Cisco IOS 防火墙配置

1、第七章 Cisco IOS 防火墙特征集防火墙配置概述：要注意的是，防火墙的具体配置方法不是千篇一律，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。默认情况下，所有的防火墙有两种配置原则：拒绝所有的流量（大多数防火墙默认方式）允许所有的流量防火墙配置概述在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：简单实用全面深入 内外兼顾 防火墙配置概述1. 简单实用对防火墙环境设计来讲，首要的就是越简单越好。越简单的实现方

2、式，越容易理解和使用、并且越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。 防火墙配置概述2.

3、 全面深入单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。应系统地看待整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 防火墙配置概述3. 内外兼顾防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的传统观

4、念。对内部威胁可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念，最好能部署与上述内部防护手段一起联动的机制。Cisco IOS防火墙特征集 基于Cisco IOS的防火墙特性集（FFS，Firewall Features Set）能够实现对Cisco路由器提供附加的安全功能，方便实现边界安全部署，因此在实际应用中很受欢迎。包括：基于上下文的访问控制(CBAC)提供基于应用的安全过滤，支持最新的协议和常用的应用程序。 入侵检测实时监控、截取并对网络误用作出响应。 动态的每用户验证和授权，适合基于局域网和广域网的用户及VPN客户。

5、端口到应用的映射：支持对已经应用进行的用户非标准端口定义，防火墙在应用层进行检查。早期的特征集不能实现对80端口以外的WWW服务进行检查，使用和CBAC相关联的PAM可以改变这个限制等功能。7.3 配置Cisco IOS防火墙包过滤功能在Cisco IOS防火墙特征集中集成了强壮的防火墙功能和入侵检测功能，本节将以Cisco IOS防火墙为示例对防火墙配置技术进行讲解和分析。在Cisco IOS防火墙中包过滤技术依赖于访问控制列表（ACL，Access Control List）。根据对数据包检查的粒度，Cisco IOS防火墙将访问控制列表分为两类：标准访问控制列表和扩展访问控制列表。根据功

6、能和特点，访问控制列表还可以分为：静态访问控制列表、动态访问控制列表和反射访问控制列表。7.3 配置Cisco IOS防火墙包过滤功能配置访问控制列表对于Cisco IOS，配置访问控制列表遵循两个步骤: 创建访问控制列表;将访问控制列表绑定到某个网络接口。配置访问控制列表的时候，需要为每一个访问控制列表分配一个惟一的数字以标识这个列表。Cisco公司对基于IOS的各种访问控制列表的编号进行了限制和定义，见表。编号范围标准访问控制列表199扩展访问控制列表100199配置Cisco IOS防火墙包过滤功能创建访问控制列表其实就是向某个访问控制列表中添加命令的过程，命令一般格式是：命令+访问控制

7、列表编号+操作+条件，见表。命令说明Router（config）#access-list access-list-numberpermit |deny测试条件创建了某个访问控制列表并添加一条命令语句Router（config）#no access-list access-list-number 删除某个访问控制列表配置Cisco IOS防火墙包过滤功能创建访问控制列表后必须将其绑定到Cisco IOS防火墙或路由器的某个接口方能生效。Router(config-if) #protocol access-group access-list- numberin|out 将某个访问控制列表绑定到防火

8、墙/路由器的某个接口上。参数protocol指明了是针对哪种协议的访问控制列表。常用的有IP、IPX等。参数in/out表明数据流进入/流出网络接口的方向。配置Cisco IOS防火墙包过滤功能说明:可以向同一个访问控制列表写入多条语句。访问控制列表的配置命令比较繁琐，尤其是需要向一个访问控制列表添加多条命令语句时。使用文本文件事先将命令编辑好，再复制粘帖到IOS中是一个不错的办法。使用“no access-list access-list-number”删除整个访问控制列表。注意在标准和扩展访问控制列表中，不能够删除访问控制列表中的某一条命令语句，只能一次删除整个访问控制列表。配置Cisco

9、 IOS防火墙包过滤功能翻转掩码在Cisco IOS中，网络地址的辨别和匹配并不是通过子网掩码，而是通过翻转掩码。与子网掩码类似，翻转掩码是由0和1组成的32位二进制数字，分成4段。32位中的每一位正好可以和二进制IP地址的相应位对应。翻转掩码通过将二进制子网掩码按位取反得到。十进制网络地址/二进制IP地址11000000101001000000100100000001二进制子网掩码11111111111111111111111100000000二进制翻转掩码00000000000000000000000011111111配置Cisco IOS防火墙包过滤功能在Cisco IOS中，一些翻转掩

10、码可以使用缩略语替代，例如，可以使用any代替，可以在地址前使用“host”命令代表相同的意义，例如，。这些缩写形式，一定程度上减少了配置的复杂度，简化了配置。7.3 配置Cisco IOS防火墙包过滤功能7.3.3 配置标准访问控制列表标准访问控制列表用于:允许或者禁止来自于某个网络的所有数据流，或者禁止某一协议的数据流。下面我们给出了标准访问控制列表配置命令，如表所示。命令说明Router（config）#access-list access-list-numberpermit| denysource-ip wildmask创建标准访问控制列表，注意访问控制列表编号范围必须是199。默认翻

11、转掩码是Router（config-if）#ip access-group access-list-number in|out将一个已存在的访问控制列表绑定到某个接口上，参数“in|out”指明是入栈访问控制列表还是出栈访问控制列表，默认为出栈访问控制列表Router# show access-listaccess-list-number查看已经存在的访问控制列表包含的命令语句，如果不指定ACL编号，则显示所有的访问控制列表Router #show ip interface interface查看是否为某个接口绑定了访问控制列表。配置Cisco IOS防火墙包过滤功能注意:每一个网络接口在每个

12、数据流方向上针对每一个协议只允许存在一个访问控制列表。下面我们给出一个配置实例:Router（config）Router（config）Router（config）#access-list 1 permit 55 使用检测命令，我们可以得到相关配置的调试信息: Router#show access-list 1Standard IP access list 1 permit Permit 配置Cisco IOS防火墙包过滤功能案例一:指定特定网络。任务:如图7-1所示，在防火墙/路由器上，只允许来自于网络的数据包被转发出去，其余的数据包都将被阻止。第一步，创建标准访问控制列表，命令如下:Rou

13、ter（config）第二步，将访问控制列表绑定到E0和E1的出口上，命令如下: Router（config）#interface E0Router（config-if）#ip access-group 1 out Router（config）#interface E1Router（config-if）#ip access-group 1 out 。配置Cisco IOS防火墙包过滤功能案例二:阻止特定地址。任务:在防火墙/路由器上，在E0接口阻止来自于特定地址的数据流，其他的数据流将被转发出去，如图7-1所示。第一步，创建标准访问控制列表，命令如下:Router（config）Router（

14、config）#access-list 1 permit any 第二步，绑定，命令如下:Router（config）#interface E0Router（config-if）#ip access-group 1 out说明:第一个access-list命令用“deny”参数来禁止来自于这个指定主机的数据流，地址掩码表明要检查匹配地址中的所有的位。第二个access-list命令中，any代表“ 55”，表示允许源自任何网络的数据流通过。配置Cisco IOS防火墙包过滤功能案例三:阻止特定的子网。任务:阻止来自于特定的子网的数据通过E0端口，而转发其他的数据。第一步，创建访问控制列表，命令

15、如下:Router（config）Router（config）#access-list 1 permit any 第二步，绑定，命令如下:Router（config）#interface E0Router（config-if）#ip access-group 1 out配置Cisco IOS防火墙包过滤功能配置扩展访问控制列表扩展访问控制列表对数据包的控制比标准访问控制列表粒度更细，因而运用更广。例如，可以使用扩展访问控制列表来实现允许Web数据流，而禁止FTP或Telnet数据流。扩展访问控制列表可以检查源地址和目标地址、特定的协议、端口号，以及其他的参数。这些特性使得扩展访问控制列表可以更

16、加灵活地描述数据过滤任务。在Cisco IOS中，扩展访问控制列表使用的数字范围是:100199，配置命令可以见表7-6。表76 扩展访问控制列表配置命令命 令说 明Router（config）#access-list access-list-numberpermit|deny protocol source source-mask operator port destination destination-maskoperator port创建一个扩展访问控制列表参数说明access-list-number:范围100-199，用于标识访问控制列表。Protocol:可以是IP、TCP、UD

17、P、ICMP、GRE、IGRP，指明源数据包的协议类型 Source、Source-mask:源地址、源掩码 Operator port:TCP/UDP协议端口号范围，可以是lt（小于）、gt（大于）、eq（等于）、neq（不等于）某个端口号Destination、destination-mask:目的地址、目的掩码Router（config-if）#ip access-group access-list-numberin|out绑定访问控制列表到某个网络接口上Router#show access-list access-list-number显示访问控制列表包含的命令语句Router#sho

18、w ip interface interface查看是否为某个接口绑定了访问控制列表案例四:使用扩展访问控制列表。任务:要求只有主机能够通过FTP访问网络。第一步，创建扩展的访问控制列表，命令如下:Router（config）#access-list 100 permit TCP 55 eq 20 第二步，将访问控制列表绑定到E2的出口: Router（config）#interface E2 Router（config-if）#ip access-group 100 out 案例五:使用扩展访问控制列表。任务:拒绝网络通过Telnet访问任何网段，允许其他所有的IP数据。第一步，创建扩展访问

19、控制列表，命令如下:Router（config）#access-list 101 deny tcp 55 any eq23Router（config）#access-list 101 permit any any第二步，绑定访问控制列表到E1的出口上，命令如下: Router（config）#interface E1Router（config-if）#ip access-group 101 in案例六:使用扩展访问控制列表。任务:禁止网络使用ping命令访问网络，允许其他的IP数据。第一步，创建扩展访问控制列表，命令如下:Router（config）#access-list 199 deny

20、icmpRouter（config）#access-list 199 permit ip any any 第二步，绑定访问控制列表，命令如下:Router（config）#interface E1Router（config-if）#ip access-group 199 out访问控制列表配置要点对于某个协议，可能有多个访问控制列表。对于一个新的访问控制列表，可以选择不同的数字，只要其在协议数字范围之内。但是，一个端口的一个协议，只能够指定一个访问控制列表。对于某些协议，一个端口可以指定两个访问控制列表:一个负责收到的数据，一个负责发出的数据。而某些协议，需要把这两个访问控制列表组合成一个负责

21、进出该端口的数据。 访问控制列表配置要点假如访问控制列表负责控制接收的数据，当路由器接收到数据包，将检查是否满足访问控制列表的条件。假如这个数据包被允许，路由器继续处理这个数据包。如果被拒绝，该数据包将被丢弃。如果访问控制列表是负责控制发出的数据，当接收到一个数据包，并发送到了发出端口，路由器将检查访问控制列表的条件是否满足。假如数据包被允许，则传送这个数据包，如果数据包被拒绝，将丢弃这个数据包。访问控制列表配置要点访问控制列表可以用于控制数据流，消除不需要的数据流。依赖于访问控制列表放置的位置，可以减少不必要的数据流。如在远离目的端，禁止某些数据流，可以减少使用到达目的端的网络资源。访问控制

22、列表放置的规则是:尽量将扩展访问控制列表放置在靠近被拒绝的数据源。标准访问控制列表不能指定目标地址，所以需要把标准访问控制列表放置在尽量靠近目标的地方。可以把标准或者扩展访问控制列表放置在路由器D的E0端口，以阻止来自于路由器A的数据流。访问控制列表配置要点防火墙路由器通常位于内部网和外部网之间，提供了一个隔离点，使得内部网结构不会受外部网影响。可以在防火墙路由器上使用访问控制列表，以控制流入和流出内部网某个特定部分的数据流。为了使用访问控制列表的安全特性，至少需要在边界路由器上配置访问控制列表。从外部网络，或者网络的控制较少的区域进入网络中更为私有的区域，在这些边界路由器上，可以为路由器的每

23、一个端口的每一个协议配置访问控制列表，使得流入或者流出的数据被过滤。7.4 Cisco IOS防火墙NAT配置Internet 技术是基于IP 协议 的技术，所有的信息通信都是通过IP包来实现的，每一个设备需要进行通信都必须有一个唯一的IP地址。因此，当一个网络需要接入Internet的时候，需要在Internet上进行通信的设备就必须有一个在全球Internet网络上唯一的地址。当一个网络需要接入Internet上使用时，网络中的每一台设备都有一个Internet地址，这在实行各种Internet应用上当然是最理想不过的。但是，这样也导致每一个设备都暴露在网络上，任何人都可以对这些设备攻击，

24、同时由于Internet目前采用的IPV4协议在网络发展到现在，所剩下的可用的IP地址已经不多了，网络中的每一台设备都需要一个IP地址，这几乎是不可能的事情。 7.4 Cisco IOS防火墙NAT配置NAT为解决IP地址紧缺而设计，但它也可以隐蔽内部网络，对内部网络起到保护作用，因此为防火墙技术所采用。NAT的应用环境：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与

25、外部Internet 进行通信。7.4 Cisco IOS防火墙NAT配置关于NAT的两个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。7.4 Cisco IOS防火墙NAT配置7.4.1 静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的I

26、P地址必须采用静态地址转换，以便外部用户可以使用这些服务。7.4 Cisco IOS防火墙NAT配置静态NAT配置命令（1）在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入：ipnatinsidesourcestatic内部本地地址内部合法地址（2）指定连接网络的内部端口在端口设置状态下输入：ipnatinside（3）指定连接外部网络的外部端口在端口设置状态下输入：ipnatoutside案例九:配置静态NAT。任务:实现静态IP地址翻译。通过接口Ethernet0发往外部网络的数据流，在经过Serial0接口时，如果源地址是，源地址将被转换成为。 第一步，配置内部局部

27、地址使用静态转换:ip nat第二步，配置接口IP地址，并在接口上启动NAT: interface Ethernet0ipip nat inside interface Serial0ipip nat outside7.4 Cisco IOS防火墙NAT配置7.4 Cisco IOS防火墙NAT配置7.4.2 动态NAT配置 动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。 配置动态NAT相关命令：（1）在全局设置模式下，定义内部合法地址池 ipnatpool地址池名称起始IP地址终止IP地址子网掩码

28、其中地址池名称可以任意设定。7.4 Cisco IOS防火墙NAT配置（2）在全局设置模式下，定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。Access-list标号permit源地址通配符 其中标号为1-99之间的整数。（3）在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。ipnatinsidesourcelist访问列表标号 pool 内部合法地址池名字 7.4 Cisco IOS防火墙NAT配置（4）指定与内部网络相连的内部端口在端口设置状态下：ipnatinside（5）指定与外部网络相连的外部端口ipnatoutside案例十:配置动态NAT。任务:实现动态IP地址翻译。第一步，为内部网络定义一个标准的IP访问控制列表: 第二步，配置地址转换集和动态地址转换命令:ip nat po