配置防火墙的CBAC

我在Cisco 2514系列访问路由器上安装了版本为12.2的IOS防火墙。在那个时候,这个路由器还在使用扩展ACL来过滤从互联网接口中进入的流量。在断开外部接口的电缆后,我整理并删除了现存的ACL,然后实现如下的IOS防火墙性能。

在配置ACLs和CBAC的一个共同点就是需要在外部接口的入口安装一个互联网路由器,这样可以避免私人网络受到互联网中有害流量的攻击。这个配置对那些只允许由内部发起连接的返回流量通过的防火墙是相当简单的。为了实现这以目的,我在进入的接口增加了一个扩展访问列表,这样可以阻拦所有我想检查的流量:

Router (config)# Access-list 101 deny tcp any any
Router (config)# Access-list 101 deny udp any any
Router (config)# interface serial0
Router (config-if)# Ip access-group 101 in

在以前的陈述中,当在外部接口上应用进入检查时是阻拦所有TCP和UDP。这对检查所有通过的TCP和UDP流量提供了一个过滤方法。 通过在外部的101端口应用访问列表,可以确保互联网的通信一到达互联网路由器就被截获。我也可疑通过指定特定的应用层协议来实现更具体细微的控制,就象这个例子一样:
Router (config)# Access-list 101 deny tcp any any eq smtp

这一说明可以将所有SMTP通信阻挡在内部网络之外。在访问列表中,这应该放在先前的TCP过滤说明之前,否则没有什么作用。

定义超时

这个过程的下一步骤就是在使用CBAC跟踪连接时定义超时和最大值。你可以定义几个不同的值来加强CBAC防御网络进攻的能力。在启动环境中,大多数超时和最大值设置都有一个缺省值,可疑满足一般的需求。许多超时和最大值控制着路由器对DoS攻击如何应答。(我将在其他时候就时钟/最大值做更深入的讨论。)

请记住CBAC并不检查ICMP,只检查TCP和UDP。因此,你需要增加相应的ACL入口来适当限制ICMP。考虑在你的ACL上增加这些ICMP入口。这样可以让你的内部网络ping到在互联网中的主机,允许你的路由器对正确的ICMP流量做出回答。

直到目前,我们已经看到怎样配置扩展访问列表的入口并在外部接口上应用了进入流量规则的配置。ACL在入口阻拦所有的流量,而用CBAC可以进行检查。我使用缺省的超时和最大值设置,没有做修改。我建议开始时使用缺省值,然后根据你的需要进行调整。如果你不知道更改这些设置会对防火墙的运转产生什么样的影响,那贸然的更改设置不是一个好主意。接下来,我定义了实际的检查规则来管理哪个应用层协议应该被检查。让我们看一下检查规则的命令结构。

这是通用的配置命令模式。需要你在很短的时间内指定名称,协议,警报设置,审核,和超时值。现在,我们来创建一个自己的。

我已经命名了check-tcp规则,指定协议检测TCP,同时激活警报和审核选项。需要主意的是警报和审核跟踪选项。这需要一个Syslog系统来发送信息。尽管那个配置超出了本文讨论的范围,我还是要建议在记录所有防火墙活动时使用审核。在这里,我在外部接口应用了Serial1规则,如下:

Router (config)# Interface serial1
Router (config-if)# ip inspect check-tcp out

请注意我已经在外部接口上应用了对外流量的检测规则。这将跟踪检测由内部发起的连接和所有外部接口发往互联网或其他一些外部网络的通信的标题。

如果你在配置CBAC过程中遇到什么困难的话,你可以使用下列的通用命令模式停止配置并恢复所有相关的设置。这并不会删除你配置在外部接口上的扩展访问列表。如果你关闭检测功能,请记住由于访问列表过滤了大多数,如果不是全部的话,从外部接口进入的流量,这很有可能把你的私人网络的所有通信入口都关闭。关闭检查是很简单的:

Router (config)# no ip inspect

这个命令将删除配置中的所有检测信息,包括过滤器规则和应用在接口上的命令行。

现在不再需要基本配置的详细资料了,让我们看一下用ACLs和CBAC检查功能配置一个互联网防火墙路由器。

由于在外部接口上访问列表被用来接收信息,这个基本的CBAC配置只允许有限的ICMP信息通过防火墙路由器。检测规则相当于filter1,它允许内部的用户通过HTTP端口和外界的WWW进行连接并跟踪这些连接,打开返回的状态信息,扩展访问列表。这对FTP和SMTP同样适用。在未来,如果我允许用户使用RealAudio或NetMeeting通道,我可以只是简单的使用add ip inspect 名称命令,其中filter1是名称。

如果想改变检查规则,你可以添加或删除某个行条目。如果想添加说明,通过使用和用户定义的规则相同的名称,用ip inspect 名称命令。如果需要删除某一行,使用no形式的ip inspect名称命令,看下面的例子:

Router (config)# ip inspect filter1 tcp
Router (config)# no ip inspect filter1 tcp

如果你想检查配置中的某一项,可以使用show ip inspect命令,得到CBAC安装详细资料。就象下面的:

Router# show ip inspect all

所有的参数将显示诸如当前检查的配置,当前通过防火墙的连接这样的信息。

时间: 2024-09-26 03:28:12

配置防火墙的CBAC的相关文章

如何在Windows 2000上安装配置防火墙

概要: 本文介绍如何安装 Internet Security and Acceleration (ISA) Server 并将其配置为防火墙.要将 ISA Server 架构安装到 Active Directory,您必须是本地计算机上的管理员.此外,您还必须同时是 Enterprise Admins 和 Schema Admins 两个组的成员.您必须为整个企业或组织将 ISA Server 架构一次性地安装到 Active Directory. 警告:企业初始化进程会将 ISA Server

XP系统命令行配置防火墙提示出错怎么办

  XP系统命令行配置防火墙提示出错怎么办           由于WinXP的防火墙会把还原精灵进程挡住了,所以需要手动添加还原精灵进程到防火墙规则里,才能在主控端看到客户机.但是很多朋友在使用命令配置防火墙时被系统提示语法出错.这是什么原因呢?该如何解决. 为此小编看了下发现大部分语法错误的朋友都犯了一个错误,就是把命令写成: netsh firewall add allowedprogram C:Program FilesGoldenSoftNetRGWinNTClientNetRGClt

Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙

原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38082123,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任.      

合理配置防火墙是保证网络安全的关键

今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,这样说确实有些悲观但今天的网络的确如此,从Internet到企业内网.从个人电脑到可上网的手机平台,没有地方是安全的.每一次网络病毒的攻击,都会让家庭用户.企业用户.800热线甚至是运营商头痛脑热. 经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了.现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙,相信不久的将来,我们可以看到在手机上也会出现防火墙.但是防火墙不

FreeBSD配置防火墙开启SSH服务的方法

1.配置FreeBSD 防火墙 ee /etc/rc.conf   #编辑,在最后添加firewall_enable="yes"  #开启防火墙 net.inet.ip.fw.verbose=1   #启用防火墙日志功能 net.inet.ip.fw.verbose_limit=5  #启用防火墙日志功能 natd_enable="YES"  # 开启防火墙NAT功能 natd_interface="rl0"      natd_flags=&q

在 Ubuntu 中用 UFW 配置防火墙

UFW,即简单防火墙uncomplicated firewall,是一个 Arch Linux.Debian 或 Ubuntu 中管理防火墙规则的前端. UFW 通过命令行使用(尽管它有可用的 GUI),它的目的是使防火墙配置简单(即不复杂uncomplicated). 开始之前 1. 熟悉我们的入门指南,并完成设置服务器主机名和时区的步骤. 2. 本指南将尽可能使用 sudo. 在完成保护你的服务器指南的章节,创建一个标准用户帐户,强化 SSH 访问和移除不必要的网络服务. 但不要跟着创建防火

如何在Ubuntu中用UFW配置防火墙

UFW,即简单防火墙(uncomplicated firewall),是一个 Arch Linux.Debian 或 Ubuntu 中管理防火墙规则的前端. UFW 通过命令行使用(尽管它有可用的 GUI),它的目的是使防火墙配置简单(即不复杂(uncomplicated)). 开始之前 1. 熟悉我们的入门指南,并完成设置服务器主机名和时区的步骤. 2. 本指南将尽可能使用 sudo. 在完成保护你的服务器指南的章节,创建一个标准用户帐户,强化 SSH 访问和移除不必要的网络服务. 但不要跟着

合理的配置防火墙_网络冲浪

今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,这样说确实有些悲观但今天的网络的确如此,从Internet到企业内网.从个人电脑到可上网的手机平台,没有地方是安全的.每一次网络病毒的攻击,都会让家庭用户.企业用户.800热线甚至是运营商头痛脑热.不过经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了.现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙,相信不久的将来,我们可以看到在手机上也会出现防火墙. 但是防火

CentOS6.5开放端口,配置防火墙

#清除预设表filter中的所有规则链的规则 iptables -F #清除预设表filter中使用者自定链中的规则 iptables -X #保存iptables配置 service iptables save #重启iptables服务 service iptables restart #查看iptables规则 iptables -L -n #查看iptables规则文件 cat /etc/sysconfig/iptables #设定预设规则 iptables -P INPUT DROP