网站主页   操作系统    网络工程    服务器    网页制作    数据库    程序开发    网络安全    办公软件   
讲座日期: 本周六下午1点30分 抢座
讲座地点: 北大青鸟马甸校区
主讲老师: 王老师 金牌讲师
讲座主题: 网络安全
讲座内容: 检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
订座电话: 010-82011432/33
  您当前位置:主页 > 网络学院 > 网络安全 > 防火墙 >

配置防火墙的CBAC




 我在Cisco 2514系列访问路由器上安装了版本为12.2的IOS防火墙。在那个时候,这个路由器还在使用扩展ACL来过滤从互联网接口中进入的流量。在断开外部接口的电缆后,我整理并删除了现存的ACL,然后实现如下的IOS防火墙性能。

  在配置ACLs和CBAC的一个共同点就是需要在外部接口的入口安装一个互联网路由器,这样可以避免私人网络受到互联网中有害流量的攻击。这个配置对那些只允许由内部发起连接的返回流量通过的防火墙是相当简单的。为了实现这以目的,我在进入的接口增加了一个扩展访问列表,这样可以阻拦所有我想检查的流量:

  Router (config)# Access-list 101 deny tcp any any
Router (config)# Access-list 101 deny udp any any
Router (config)# interface serial0
Router (config-if)# Ip access-group 101 in

  在以前的陈述中,当在外部接口上应用进入检查时是阻拦所有TCP和UDP。这对检查所有通过的TCP和UDP流量提供了一个过滤方法。 通过在外部的101端口应用访问列表,可以确保互联网的通信一到达互联网路由器就被截获。我也可疑通过指定特定的应用层协议来实现更具体细微的控制,就象这个例子一样:
Router (config)# Access-list 101 deny tcp any any eq smtp

  这一说明可以将所有SMTP通信阻挡在内部网络之外。在访问列表中,这应该放在先前的TCP过滤说明之前,否则没有什么作用。

  定义超时

  这个过程的下一步骤就是在使用CBAC跟踪连接时定义超时和最大值。你可以定义几个不同的值来加强CBAC防御网络进攻的能力。在启动环境中,大多数超时和最大值设置都有一个缺省值,可疑满足一般的需求。许多超时和最大值控制着路由器对DoS攻击如何应答。(我将在其他时候就时钟/最大值做更深入的讨论。)

  请记住CBAC并不检查ICMP,只检查TCP和UDP。因此,你需要增加相应的ACL入口来适当限制ICMP。考虑在你的ACL上增加这些ICMP入口。这样可以让你的内部网络ping到在互联网中的主机,允许你的路由器对正确的ICMP流量做出回答。

  直到目前,我们已经看到怎样配置扩展访问列表的入口并在外部接口上应用了进入流量规则的配置。ACL在入口阻拦所有的流量,而用CBAC可以进行检查。我使用缺省的超时和最大值设置,没有做修改。我建议开始时使用缺省值,然后根据你的需要进行调整。如果你不知道更改这些设置会对防火墙的运转产生什么样的影响,那贸然的更改设置不是一个好主意。接下来,我定义了实际的检查规则来管理哪个应用层协议应该被检查。让我们看一下检查规则的命令结构。

   

Web开发编程软件

上一篇:CISCO PIX防火墙系统管理(3)  
下一篇:配置 IPSec - 路由器到PIX防火墙
相关信息:

·Linux防火墙数据包捕获模块 ·巧妙利用Linux系统IP伪装防黑
·Linux防火墙程序设计 ·一款Linux的防火墙实例
·实现Linux网络防火墙 ·中小企业自建Linux防火墙
·在Linux代理服务器上设置防火墙 ·Linux免费防火墙试用手记
·使用iptables建置Linux 防火墙(2) ·使用iptables建置Linux 防火墙(3)

Copyright © 2002-2015 版权所有
学校地址:北京市海淀区西三旗建材城中路29号北大青鸟
招生热线:010-82011433/32 京公网安备110102004704  京ICP备05043413号 京公网安备110102004704