分类: 网络与安全
2008-03-14 18:29:39
利 用Cisco 路 由器
建 立 简 单 局 域 网 防 火 墙 系 统
---- 随 着Internet 网 的 迅 速 普 及, 上 网 用 网 的 用 户 越 来 越 多, 因 此 对 网 络 安 全 性 的威 胁 也 越 来 越 大, 直 接 连 接 在Internet 的 局 域 网 的 安 全 性 尤 其 如 此,采 取 必 要 的 安 全 措 施 就 成 为 了 局 域 网 连 接Internet 的 重 要 工 作 之一。
---- Cisco 公 司 为 局 域 网 接 入Internet 提 供 了 全 系 列 的 路 由 器 产 品, 有些 已 经 提 供 了 一 些 基 本 的 安 全 防 范 措 施。Cisco 路 由 器 的 数 据 包 过滤 特 性, 使 局 域 网 管 理 员 能 够 控 制 数 据 包 在 局 域 网 与Internet 之 间的 流 动, 采 取 适 当 的 控 制 手 段 可 有 效 地 防 止 外 部 用 户 对 局 域 网 的 安 全 访 问, 或 可 以 限 制 网 络 流量; 也 可 以 限 制 局 域 网 内 的 某 些 用 户 或 设 备 使 用 网 络 资 源。 为 了 实现 对 数 据 包 通 过 网 络 接 口 时 的 有 效 控 制, 达 到 建 立 一 个 简 单 防 火 墙 系 统 的 目 的,Cisco 路 由 器 又 提 供 了 一 个access-list 命 令。
---- 使 用access-list 命 令 可 以 控 制 数 据 包 在 不 同 网 络 接 口 的 传 输, 用 户 可 以 创 建一 个access 列 表, 它 是 一 组 数 据 传 输 条 件 的 集 合。 这 个 列 表 可 以 应用 于 路 由 器 中 特 定 的 网 络 接 口。 当 路 由 器 传 输 数 据 时, 首 先 用 源 或 目 的IP 地址 与access 列 表 中 的 条 件 逐 条 比 较, 由 第 一 个 相 符 的 条 件 决 定 转 发或 舍 弃 该 地 址 的 数 据 包。 找 到 第 一 个 满 足 条 件 的 记 录 后 停 止 测 试 后 面 的 记 录。 如 果 没 有 一 个 条件 相 符, 路 由 器 则 舍 弃 该 地 址 的 数 据 包, 从 而 使 网 内 外 机 器 分 隔 开 来, 达 到 隐 蔽 局 域 网 内 设 备 的目 的。
1. 语 法 格 式
---- access 列 表 分 为 标 准 和 扩 展 两 种, 标 准access 列表 只 把 数 据 包 的 地 址 做 为 判 断 条 件, 而 扩 展 的access 列 表 不 仅 可 以使 用 数 据 包 地 址, 而 且 还 可 以 把 使 用 的 协 议 及 端 口 和 其 他 详 细 信 息 作 为 条 件 进 行 更 精 确 的 比 较匹 配 操 作, 以 决 定 数 据 包 的 取 舍。 其 命 令 格 式 如 下:
---- 建 立 标 准 的access 列 表:
---- access-list 列 表 序 号 {deny | permit} 源 地 址 [ 源地 址 通 配 符]
---- 建 立 扩 展 的access 列 表:
---- access-list 列 表 序 号 {deny | permit} 传 输 协 议 源 地 址 源 地 址 通 配 符 [ 端 口 号] 目 的 地 址 目 的 地 址 通 配 符 [ 端 口 号]
---- 取 消 列 表:
---- no access-list 列 表 序 号
---- 参 数 说 明:
---- 列 表 序 号 :
---- 取 值1 ~99 时 表 示 建 立 标 准access 列 表; 取 值100 ~199 时 表 示 建 立 扩 展access 列 表
---- deny:
---- 如 果 满 足 条 件 则 禁 止 数 据 包 存 取
---- permit:
---- 如 果 满 足 条 件 则 允 许 数 据 包 存 取
---- 传 输 协 议:
---- IP 协 议 名 称 或 协 议 号
---- 源 地 址, 目 的 地 址:
---- 发 出 或 接 收 数 据 包 的 主 机IP 地 址
---- 地 址 通 配 符:
---- 与IP 地 址 非 常相 似, 由4 个8 位 二 进 制 组 成, 如 果 忽 略某 一 位 的 变 化 则 该 位 取 值1。 如 通 配 符255.255.255.255表示 任 意 主 机, 而
---- 端 口 号 十 进 制 的TCP 传输 端 口 或 传 输 名 称, 端 口 号 取 值0 ~65535 access-list 缺 省 默 认 在 每 个 列 表 中 有 一 个 禁 止 所 有 数 据 传 输 的 命 令, 即 隐 含 在 最 后存 在 一 个 条 件:access-list X deny 0.0.0.0 255.255.255.255
---- 2. 使 用 说 明
---- 使 用access 列 表 一 般 涉 及 到 以 下 两 个 步 骤:
---- (1) 创 建 一 个 标 准 或 扩 展 的access 列 表
----
|
要 完 成 的 任 务 |
使 用 的 命 令 |
|
针 对 某 些 主 机 建 立 一 个 标 准access 列 表 |
access-list 列 表 号 {deny|permit} 源 地 址 [ 源 地 址 通 配 符] |
|
针 对 所 有 主 机 建 立 一 个 标 准access 列 表 |
access-list 列 表 号 {deny|permit} any |
|
针 对 某 些 主 机 定 义 一 个 扩 展access 列 表 |
access-list 列 表 号 {deny|permit} 使 用 的 协 议 源 地 址 源 地 址 通 配 符 目 标 地 址 目 标 地 址 通 配 符 |
|
对 所 有 源 地 址 和 所 有 目 的 地 址 定 义 一 个 扩 展access 列 表 |
access-list 列 表 号 {deny|permit} 使 用 的 协 议 any any |
---- 应 该 注 意 在定 义 一 个 标 准 或 扩 展 的access 列 表 时, 如 果 系 统 在 该 列 表 中 没 有 找到 任 何 一 条 相 符 的 条 件, 则 系 统 缺 省 认 为 在 列 表 的 最 后 包 含 有 一 行 禁 止 任 何 操 作 的 条 件。 由 于路 由 器 在 检 测 到 一 个 符 合 条 件 的 项 目 后 停 止 比 较, 所 以 在access 列表 中 条 件 的 排 列 顺 序 非 常 重 要。 建 立 一 个access 列 表 时, 任 何 新 建 的 条 件 都 被 置 于 该 列 表 的 最 后, 也就 是 说 用 户 不 能 从 一 个access 列 表 中 指 定 一 个 特 定 的 条 件 行 进 行增 加 或 删 除。
---- (2) 将 列 表 绑 定 于 网 络 接 口
---- 建 立 一 个 列表 后, 可 以 将 它 绑 定 于 一 个 或 多 个 网 络 接 口, 列 表 既 可 以 绑 定 于 输 出 接 口 也 可 以 绑 定 于 输 入 接口。
|
要 完 成 的 任 务 |
使 用 的 命 令 |
|
将 列 表 绑 定 于 一 个 网 络 接 口 |
ip access-group 列 表 号 {in|out} |
|
将 列 表 绑 定 于 一 特 定 的 拨 号 异 步 口 |
access-class 列 表 号 {in|out} |
---- 对 绑 定 到 输入 端 口 的access 列 表, 当 路 由 器 接 收 到 一 个 数 据 包 时, 路 由 器 将 数据 包 中 的 源 地 址 与access 列 表 中 每 个 条 件 逐 条 比 较, 如 果 列 表 允 许该 地 址 的 数 据 包, 则 路 由 器 继 续 处 理 该 数 据 包; 如 果 列 表 中 禁 止 该 地 址 的 数 据 包, 则 路 由 器 舍 弃数 据 包 并 给 源 地 址 主 机 返 回 一 个 目 的 不 可 达 的ICMP 消 息。
---- 对 绑 定 到 输出 端 口 的access 列 表, 当 路 由 器 接 收 到 一 个 数 据 包 并 将 它 转 发 至 另一 端 口 时, 路 由 器 将 数 据 包 中 的 源 地 址 与access 列 表 中 的 的 条 件 逐个 比 较。 如 果access 列 表 允 许 该 地 址, 则 该 数 据 包 被 转 发。 如 果access 列 表 禁 该 地 址 传 输 数 据, 路 由 器 则 舍 弃 该 数 据 包 并 给 源 地 址 返 回一 个 目 标 主 机 不 可 达 的ICMP 消 息。
---- 在 将access 列 表 绑 定 到 拨 号 异 步 端 口 时, 因 为 一 个 用 户 完 全 可 以 使 用 不 同 的拨 号 端 口 接 入 路 由 器, 所 以 要 对 所 有 异 步 拨 号 端 口 使 用 完 全 相 同 的access 列 表。
---- 3. 使 用 举 例
---- 例1 在 以 下 的 例 子 中 网 络
route# access-list 2 permit
route# access-list 2 deny 0.0.255.255 ; 禁 止 子 网10.26.X.X
route# access-list 2 permit
route# interface ethernet 0 ; 配 置0 号 以 太 网 端 口
route-if# ip access-group
.....
route# show access-list ; 显 示access 列 表 的 内 容
Standard IP access list 2
permit
deny
permit
permit any
route# write memory ; 将 本 次 配 置 保 存
---- 例2 在access 列 表 中 缺 省 的 掩 码 位 为
access-list 1 permit
access-list 1 permit 192.168.0.0
access-list 1 deny
上 述 表 达 式 与 以 下 列 表 是 等 价 的:
access-list 1 permit
access-list 1 permit 192.168.0.0
access-list 1 deny
---- 其 实 上 述 列表 中 的 最 后 一 行 可 以 不 用, 因 为 在access 列 表 中 缺 省 认 为 是 禁 止 所有 传 输。 即 等 价 于 在 所 有access 列 表 中 有 以 下 一 行 在 最 后 发 生 作 用。
---- access-list 1 deny
---- 例3 以 下access 列 表 仅 允 许 列 出 的 三 个 子 网 进行 传 输, 其 他 所 有 的IP 均 在 禁 止 之 列:
access-list 1 permit 192.168.1.0
access-list 1 permit 172.1.0.0 0.0.255.255 ; 允 许172.1.X.X 一 个B 类 子 网
access-list 1 permit 10.0.0.0 0.255.255.255 ; 允 许10.X.X.X 一 个A 类 子 网
( 缺 省 值:access-list 1 deny 0.0.0.0 255.255.255.255) ; 禁止 所 有 其 他IP
---- 例4 扩 展access 列 表 的 配 置
access-list 102 permit tc
access-list 102 permit tcp 0.0.0.0 255.255.255.255 192.168.1.2 0.0.0.0 eq 25
access-list 102 permit icmp 0.0.0.0 255.255.255.255 192.168.0.0 255.255.255.255
interface ethernet 0
ip access-group
---- 在 上 述access 列 表 中 定 义 了 一 个 列 表 号 为102 的 扩展 列 表。 第 一 行 允 许 从 任 何 源 地 址 进 入 目 的 地 址 为192.168.0.0 子网 的 任 何 端 口 号 大 于1023 的TCP 连 接;第 二 行 允 许 任 何 主 机 到192.168.1.2 主 机 的SMTP(Simple Mail Transfer Protocol 简 单 邮 件 传 输 协 议, 第25 号 端 口) 端 口 的 连 接; 第 三 行 允 许 从 任 何 主 机 返 回 的 错 误 信 息ICMP 反 馈 给192.168.0.0 子 网 内 主 机。
---- 例5 扩 展access 列 表
---- 如 果 局 域 网已 经 连 接 到Internet, 希 望 局 域 网 内 任 一 主 机 可 以 与Internet 的 任 何 主 机 进 行TCP 连 接, 但 是 从 安全 方 面 考 虑, 又 希 望Internet 的 任 何 主 机 与 局 域 网 内 的 主 机 不 能 进行 除SMTP 协 议 外 的 其 他 任 何TCP 连 接。
---- SMTP 在 一 端 使 用 端 口 号25 而 在 另 一 端 使 用 一 个 随 机 端 口, 这 一 对端 口 在 一 次 连 接 过 程 不 发 生 改 变。 邮 件 包 从Internet 进 入 局 域 网 时其 目 的 端 口 为25, 输 出 的 邮 件 包 则 正 好 相 反。 下 例 中 局 域 网 是 一 个B 类 网 络192.168.0.0, 其 邮 件 主 机 是192.168.1.2。
access-list 102 permit tc
access-list 102 permit tcp 0.0.0.0 255.255.255.255 192.168.1.2 0.0.0.0 eq 25
interface ethernet 0 ; 选 择 以 太 网 端口
ip access-group
