CiscoIOS防火墻的安全規(guī)則和配置方案網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念,有效的安全策略或方案的制定����,是網(wǎng)絡(luò)信息安全的首要目標(biāo)。 網(wǎng)絡(luò)安全技術(shù)主要有����,認(rèn)證授權(quán)�����、數(shù)據(jù)加密��、訪問(wèn)控制���、安全審計(jì)等。而提供安全網(wǎng)關(guān)服務(wù)的類(lèi)型有:地址轉(zhuǎn)換�����、包過(guò)濾��、應(yīng)用代理����、訪問(wèn)控制和D oS防御。本文主要介紹地址轉(zhuǎn)換和訪問(wèn)控制兩種安全網(wǎng)關(guān)服務(wù)����,利用cisco路由器對(duì)ISDN撥號(hào)上網(wǎng)做安全規(guī)則設(shè)置。試驗(yàn)環(huán)境是一臺(tái)有fir ewall版本IOS的cisco2621路由器���、一臺(tái)交換機(jī)組成的局域網(wǎng)利用ISDN撥號(hào)上網(wǎng)��。
一��、地址轉(zhuǎn)換
我們知道����,Internet 技術(shù)是基于IP 協(xié)議 的技術(shù),所有的信息通信都是通過(guò)IP包來(lái)實(shí)現(xiàn)的����,每一個(gè)設(shè)備需要進(jìn)行通信都必須有一個(gè)唯一的IP地址���。因此���,當(dāng)一個(gè)網(wǎng)絡(luò)需要接入Inte rnet的時(shí)候,需要在Internet上進(jìn)行通信的設(shè)備就必須有一個(gè)在全球Internet網(wǎng)絡(luò)上唯一的地址�。當(dāng)一個(gè)網(wǎng)絡(luò)需要接入Internet上使用時(shí),網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都有一個(gè)I nternet地址�����,這在實(shí)行各種Internet應(yīng)用上當(dāng)然是最理想不過(guò)的�����。但是,這樣也導(dǎo)致每一個(gè)設(shè)備都暴露在網(wǎng)絡(luò)上����,任何人都可以對(duì)這些設(shè)備攻擊,同時(shí)由于I nternet目前采用的IPV4協(xié)議在網(wǎng)絡(luò)發(fā)展到現(xiàn)在,所剩下的可用的IP地址已經(jīng)不多了����,網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都需要一個(gè)IP地址���,這幾乎是不可能的事情�。
采用端口地址轉(zhuǎn)換���,管理員只需要設(shè)定一個(gè)可以用作端口地址轉(zhuǎn)換的公有Internet 地址����,用戶的訪問(wèn)將會(huì)映射到IP池中IP的一個(gè)端口上去�,這使每個(gè)合法Internet IP可以映射六萬(wàn)多臺(tái)內(nèi)部網(wǎng)主機(jī)。從而隱藏內(nèi)部網(wǎng)路地址信息�,使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備。
Cisco路由器提供了幾種NAT轉(zhuǎn)換的功能:
1�����、內(nèi)部地址與出口地址的一一對(duì)應(yīng)
缺點(diǎn):在出口地址資源稀少的情況下只能使較少主機(jī)連到internet 。
2���、內(nèi)部地址分享出口地址
路由器利用出口地址和端口號(hào)以及外部主機(jī)地址和端口號(hào)作為接口��。其中內(nèi)部地址的端口號(hào)為隨機(jī)產(chǎn)生的大于1024的號(hào)碼�����,而外部主機(jī)端口號(hào)為公認(rèn)的標(biāo)準(zhǔn)端口號(hào)���。這樣可以用同一個(gè)出口地址來(lái)分配不同的端口號(hào)連接任意數(shù)量的內(nèi)部主機(jī)到外網(wǎng)����。
具體配置:由于實(shí)驗(yàn)用的是ISDN撥號(hào)上網(wǎng),在internet上只能隨機(jī)獲得出口地址�����,所以NAT轉(zhuǎn)換的地址池設(shè)置為BRI口上撥號(hào)所獲得的地址��。
interface FastEthernet0/0
ip address 172.16.18.200 255.255.255.0
ip nat inside the interface connected to inside world
!
interface BRI0/0
ip address negotiated
ip nat outside the interface connected to outside network
encapsulation ppp
no ip split-horizon
dialer string 163
dialer load-threshold 150 inbound
dialer-group 1
isdn switch-type basic-net3
ip nat inside source list 1 interface BRI0/0 overload
access-list 1 permit 172.16.18.0 0.0.0.255
3��、內(nèi)部地址和外部地址出現(xiàn)交疊
當(dāng)內(nèi)部和外部用同一個(gè)網(wǎng)絡(luò)段地址時(shí),在地址沒(méi)有重復(fù)的情況下�����,可以同時(shí)對(duì)內(nèi)外接口進(jìn)行NAT轉(zhuǎn)換使之可以正常通訊�。
4、用一個(gè)出口地址映射內(nèi)部多臺(tái)主機(jī)
應(yīng)用于internet上的大型網(wǎng)站有多臺(tái)主機(jī)對(duì)應(yīng)同一個(gè)系統(tǒng)的同一個(gè)出口地址����。
可以用sh ip nat translation 和debug ip nat 命令來(lái)檢查NAT的狀態(tài)。
相關(guān)推薦:
計(jì)算機(jī)軟考網(wǎng)絡(luò)工程師必備英語(yǔ)詞匯全集 計(jì)算機(jī)軟件水平考試網(wǎng)工歷年真題匯總 網(wǎng)絡(luò)工程師資料:網(wǎng)絡(luò)體系結(jié)構(gòu)-軟考網(wǎng)絡(luò)類(lèi)題解
