虽然有人认为防火墙已经辉煌不再,但笔者认为如果充分利用设备中的防火墙功能,仍不失为一个强化安全的选择。本文将展示设置思科IOS防火墙的基本步骤。 注意,本文中部分内容属于IOS防火墙特性集部分。如果你的路由器上并没有防火墙特性集,请不要运行防火墙命令。不过,为了强化安全,笔者推荐你使用支持防火墙的IOS版本。虽然仅有NAT就可以为你的内部网络提供最小程度的保护,但你面向互联网的路由器更易于遭受到黑客的攻击。(以下命令省略了提示符,在每条命令下加了解释或描述。)( V) t# q. i; J7 v
enable, m5 O1 u# L; r/ [0 {
进入特权用户模式; m9 O B1 Q5 n, X. V \
config t
! r$ O; ^5 c3 f7 V 进入全局配置模式
2 }9 z, @3 W8 z( G1 h" A1 C2 T; { ip dhcp excluded-address 192.168.100.1 192.168.100.102 W8 H, O( @, k5 P( c+ B* t( f* R
从内部DHCP地址池中排除前10个IP地址
5 {7 I h% c% b4 x+ u# F: X ip dhcp pool Internal-DHCP
0 S+ J! k$ T* J# Q# [/ [, g+ W 创建一个称为“Internal DHCP”的DHCP池
1 y ]& A0 J% o1 R$ p- ]/ Y7 ?( v import all
5 V' ]" @9 n4 n* X 将外部的DHCP设置从ISP导入到“Internal DHCP”池中
8 W. ^. [" d" R. C1 D0 i5 _) a! Q+ j network 192.168.100.0 255.255.255.0/ A) l/ C: ]4 ^2 u8 Z" p7 p
定义这个DHCP池运行的网络4 Y1 a" N; s. m/ H9 d: `( C4 c
default-router 192.168.100.1
; |1 h# D: r: K! |1 ]7 }) n 为“Internal DHCP”池设置默认网关
" Y- m' L1 z5 S( U3 L ip inspect name cbac tcp
( H+ ^; T* h! c) Q 检查向外发出的数据通信,以便于准许对内的响应TCP通信6 s- C5 j7 s' F& r* [. z
ip inspect name cbac udp; {6 t- O& P5 \' r! _# z5 V
检查向外发出的数据通信,以便于准许对内的响应UDP通信$ v3 F3 T3 @0 f; Z8 Q( Z
interface f0/0
- \ y3 k( Q: q+ y( T8 O 进入接口f0/0, F0/0在这里即是内部的局域网接口7 F) S3 U2 W% g" f
ip address 192.168.100.1 255.255.255.0
, X) Y8 O7 }* N/ | 将内部的局域网接口IP设置为 192.168.100.1,子网掩码为24位。
. ^" A9 u. Y8 @" ~& T5 I ip nat inside
; r' T- v1 O& `- h0 \- r$ V8 F$ m! K 将此接口指定为网络地址转换的内部接口
d" e0 e# s: X5 t R interface e0/01 H: \) G8 ?# a5 T$ E
进入接口 e0/0. E0/0在这里即是外部的局域网接口。
# n/ `$ D2 R4 H$ o: \2 V ip address dhcp设置外部局域网接口的IP使用DHCP,DHCP由ISP提供。 & v ~7 I: ]' |7 x' [
8 c j0 F0 V5 A$ J$ ]% w7 l. D: X" {
ip access-group CBAC in1 A$ c0 P" O8 r: {
打开对内的状态数据包检查
* X4 Q$ C- @3 ? ip inspect cbac out
" r0 z" S K1 _ Z) ?" O1 G: ^ 打开对内的状态数据包检查,这点对于响应对内通信极为关键。
- o% L8 \, P$ f9 H( {. ~3 P ip nat outside9 R- P# u) Y! I, s# O' X
将这个接口指定为网络地址转换的内部接口& n# m$ V1 F+ c; a! K
Q5 E/ ^3 \$ X' M$ n+ O
mac-address ffff.ffff.ffff |