艾迪飞为您讲解思科防火墙跟dhcp要点.doc

Cisco IOS防火墙的安全规则和配置方案 网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。 网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。而提供安全网关服务的类型有：地址转换、包过滤、应用代理、访问控制和D oS防御。本文主要介绍地址转换和访问控制两种安全网关服务，利用cisco路由器对ISDN拨号上网做安全规则设置。试验环境是一台有fir ewall版本IOS的cisco2621路由器、一台交换机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道，Internet 技术是基于IP 协议 的技术，所有的信息通信都是通过IP包来实现的，每一个设备需要进行通信都必须有一个唯一的IP地址。因此，当一个网络需要接入Inte rnet的时候，需要在Internet上进行通信的设备就必须有一个在全球Internet网络上唯一的地址。当一个网络需要接入Internet上使用时，网络中的每一台设备都有一个I nternet地址，这在实行各种Internet应用上当然是最理想不过的。但是，这样也导致每一个设备都暴露在网络上，任何人都可以对这些设备攻击，同时由于I nternet目前采用的IPV4协议在网络发展到现在，所剩下的可用的IP地址已经不多了，网络中的每一台设备都需要一个IP地址，这几乎是不可能的事情。 采用端口地址转换，管理员只需要设定一个可以用作端口地址转换的公有Internet 地址，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP可以映射六万多台内部网主机。从而隐藏内部网路地址信息，使外界无法直接访问内部网络设备。 Cisco路由器提供了几种NAT转换的功能： 1、内部地址与出口地址的一一对应 缺点：在出口地址资源稀少的情况下只能使较少主机连到internet 。 2、内部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中内部地址的端口号为随机产生的大于1024的号码，而外部主机端口号为公认的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任意数量的内部主机到外网。 具体配置：由于实验用的是ISDN拨号上网，在internet上只能随机获得出口地址，所以NAT转换的地址池设置为BRI口上拨号所获得的地址。 interface FastEthernet0/0 ip address 00 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound dialer-group 1 isdn switch-type basic-net3 ip nat inside source list 1 interface BRI0/0 overload access-list 1 permit 55 3、内部地址和外部地址出现交叠 当内部和外部用同一个网络段地址时，在地址没有重复的情况下，可以同时对内外接口进行NAT转换使之可以正常通讯。 4、用一个出口地址映射内部多台主机 应用于internet上的大型网站有多台主机对应同一个系统的同一个出口地址。 可以用sh ip nat translation 和debug ip nat 命令来检查NAT的状态。 二、基于上下文的访问控制（Context-based access control--CBAC） CISCO路由器的access-list只能检查网络层或者传输层的数据包，而CBAC能够智能过滤基于应用层的（如FTP连接信息）TCP和UDP的sessi on；CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接，同时检查内外两个方向的sessions。 1、工作原理 比如当CBAC配置于连到internet的外部接口上，一个从内部发出的TCP数据包（telnet会话）经过该接口连出，同时CBAC的配置中已经包括了t cp inspection，将会经过以下几步： （1）数据包到达防火墙的外部接口（设为s0）； （2）数据包由该接口outbound access-list检查是否允许通过（不通过的数据包在此被丢弃，不用经过以下步骤）