在一些使用CISCO路由器的中小型企业里，为了节省购买专业硬件防火墙成本，

我们可以利用访问控制列表来达到防火墙的作用！如下是在CISCO 2811上

配置防火墙！

 

为某知名IT公司做的firewall设置：

 

 

1、在特权模式下配置下面的语句：

 

 ip access-list extended firewall   //定义扩展访问控制列表
 permit tcp any any eq www          //定义允许通过防火墙的协议或端口
 permit tcp any eq www any
 permit icmp any any
 permit tcp any any eq telnet
 permit tcp any eq telnet any
 permit tcp any any eq 8080
 permit tcp any eq 8080 any
 permit tcp any any eq ftp
 permit tcp any any eq ftp-data
 permit tcp any eq ftp any
 permit tcp any eq ftp-data any
 permit tcp any any eq domain
 permit udp any any eq domain
 permit tcp any eq domain any
 permit udp any eq domain any
 permit tcp any any eq smtp
 permit tcp any eq smtp any
 permit tcp any any eq pop3
 permit tcp any eq pop3 any
 permit tcp any any eq 8821
 permit tcp any any eq 8823
 permit tcp any any eq 1581
 permit tcp any any eq 5050
 permit tcp any eq 5000 any
 permit tcp any eq 5001 any
 permit tcp any eq 5100 any
 permit tcp any eq 5101 any
 permit tcp any eq 7001 any
 permit udp any eq 7001 any
 permit udp any eq 1863 any
 permit tcp any eq 443 any
 permit tcp any any eq 5080
 permit udp any any eq 9996 log-input
 permit tcp any eq 995 any
 permit tcp any any eq 1723
 permit tcp any eq 6060 any
 permit tcp any any eq 8824

 

2、进入到路由器接外网的接口，配置如下语句：

  ip access-group firewall in    //使用firewall这扩展访问控制列表
  ip nat outside     //定义这接口为外接口