軟考網工：CiscoIOS防火墻安全規(guī)則和配置方案

　　CiscoIOS防火墻的安全規(guī)則和配置方案網絡安全是一個系統(tǒng)的概念，有效的安全策略或方案的制定，是網絡信息安全的首要目標。 網絡安全技術主要有，認證授權、數據加密、訪問控制、安全審計等。而提供安全網關服務的類型有：地址轉換、包過濾、應用代理、訪問控制和D oS防御。本文主要介紹地址轉換和訪問控制兩種安全網關服務，利用cisco路由器對ISDN撥號上網做安全規(guī)則設置。試驗環(huán)境是一臺有fir ewall版本IOS的cisco2621路由器、一臺交換機組成的局域網利用ISDN撥號上網。

　　一、地址轉換

　　我們知道，Internet 技術是基于IP 協議 的技術，所有的信息通信都是通過IP包來實現的，每一個設備需要進行通信都必須有一個唯一的IP地址。因此，當一個網絡需要接入Inte rnet的時候，需要在Internet上進行通信的設備就必須有一個在全球Internet網絡上唯一的地址。當一個網絡需要接入Internet上使用時，網絡中的每一臺設備都有一個I nternet地址，這在實行各種Internet應用上當然是最理想不過的。但是，這樣也導致每一個設備都暴露在網絡上，任何人都可以對這些設備攻擊，同時由于I nternet目前采用的IPV4協議在網絡發(fā)展到現在，所剩下的可用的IP地址已經不多了，網絡中的每一臺設備都需要一個IP地址，這幾乎是不可能的事情。

　　采用端口地址轉換，管理員只需要設定一個可以用作端口地址轉換的公有Internet 地址，用戶的訪問將會映射到IP池中IP的一個端口上去，這使每個合法Internet IP可以映射六萬多臺內部網主機。從而隱藏內部網路地址信息，使外界無法直接訪問內部網絡設備。

　　Cisco路由器提供了幾種NAT轉換的功能：

　　1、內部地址與出口地址的一一對應

　　缺點：在出口地址資源稀少的情況下只能使較少主機連到internet 。

　　2、內部地址分享出口地址

　　路由器利用出口地址和端口號以及外部主機地址和端口號作為接口。其中內部地址的端口號為隨機產生的大于1024的號碼，而外部主機端口號為公認的標準端口號。這樣可以用同一個出口地址來分配不同的端口號連接任意數量的內部主機到外網。

　　具體配置：由于實驗用的是ISDN撥號上網，在internet上只能隨機獲得出口地址，所以NAT轉換的地址池設置為BRI口上撥號所獲得的地址。

　　interface FastEthernet0/0

　　ip address 172.16.18.200 255.255.255.0

　　ip nat inside the interface connected to inside world

　　!

　　interface BRI0/0

　　ip address negotiated

　　ip nat outside the interface connected to outside network

　　encapsulation ppp

　　no ip split-horizon

　　dialer string 163

　　dialer load-threshold 150 inbound

　　dialer-group 1

　　isdn switch-type basic-net3

　　ip nat inside source list 1 interface BRI0/0 overload

　　access-list 1 permit 172.16.18.0 0.0.0.255

　　3、內部地址和外部地址出現交疊

　　當內部和外部用同一個網絡段地址時，在地址沒有重復的情況下，可以同時對內外接口進行NAT轉換使之可以正常通訊。

　　4、用一個出口地址映射內部多臺主機

　　應用于internet上的大型網站有多臺主機對應同一個系統(tǒng)的同一個出口地址。

　　可以用sh ip nat translation 和debug ip nat 命令來檢查NAT的狀態(tài)。