CiscoIOS防火墙配置幻灯片.ppt

  1. 1、本文档共40页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
CiscoIOS防火墙配置幻灯片

第七章 Cisco IOS 防火墙特征集 防火墙配置概述: 要注意的是,防火墙的具体配置方法不是千篇一律,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。 默认情况下,所有的防火墙有两种配置原则: 拒绝所有的流量(大多数防火墙默认方式) 允许所有的流量 防火墙配置概述 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则: 简单实用 全面深入 内外兼顾 防火墙配置概述 1. 简单实用 对防火墙环境设计来讲,首要的就是越简单越好。越简单的实现方式,越容易理解和使用、并且越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 防火墙配置概述 2. 全面深入 单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。 应系统地看待整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 防火墙配置概述 3. 内外兼顾 防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。 Cisco IOS防火墙特征集 基于Cisco IOS的防火墙特性集(FFS,Firewall Features Set)能够实现对Cisco路由器提供附加的安全功能,方便实现边界安全部署,因此在实际应用中很受欢迎。包括: 基于上下文的访问控制(CBAC)提供基于应用的安全过滤,支持最新的协议和常用的应用程序。 入侵检测实时监控、截取并对网络误用作出响应。 动态的每用户验证和授权,适合基于局域网和广域网的用户及VPN客户。 端口到应用的映射:支持对已经应用进行的用户非标准端口定义,防火墙在应用层进行检查。早期的特征集不能实现对80端口以外的WWW服务进行检查,使用和CBAC相关联的PAM可以改变这个限制等功能。 7.3 配置Cisco IOS防火墙包过滤功能 在Cisco IOS防火墙特征集中集成了强壮的防火墙功能和入侵检测功能,本节将以Cisco IOS防火墙为示例对防火墙配置技术进行讲解和分析。 在Cisco IOS防火墙中包过滤技术依赖于访问控制列表(ACL,Access Control List)。 根据对数据包检查的粒度,Cisco IOS防火墙将访问控制列表分为两类:标准访问控制列表和扩展访问控制列表。 根据功能和特点,访问控制列表还可以分为:静态访问控制列表、动态访问控制列表和反射访问控制列表。 7.3 配置Cisco IOS防火墙包过滤功能 配置访问控制列表 对于Cisco IOS,配置访问控制列表遵循两个步骤: 创建访问控制列表; 将访问控制列表绑定到某个网络接口。 配置访问控制列表的时候,需要为每一个访问控制列表分配一个惟一的数字以标识这个列表。Cisco公司对基于IOS的各种访问控制列表的编号进行了限制和定义,见表。 配置Cisco IOS防火墙包过滤功能 创建访问控制列表其实就是向某个访问控制列表中添加命令的过程, 命令一般格式是: 命令+访问控制列表编号+操作+条件,见表。 配置Cisco IOS防火墙包过滤功能 创建访问控制列表后必须将其绑定到Cisco IOS防火墙或路由器的某个接口方能生效。 Router(config-if) #protocol access-group access-list- number[in|out] 将某个访问控制列表绑定到防火墙/路由器的某

文档评论(0)

liwenhua11 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档