51CTO下载-多年经验的企业防火墙的配置

假如你是某公司网管，在如图所示的网络中，内部网 IP 段（210.31.120.0）

要实现外部和内部网络的通信安全,请配置防火前实现以下功能：

1.防止外部的 IP 地址欺骗

2．控制内部网的非法 IP 地址进入外部网

3．对内部网资源主机的访问控制

4．防止外部的 ICMP 重定向欺骗

5．防止外部的资源路由选择欺骗

6．对拨号上网用户的访问控制

DNS（域名解析协议） 端口号：53

SMTP（Simple Mail Transfer Protocal）称为简单邮件传输协议 端口：25

POP 的全称是 Post Office Protocol （简称 POP3），即邮局协议 端口：110

HTTP（超文本传输协议） 端口：80 范围：0——1023

HTTPS（Secure Hypertext Transfer Protocol 安全超文本传输协议） 端口：443

DHCP（动态主机配置协议）

所有 DHCP 流量都使用用户数据报协议 (UDP)。

从 DHCP 客户端发送到 DHCP 服务器的消息使用 UDP 源端口 68 和 UDP 目标端口 67。

从 DHCP 服务器发送到 DHCP 客户端的消息使用 UDP 源端口 67 和 UDP 目标端口 68

SNMP（简单网络管理协议）， 号端口：161

址伪装成内部网合法的 IP 地址或 Loopback 地址，以绕过防火墙，实现非法访问，为此，我

们可按以下方法定义访问列表以防止 IP 地址欺骗.

防止外部网的用户使用内部网的 IP 地址作为源地址以实现非法访问.

在全局配置模式（Global Configure Mode）下添加：

access-list 102 deny ip 210.31.120.0 0.0.0.255 any

该命令的含义为拒绝源地址为 210.31.120.0—210.31.120.255 的 IP 包通过，显然应该将这条

规则应用到从外部网到内部网的所有数据包上，而不是应用到从内部网到外部网的数据包

上，因此，应将它适用到外部端口 serial0 上，在接口模式（Interface Mode）下设置：

interface serial0

ip access-group 102 in

2．控制内部网的非法 IP 地址进入外部网

通过设置访问列表，可以控制内部网的哪些机器可以进入外部网，哪些机器不可以进入外部

网.假设只允许 IP 地址为 210.31.120.60的机器进入外部网，而不通允许其他机器进入外部网，

则可按如下设置：

在全局模式下设置

access-list 103 permit 210.31.120.60

在接口模式下设置

interface Ethernet0

ip access-group 103 out

访问 Web 服务；而对 FTP 服务器，只允许访问 FTP 服务，以此类推.这样可以啬攻击者的难

度.

(1)允许只对 210.31.120.1 的 WWW 访问.在全局配置模式下设置：

access-list 104 permit tcp any host 210.31.120.1 eq www

(2) 允许只对 210.31.120.2 的 ftp 访问.在全局配置模式下设置：

access-list 104 permit tcp any host 210.31.120.2 eq ftp

(3) 允许只对 210.31.120.3 的 E-mail 访问.在

局配置模式下设置：

access-list 104 permit tcp any host 210.31.120.3 eq smtp

(4) 允许只对 210.31.120.4 的 DNS 访问.在全局配置模式下设置：

access-list 104 permit tcp any host 210.31.120.3 eq 53

(5) 允许 DNS 服务器之间的数据流动.在全局配置模式下设置：

access-list 104 permit tcp any host 210.31.120.4 eq domain

以上各式中 any host 代表具有任何源地址的主机，由于 Http,FTP ,E-mail 采用 TCP 作为传输

协议，而 DNS 采用 UDP 作为传输协议，因此以上各式中允许相应的传输协议.

（6）对于工作站来说，应该不允许任何外部网络主机首先发起的连接，但是如果是内部工

作站发起的连接，刚应该接收.这可以通 TCP 中的 ACK 位是否被置位来区分，因为对于 TCP

来说，除了第一个包 ACK 位没有置位外，其他的包都有 ACK 位.因此可在全局配置模式下

设置：

（9）对于一些路由协议信息，我们必须接受，否则内部网就连不上 Internet 了.假设路由器

串行口的远端路由器地址为 210.112.27.25,那么:

access-list 104 permit udp host 210.112.27.25 host 210.112.27.26 eq rip

若把以上访问列表应用到所有外部端口,应在接口模式下设置:

Interface seria10

Ip access-group 104 in

外部的攻击者可以使用 ICMP 生定向技术来对路由器进行重定向，把本应该送到合法目的的

资源路由选择是使用数据甸路层信息来进行路由选择的.这个技术越过了第三层的路由信

息，为入侵者给内部网的住处包指定一个不正确的路由提供了可能，从而把本应送以内部网

的佥的目的地的信息送到了外部网入侵者那里，对付这种攻击的配置方法为：

no ip source-route(在全局模式下设置) (模拟器上午此命令）

interface group-async 0 group-range 1 16(模拟器上午此命令）

ip unnumbered ethernet0

ip top header-compression passive

encapsulation ppp

async mode dedicated

ppp autentication pap

(2)把对内部网的所有远程访问均限制在一个子网（如 210.31.121.0）内 ,这是一个很好的实践

方法.比如,对所有远程访问的用户提供 TELNET 一服务,实现方法是在全局配置模式下设置:

access-list 15 permit 210.31.121.0.0.0.0.255

然后在接口模式下设置:

下:采用专用网管软件不断地扫描 CISCO 路由器的 ARP 表,并与原始建立的表态 IP 和 MAC

地址相比较,一旦发现 IP 地址被盗,立即更改路由品质快存表,使非法访问不能进行.

8.防止对路由器的攻击

破,攻击者就可以随意改变路由器的配置,这样以上所配置的网络安全访问规则就形同虚设,

毫无意义了.

的工作部和路由器之间不应该跨越多个网段，最好通过交换机直接连至路由器上，这样路由

器密码经网络窃听泄露的可能性就减少了.

增强路由器的逻辑安全性

login

login

password******

line vty 0 (vty(虚终端))