在ciscoios上构建防火墙

《在ciscoios上构建防火墙》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、在CiscoIOS上构建防火墙～教育资源库　　现在，网络安全已成为每个联网企业的首要关注问题，而且防火墙也已作为一种主要的安全机制被人们采用。虽然一些企业已经开始致力于防火墙应用，（我并不是说这是一种最好的解决办法），但这些应用对于中小型企业来说相当昂贵。比如，一台CiscoPIXFiremaryforCiscoroutersecurity有一些关于如何利用Cisco路由器构建防火墙的非常好的建议。这是我所见到的介绍这方面知识的最好站点。　　获取合适的的IOS　　首先，您应该获取适合自己Cisco路由器的IOS。如果您只对最基

2、本的防火墙感兴趣（对IP地址和端口进行过滤），那么您可以通过Cisco路由器中已有的扩展访问控制列表来实现这种过滤。但如果您想要防火墙更强大的功能，那么您还需要加入防火墙/入侵检测系统(Fittcpanyeqsmtphost1.1.1.2gt1023access-list100permittcpanyhost1.1.1.2eqsmtpaccess-list100rcodearkEnd----------------------------------　　然后，使用下面的命令将控制列表应用到串口（英特网接口）上：interfac

3、eSerial1/0ipaccess-group100in　　对网络安全来说，将防火墙阻断的各类数据记录到日志中是相当重要的一点。尽管每个访问控制列表都清楚地列出了应该拒绝的数据包，但防火墙却不能将这些报文记录到日志中。我建议在网络中安装一台日志服务器，让路由器登录到该日志服务器上，记录所有被防火墙拒绝的数据包。在本例中，网络中的Web服务器也是日志服务器，您可以通过下面的命令对路由器进行相应配置：123下一页友情提醒：，特别！access-list100denyipanyanyloglogging10.253.1.1　　配置

4、NBAR　　说了这么多，我们仍然还没有真正接触到CiscoFIME，PCAnydash;例如丢弃这个连结。　　举一个简单的例子，我们看看如何利用NBAR阻止红色代码攻击。首先，定义一个此类攻击的class-map，指明您想阻断对哪种应用、那个文件的访问：class-mapmatch-anyhttp-hacks　　　　matchprotocolhttpurl*cmd.exe*　　　　matchprotocolhttpurl*root.exe*　　接着，利用一个策略映射（policymap）标记具有这些特征的数据包：　　polic

5、y-mapmark-inbound-http-hacks　　　　classhttp-hacks　　　　setipdscp1　　然后，在以太口（英特网接口）上应用该策略映射：　　interfaceSerial1/0　　　　service-policyinputmark-inbound-http-hacks　　NBAR可以有效阻止各种散布在英特网中的蠕虫入侵，这些蠕虫有的是通过电子邮件传播，有的是从ands　　CiscoIOSFireands　　Cisco-SecurityTechnicalTips　　Cisco-Configur

6、ingNet　　NationalSecurityAgency(NSA上一页123下一页友情提醒：，特别！):CiscoRouterSecurityConfigurationGuide　　NationalSecurityAgency(NSA):CiscoRouterSecurityConfigurationGuideEXECUTIVESUMMARY　　TechRepublic:Cisco'shiddengcode:TheIOSfirewall　　TechRepublic:GetsecurewithCiscoextende

7、dIPaccesscontrollists　　CertCities:TheNBARDefense上一页123友情提醒：，特别！