艾迪飞为您讲解思科防火墙及DHCP要点.doc

CiscoIOS防火墙的安全规则和配置方案网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。试验环境是一台有firewall版本IOS的cisco2621路由器、一台交换机组成的局域网利用ISDN拨号上网。一、地址转换我们知道,技术是基于IP协议的技术,所有的信息通信都是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的IP地址。因此,的时候,网络上唯一的地址。上使用时,地址,应用上当然是最理想不过的。但是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备攻击,目前采用的IPV4协议在网络发展到现在,所剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP地址,这几乎是不可能的事情。采用端口地址转换,地址,用户的访问将会映射到IP池中IP的一个端口上去,IP可以映射六万多台内部网主机。从而隐藏内部网路地址信息,使外界无法直接访问内部网络设备。Cisco路由器提供了几种NAT转换的功能:1、内部地址与出口地址的一一对应缺点:。2、内部地址分享出口地址路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中内部地址的端口号为随机产生的大于1024的号码,而外部主机端口号为公认的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任意数量的内部主机到外网。具体配置:由于实验用的是ISDN拨号上网,上只能随机获得出口地址,所以NAT转换的地址池设置为BRI口上拨号所获得的地址。0/!interfaceBRI0/workencapsulationpppnoipsplit-horizondialerstring163dialerload-threshold150inbounddialer-group1isdnswitch-3ipnatinsidesourcelist1interfaceBRI0/ess-、内部地址和外部地址出现交叠当内部和外部用同一个网络段地址时,在地址没有重复的情况下,可以同时对内外接口进行NAT转换使之可以正常通讯。4、上的大型网站有多台主机对应同一个系统的同一个出口地址。可以用shipnattranslation和debugipnat命令来检查NAT的状态。二、基于上下文的访问控制(Context-esscontrol--CBAC)ess-list只能检查网络层或者传输层的数据包,而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP和UDP的session;ess-list打开一个临时的通道给起源于内部网络向外的连接,同时检查内外两个方向的sessions。1、的外部接口上,一个从内部发出的TCP数据包(会话)经过该接口连出,同时CBAC的配置中已经包括了tcpinspection,将会经过以下几步: