CiscoIOS防火墙配置幻灯片.ppt

第七章 Cisco IOS 防火墙特征集 防火墙配置概述： 要注意的是，防火墙的具体配置方法不是千篇一律，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。 默认情况下，所有的防火墙有两种配置原则： 拒绝所有的流量（大多数防火墙默认方式） 允许所有的流量 防火墙配置概述 在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则： 简单实用 全面深入 内外兼顾 防火墙配置概述 1. 简单实用 对防火墙环境设计来讲，首要的就是越简单越好。越简单的实现方式，越容易理解和使用、并且越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。 防火墙配置概述 2. 全面深入 单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。 应系统地看待整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 防火墙配置概述 3. 内外兼顾 防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念，最好能部署与上述内部防护手段一起联动的机制。 Cisco IOS防火墙特征集 基于Cisco IOS的防火墙特性集（FFS，Firewall Features Set）能够实现对Cisco路由器提供附加的安全功能，方便实现边界安全部署，因此在实际应用中很受欢迎。包括： 基于上下文的访问控制(CBAC)提供基于应用的安全过滤，支持最新的协议和常用的应用程序。 入侵检测实时监控、截取并对网络误用作出响应。 动态的每用户验证和授权，适合基于局域网和广域网的用户及VPN客户。 端口到应用的映射：支持对已经应用进行的用户非标准端口定义，防火墙在应用层进行检查。早期的特征集不能实现对80端口以外的WWW服务进行检查，使用和CBAC相关联的PAM可以改变这个限制等功能。 7.3 配置Cisco IOS防火墙包过滤功能 在Cisco IOS防火墙特征集中集成了强壮的防火墙功能和入侵检测功能，本节将以Cisco IOS防火墙为示例对防火墙配置技术进行讲解和分析。 在Cisco IOS防火墙中包过滤技术依赖于访问控制列表（ACL，Access Control List）。 根据对数据包检查的粒度，Cisco IOS防火墙将访问控制列表分为两类：标准访问控制列表和扩展访问控制列表。 根据功能和特点，访问控制列表还可以分为：静态访问控制列表、动态访问控制列表和反射访问控制列表。 7.3 配置Cisco IOS防火墙包过滤功能 配置访问控制列表 对于Cisco IOS，配置访问控制列表遵循两个步骤: 创建访问控制列表; 将访问控制列表绑定到某个网络接口。 配置访问控制列表的时候，需要为每一个访问控制列表分配一个惟一的数字以标识这个列表。Cisco公司对基于IOS的各种访问控制列表的编号进行了限制和定义，见表。 配置Cisco IOS防火墙包过滤功能 创建访问控制列表其实就是向某个访问控制列表中添加命令的过程， 命令一般格式是： 命令+访问控制列表编号+操作+条件，见表。 配置Cisco IOS防火墙包过滤功能 创建访问控制列表后必须将其绑定到Cisco IOS防火墙或路由器的某个接口方能生效。 Router(config-if) #protocol access-group access-list- number［in|out］ 将某个访问控制列表绑定到防火墙/路由器的某