Cisco安全實(shí)戰(zhàn)將你的路由器改造成防火墻

Cisco安全實(shí)戰(zhàn)將你的路由器改造成防火墻Cisco安全實(shí)戰(zhàn)將你的路由器改造成防火墻在很多人的觀念中，路由器是路由器，防火墻是防火墻。路由器和防火墻都是可以作出口網(wǎng)關(guān)使用的，路由器作網(wǎng)關(guān)安全性差，防火墻安全性強(qiáng)。其實(shí)對于路由器和防火墻來說，他們可以算是一家人；同樣作為網(wǎng)關(guān)，防火墻擁有路由功能，為何路由器不能有安全功能呢？對于路由器和防火墻來說，它們都是全才，只不過各自精通的領(lǐng)域不一樣。路由器精通路由輔以防護(hù)，防火墻精通防護(hù)輔以路由。就跟我們網(wǎng)絡(luò)工程師的一樣，不能只懂網(wǎng)絡(luò)不懂系統(tǒng)，而是要精通網(wǎng)絡(luò)輔以系統(tǒng)，這才是最佳的選擇。下面就介紹一下如何把一個(gè)普通的路由器變成防火墻來運(yùn)行吧。懂點(diǎn)IOS安全的都知道，有一種傳統(tǒng)的路由器防火墻叫做CBAC(context-basedaccesscontrol)，也就是以ipinspect開頭的那些命令，它提供了基于接口的流量保護(hù)。CBAC在流量過濾、流量檢查、警告和審計(jì)蛛絲馬跡、入侵檢測等方面表現(xiàn)卓越。例如CBAC使用超時(shí)值和閾值確定會(huì)話的狀態(tài)及其持續(xù)的時(shí)間.可清除不完全會(huì)話和閑置會(huì)話,用以對Dos進(jìn)行檢測和防護(hù)。但是CBAC的缺點(diǎn)就是會(huì)對所有穿過接口的流量進(jìn)行相同的審查策略，無法精確控制防火墻策略，部署起來相對困難。針對這種問題，一種新的IOS防火墻應(yīng)運(yùn)而生，那就是ZFW(Zone-baseFirewall)。這種防火墻改變了老式CBAC基于接口的配置模式，而是以區(qū)域?yàn)閱挝贿M(jìn)行配置。就拿大家熟悉的防火墻來說，我們都知道分內(nèi)部和外部區(qū)域，還有一個(gè)DMZ區(qū)域；ZFW跟硬件防火墻同理，也是按照這么分的，只是你可以自己決定哪個(gè)接口需要加進(jìn)什么區(qū)域，以及每個(gè)區(qū)域的功能。自由程度很高，使用起來也很方便。下面就用一個(gè)實(shí)驗(yàn)來驗(yàn)證一下（本實(shí)驗(yàn)需要用到7200安全I(xiàn)OS或者L3IOU模擬器）。某公司有一臺(tái)服務(wù)器，需要映射到外網(wǎng)讓別人去訪問。其中具體需求如下：1、只允許外網(wǎng)用戶ping通服務(wù)器以及通過SSH登錄服務(wù)器；2、只允許內(nèi)網(wǎng)用戶ping通服務(wù)器以及通過telnet登錄服務(wù)器；3、內(nèi)網(wǎng)用戶可以自由訪問外網(wǎng)；4、服務(wù)器不能訪問外網(wǎng)。天地棋牌第一步：?首先保證服務(wù)器和PC能夠ping通網(wǎng)關(guān)GW，然后在GW上做NAT，并保證內(nèi)網(wǎng)PC可以ping通外網(wǎng)。這里網(wǎng)關(guān)的NAT地址池為—，另外服務(wù)器做靜態(tài)映射，映射的公網(wǎng)IP為。內(nèi)網(wǎng)PC接口為F0/1，外網(wǎng)接口為S1/0。GW：access-list1permitanyipnatpoolcisconetmaskipnatinsidesourcelist1poolciscooverloadipnatinsidesourcestaticiprouteSerial1/0intf0/1ipnatinsideints1/0ipnatoutside服務(wù)器開啟SSH和telnet登錄Server:cryptokeygeneratersalinevty04passwordciscologintransportinputsshtelnet第二步：劃分區(qū)域，并將相應(yīng)接口加入?yún)^(qū)域。這里我們劃分三個(gè)區(qū)域，分別是private、internet和dmz。private對應(yīng)內(nèi)部主機(jī)，dmz對應(yīng)服務(wù)器，internet對應(yīng)外網(wǎng)。然后把相應(yīng)接口加入這三個(gè)區(qū)域，其中服務(wù)器接口為F0/2。GW:zonesecurityinternetzonesecuritydmzzonesecurityprivateintf0/1zone-membersecurityprivateintf0/2zone-membersecuritydmzints1/0zone-membersecurityinternet第三步：創(chuàng)建class-map，加入各區(qū)域需要用到的協(xié)議首先是從內(nèi)網(wǎng)訪問外網(wǎng)的class-map。在ZFW中，默認(rèn)是拒絕所有流量的。因?yàn)閮?nèi)網(wǎng)PC可以自由，所以可以用ACL匹配所有流量予以放行。這里使用之前創(chuàng)建的access-list1。class-maptypeinspectmatch-anypri-to-intmatchaccess-group1其次是創(chuàng)建內(nèi)網(wǎng)PC訪問DMZ的策略。根據(jù)要求，只能ping以及telnet服務(wù)器，所以應(yīng)該匹配icmp和telnet協(xié)議。638棋牌class-maptypeinspectmatch-anypri-to-dmzmatchprotocolicmpmatchprotocoltelnet最后是外網(wǎng)訪問DMZ服務(wù)器的策略。根據(jù)要求，只能ping以及ssh服務(wù)器，所以應(yīng)該匹配icmp和ssh協(xié)議。class-maptypeinspectmatch-anyint-to-dmzmatchprotocolsshmatchprotocolicmp第四步：創(chuàng)建policy-map，應(yīng)用剛才所創(chuàng)建的策略。ZFW策略包括三種：pass、drop、inspect。Drop是默認(rèn)行為，inspect是對流量進(jìn)行審查，返回流量通過查看路由器的session表來決定是否允許進(jìn)入。PASS行為不會(huì)跟蹤連接或者流量的session，但是只允許單方向通過。也就是說，如果要配置PASS的話，就要在兩個(gè)方向同時(shí)配上PASS。分別創(chuàng)建private-to-dmz、private-to-internet、internet-to-dmz這三個(gè)策略去調(diào)用相應(yīng)的class-map。policy-maptypeinspectprivate-to-dmzclasstypeinspectpri-to-dmzinspectclassclass-defaultdroppolicy-maptypeinspectprivate-to-internetclasstypeinspectpri-to-intinspectclassclass-defaultdroppolicy-maptypeinspectinternet-to-dmzclasstypeinspectint-to-dmzinspectclassclass-defaultdrop第五步：將策略關(guān)聯(lián)在接口上。樂淘棋牌ZFW用的可不是普通的物理接口，它有著自己專用的接口，那就是zone-pair。在這里，物理接口的地位不再重要，它才是路由器真正的守衛(wèi)！這里需要填寫zone的源和目的區(qū)域名稱，并且將policy-map應(yīng)用在zone-pair里。zone-pairsecurityprivate-internetsourceprivatedestinationinternetservice-policytypeinspectprivate-to-internetzone-pairsecurityinternet-dmzsourceinternetdestinationdmzservice-policytypeinspectinternet-to-dmzzone-pairsecurityprivate-dmzsourceprivatedestinationdmzservice-policytypeinspectprivate-to-dmz第六步：測試各個(gè)區(qū)域的功能。測試內(nèi)網(wǎng)PC對DMZ服務(wù)器的訪問發(fā)現(xiàn)服務(wù)器可以