欢迎来到天天文库
浏览记录
ID:24933240
大小:53.00 KB
页数:4页
时间:2018-11-17
《在ciscoios上构建防火墙》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、在CiscoIOS上构建防火墙~教育资源库 现在,网络安全已成为每个联网企业的首要关注问题,而且防火墙也已作为一种主要的安全机制被人们采用。虽然一些企业已经开始致力于防火墙应用,(我并不是说这是一种最好的解决办法),但这些应用对于中小型企业来说相当昂贵。比如,一台CiscoPIXFiremaryforCiscoroutersecurity有一些关于如何利用Cisco路由器构建防火墙的非常好的建议。这是我所见到的介绍这方面知识的最好站点。 获取合适的的IOS 首先,您应该获取适合自己Cisco路由器的IOS。如果您只对最基
2、本的防火墙感兴趣(对IP地址和端口进行过滤),那么您可以通过Cisco路由器中已有的扩展访问控制列表来实现这种过滤。但如果您想要防火墙更强大的功能,那么您还需要加入防火墙/入侵检测系统(Fittcpanyeqsmtphost1.1.1.2gt1023access-list100permittcpanyhost1.1.1.2eqsmtpaccess-list100rcodearkEnd---------------------------------- 然后,使用下面的命令将控制列表应用到串口(英特网接口)上:interfac
3、eSerial1/0ipaccess-group100in 对网络安全来说,将防火墙阻断的各类数据记录到日志中是相当重要的一点。尽管每个访问控制列表都清楚地列出了应该拒绝的数据包,但防火墙却不能将这些报文记录到日志中。我建议在网络中安装一台日志服务器,让路由器登录到该日志服务器上,记录所有被防火墙拒绝的数据包。在本例中,网络中的Web服务器也是日志服务器,您可以通过下面的命令对路由器进行相应配置:123下一页友情提醒:,特别!access-list100denyipanyanyloglogging10.253.1.1 配置
4、NBAR 说了这么多,我们仍然还没有真正接触到CiscoFIME,PCAnydash;例如丢弃这个连结。 举一个简单的例子,我们看看如何利用NBAR阻止红色代码攻击。首先,定义一个此类攻击的class-map,指明您想阻断对哪种应用、那个文件的访问:class-mapmatch-anyhttp-hacks matchprotocolhttpurl*cmd.exe* matchprotocolhttpurl*root.exe* 接着,利用一个策略映射(policymap)标记具有这些特征的数据包: polic
5、y-mapmark-inbound-http-hacks classhttp-hacks setipdscp1 然后,在以太口(英特网接口)上应用该策略映射: interfaceSerial1/0 service-policyinputmark-inbound-http-hacks NBAR可以有效阻止各种散布在英特网中的蠕虫入侵,这些蠕虫有的是通过电子邮件传播,有的是从ands CiscoIOSFireands Cisco-SecurityTechnicalTips Cisco-Configur
6、ingNet NationalSecurityAgency(NSA上一页123下一页友情提醒:,特别!):CiscoRouterSecurityConfigurationGuide NationalSecurityAgency(NSA):CiscoRouterSecurityConfigurationGuideEXECUTIVESUMMARY TechRepublic:Cisco'shiddengcode:TheIOSfirewall TechRepublic:GetsecurewithCiscoextende
7、dIPaccesscontrollists CertCities:TheNBARDefense上一页123友情提醒:,特别!
此文档下载收益归作者所有