登录模块加载中...
会员投稿 投稿指南 今天是:
打印本页 | 关闭窗口 | 双击滚屏 您的位置首页>>网页制作学习园地>>服务器类>>防火墙和路由>>DDN接入中路由器防火墙的配置
DDN接入中路由器防火墙的配置
来源:网页制作学习园地 ‖ 作者:网页制作学习园地 ‖ 点击: ‖ 时间:07-12-20 17:07:07 ‖ 【 】‖ 我要投稿
在做完DDN接入的路由器,服务器,交换机的配置之后,这只是完成了最基本的联接互联网的配置。这样的配置只能完成互联网和局域网的互通,对于局域网内的网络安全,却并没有保障。下面,我们就需要做一些基本的网络安全设置。
现在,许多企业都购置了防火墙,然而对于做DDN接入并采用了Cisco公司生产的Cisco系列路由器的企业,就没有必要再投入大量的资金购买其他各种防火墙了,因为Cisco系列路由器的操作平台Cisco IOS集成了一系列构建防火墙和入侵检测系统的功能。利用这些功能,您就可以不必选购单独的防火墙设备(Firewall Box),而使用已有的Cisco路由器帮助您构建自己的防火墙了。
那么,该如何配置自己的路由器防火墙呢?
首先,需要您获取适合自己企业Cisco路由器的IOS。如果只是对最基本的防火墙感兴趣(对IP地址和端口进行过滤),那么您可以通过Cisco路由器中已有的扩展访问控制列表来实现过滤。但如果您想要防火墙具备更强大的功能,那么您还需要加入防火墙/入侵检测系统(FW/IDS)。由于篇幅有限,在这里我就不讲述如何配置防火墙/入侵检测系统(FW/IDS),主要讲解一下配置最基本防火墙的常用命令。有兴趣的朋友可以根据以下命令尝试配置一下。
1. ccess-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
参数说明如下:
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其他的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
例:允许源地址为86.101.1.0 网络、目的地址为86.101.2.0网络的WWW访问,但不允许使用FTP。
Router(config)#access-list 100 permit tcp 86.101.1.0 255.255.255.0 86.101.2.0 255.255.255.0 eq www
Router(config)#access-list 100 deny tcp 86.101.1.0 255.255.255.0 86.101.2.0 255.255.255.0 eq ftp
2. clear access-list counters清除访问列表规则的统计信息。
具体格式为:clear access-list counters [ listnumber ]
参数说明如下:
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
例:清除当前所使用的序号为60的规则的统计信息。
Router #clear access-list counters 60
3. firewall 启用或禁止防火墙。
具体格式为:firewall { enable | disable }
参数说明如下:
enable 表示启用防火墙。
disable 表示禁止防火墙。
例:启用防火墙。
Router (config)#firewall enable
4. firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
具体格式为:firewall default { permit | deny }
参数说明如下:
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
例:设置缺省过滤属性为“允许”。
Router (config)#firewall default permit
5. ip access-group 使用此命令将规则应用于接口上。使用此命令的no形式来删除相应的设置。
具体格式为:ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
参数说明如下:
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
例:将规则101应用于过滤从以太网口收上来的报文。
Router (config-if-Ethernet0)#ip access-group 101 in
6. settr 设定或取消特殊时间段。
具体格式为:settr begin-time end-time
            no settr
参数说明如下:
begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
例:设置时间段为9:30~12:00,13:00~17:00。
Router (config)#settr 9:30 12:00 13:00 17:00
7. show access-list 显示包过滤规则及在接口上的应用。
具体格式为:
show access-list [ all | listnumber | interface interface-name ]
参数说明如下:
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
例1:显示当前所使用的序号为100的规则。
Router #show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 86.101.1.0 255.255.255.0 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 86.101.1.0 255.255.255.0 any echo (no matches -- rule 2)100 deny udp any any eq rip (no matches -- rule 3)
例2:显示接口Serial0上应用规则的情况。
Router #show access-list interface serial 0
Serial0:access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
8.其他常用的命令。
show firewall:显示防火墙状态。
show isintr:显示当前时间是否在时间段之内。
show timerange:显示时间段包过滤的信息。
timerange { enable | disable }:启用或禁止时间段包过滤功能。
以上的这些命令只是用来配置最基本的Cisco IOS防火墙。其实,Cisco公司已经推出了比Cisco IOS防火墙更为高端的PIX防火墙产品,但由于其价格昂贵,目前中小型企业购置的还不是很多。
加入收藏:  加入收藏夹  | 发送给好友:  发送给好友
责任编辑:0
请文明参与讨论,禁止漫骂攻击。  
网友评论