cisco IOS防火墙.pptVIP

Cisco IOS防火墙特性集提供了一个综合的,内部的安 全解决方案,IOS防火墙特性广泛用于各种cisco设备, 为网络提供先进的安全策略. Cisco IOS防火墙是具有应用层的状态检测防火墙引擎, 为允许或拒绝传输流量提供了动态控制,在最简单的情 况下,防火墙的基本功能是监控和过滤流量. (一)CBAC: 是Cisco IOS防火墙特性集一个高级防火墙模块： (context-based access control)即基于上下文的访问控制，它不同于ACL(访问控制列表),并不能用来过滤每一种TCP/IP协议，但它对于运行TCP、UDP应用或某些多媒体应用(如Microsoft的NetShow或Real Audio)的网络来说是一个较好的安全解决方案。除此之外，CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越。在大多数情况下，我们只需在单个接口的一个方向上配置CBAC，即可实现只允许属于现有会话的数据流进入内部网络。可以说，ACL与CBAC是互补的，它们的组合可实现网络安全的最大化。 * Cisco IOS防火墙 Cisco IOS防火墙特性集是三个Cisco防火墙解决方案 之一，这些解决方案被设计用来满足一个网络内的不 同防火墙要求： 专用设备(PIX防火墙)； 基于NT的解决方案(Centri防火墙)； 集成在网络基础机构(Cisco IOS防火墙特性集)。 Cisco IOS防火墙主要包括三个模块: CBAC(通常意义的防火墙模块)； Authentucation Proxy(认证代理)； Intrusion Detection(入侵检测) ； 　CISCO路由器的 access-list只能检查网络层或者传输层的数据包，而CBAC能够智能过滤基于应用层的（如FTP连接信息）TCP和UDP的session；CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接，同时检查内外两个方向的sessions。 　　 CBAC可提供如下服务 　　（1）状态包过滤：对企业内部网络、企业和合作伙伴互连以及企业连接internet提供完备的安全性和强制政策。 　　（2）Dos检测和抵御：CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。 　　（3）实时报警和跟踪：可配置基于应用层的连接，跟踪经过防火墙的数据包，提供详细过程信息并报告可疑行为。  　CBAC常被用于2种基本的网络拓扑结构之一。确定哪种拓扑结构与用户自己的最吻合，可以帮助用户决定是否应在一个内部接口或是在一个外部接口上配置CBAC。 第1种网络拓扑结构:在该简单的拓扑结构中，CBAC被配置在外部接口S0上。这可以防止指定的协议数据流进入该防火墙路由器和内部网络，除非这些数据是由内部网络所发起会话的一部分。 第2种网络拓扑结构:在该拓扑结构中，CBAC被配置在内部接口E0上，允许外部数据流访问DMZ(连接在接口E1上的停火区)中的服务(如 DNS服务)，同时防止指定的协议数据流入内部网络，除非这些数据流是由内部网络所发起的会话的一部分。这两种拓扑结构之间的关键不同点是：第1种拓扑结构不允许外部数据流不经过CBAC过滤器就进入了路由器;第2中拓扑结构允许外部数据流入路由器，让他们能不经过CBAC过滤器就到达位于DMZ区中的公共服务器。 CBAC维持具有连接信息的会话状态表，只有当状态表中的一个条目表明此分组属于某个被允许的会话，会在防火墙中制造一个动态的通路，供返回流量使用。 (1)配置CBAC 步骤1: 选择一个接口(内部的或外部的) 内部指的是可信任/受保护侧,会话必须从这里发起,允许流量通过防火墙. 外部指的是不可信/未受保护侧,这里不能发起会话.外侧发起的会话会被阻塞. 可以在一个接口的两个方向配置CBAC-双向CBAC 步骤2: 配置IP访问控制列表 要使CBAC工作,需要一个扩展的ACL供防火墙临时通道使用. 另外,明确阻塞所有源于非保护区域去往保护区域的网络流量, 并开放内部的服务. 例如:access list 101 permit tcp host webserver eq 80 access list 101 deny ip any any 步骤3: 定义检测规则 CBAC的检测规则可以指定所有网络层以上的协议,如: Router(config)# ip inspect name huguanyu http Router(config)# ip inspect name huguanyu ftp Router(config)# ip inspect name huguanyu tcp Router(config