Cisco IOS 防火墙的安全规则和配置方案
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标
网络安全技术主要有,认证授权、数据加密、访问控制、安全审计等。而提供安全网关服
务的类型有:地址转换、包过滤、应用代理、访问控制和 D oS 防御。本文主要介绍地址转
换和访问控制两种安全网关服务,利用 cisco 路由器对 ISDN 拨号上网做安全规则设置。试
验环境是一台有 fir ewall 版本 IOS 的 cisco2621 路由器、一台交换机组成的局域网利用
ISDN 拨号上网。
一、地址转换
我们知道,Internet 技术是基于 IP 协议 的技术,所有的信息通信都是通过 IP 包来实现的,
每一个设备需要进行通信都必须有一个唯一的 IP 地址。因此,当一个网络需要接入 Inte
rnet 的时候,需要在 Internet 上进行通信的设备就必须有一个在全球 Internet 网络上唯一的
地址。当一个网络需要接入 Internet 上使用时,网络中的每一台设备都有一个 I nternet 地址,
这在实行各种 Internet 应用上当然是最理想不过的。但是,这样也导致每一个设备都暴露在
网络上,任何人都可以对这些设备攻击,同时由于 I nternet 目前采用的 IPV4 协议在网络发
展到现在,所剩下的可用的 IP 地址已经不多了,网络中的每一台设备都需要一个 IP 地址,
这几乎是不可能的事情。
采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公有 Internet 地址,
用户的访问将会映射到 IP 池中 IP 的一个端口上去,这使每个合法 Internet IP 可以映射六万
多台内部网主机。从而隐藏内部网路地址信息,使外界无法直接访问内部网络设备。
Cisco 路由器提供了几种 NAT 转换的功能:
1、内部地址与出口地址的一一对应
缺点:在出口地址资源稀少的情况下只能使较少主机连到 internet 。
2、内部地址分享出口地址
路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中内部地址的端口
号为随机产生的大于 1024 的号码,而外部主机端口号为公认的标准端口号。这样可以用同
一个出口地址来分配不同的端口号连接任意数量的内部主机到外网。
具体配置:由于实验用的是 ISDN 拨号上网,在 internet 上只能随机获得出口地址,所以
NAT 转换的地址池设置为 BRI 口上拨号所获得的地址。
interface FastEthernet0/0
ip address 172.16.18.200 255.255.255.0
ip nat inside the interface connected to inside world
!
interface BRI0/0
ip address negotiated
ip nat outside the interface connected to outside network
encapsulation ppp
no ip split-horizon
dialer string 163
dialer load-threshold 150 inbound
dialer-group 1