访问控制列表来保护Cisco路由器后面的主机。使用的命令如下:
Router# configure terminal Router(config)#ip access-list extended SDACL #定义扩展ACL,名称是SDACL Router(config-ext-nacl)#permit icmp any any Router(config-ext-nacl)#permit tcp any host x.y.16.134 eq 80 Router(config-ext-nacl)#permit udp host 202.96.209.5 eq 53 host x.y.16.134 Router(config-ext-nacl)#permit tcp host 202.96.209.5 eq 53 host x.y.16.134 Router(config-ext-nacl)#permit udp host 114.114.114.114 eq 53 host x.y.16.134 Router(config-ext-nacl)#permit tcp host 114.114.114.114 eq 53 host x.y.16.134 Router(config-ext-nacl)#permit tcp host 61.172.240.227 host x.y.16.134 eq 22 Router(config-ext-nacl)#permit tcp host 61.172.240.228 host x.y.16.134 eq 22 Router(config-ext-nacl)#permit tcp host 61.172.240.229 host x.y.16.134 eq 22 Router(config-ext-nacl)#deny ip any any #默认禁止所有 Router(config-ext-nacl)#exit Router(config)#int g0/1 Router(config-if)#ip access-group SDACL out #把ACL绑定到g0/1的出方向 Router(config-if)#exit Router(config)#exit
注意 在使用Cisco路由器设置ACL的时候,请注意端口的方向,不要把in和out搞反了。