CiscoIOS防火墻的安全規(guī)則和配置方案網(wǎng)絡(luò)安全是一個系統(tǒng)的概念�����,有效的安全策略或方案的制定,是網(wǎng)絡(luò)信息安全的首要目標(biāo)����。 網(wǎng)絡(luò)安全技術(shù)主要有,認證授權(quán)����、數(shù)據(jù)加密、訪問控制����、安全審計等����。而提供安全網(wǎng)關(guān)服務(wù)的類型有:地址轉(zhuǎn)換�、包過濾�、應(yīng)用代理、訪問控制和D oS防御。本文主要介紹地址轉(zhuǎn)換和訪問控制兩種安全網(wǎng)關(guān)服務(wù)�����,利用cisco路由器對ISDN撥號上網(wǎng)做安全規(guī)則設(shè)置��。試驗環(huán)境是一臺有fir ewall版本IOS的cisco2621路由器��、一臺交換機組成的局域網(wǎng)利用ISDN撥號上網(wǎng)�����。
一�����、地址轉(zhuǎn)換
我們知道�����,Internet 技術(shù)是基于IP 協(xié)議 的技術(shù)��,所有的信息通信都是通過IP包來實現(xiàn)的����,每一個設(shè)備需要進行通信都必須有一個唯一的IP地址�����。因此,當(dāng)一個網(wǎng)絡(luò)需要接入Inte rnet的時候���,需要在Internet上進行通信的設(shè)備就必須有一個在全球Internet網(wǎng)絡(luò)上唯一的地址�。當(dāng)一個網(wǎng)絡(luò)需要接入Internet上使用時���,網(wǎng)絡(luò)中的每一臺設(shè)備都有一個I nternet地址��,這在實行各種Internet應(yīng)用上當(dāng)然是最理想不過的���。但是,這樣也導(dǎo)致每一個設(shè)備都暴露在網(wǎng)絡(luò)上�����,任何人都可以對這些設(shè)備攻擊���,同時由于I nternet目前采用的IPV4協(xié)議在網(wǎng)絡(luò)發(fā)展到現(xiàn)在�,所剩下的可用的IP地址已經(jīng)不多了�,網(wǎng)絡(luò)中的每一臺設(shè)備都需要一個IP地址,這幾乎是不可能的事情。
采用端口地址轉(zhuǎn)換�,管理員只需要設(shè)定一個可以用作端口地址轉(zhuǎn)換的公有Internet 地址,用戶的訪問將會映射到IP池中IP的一個端口上去�����,這使每個合法Internet IP可以映射六萬多臺內(nèi)部網(wǎng)主機����。從而隱藏內(nèi)部網(wǎng)路地址信息��,使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備��。
Cisco路由器提供了幾種NAT轉(zhuǎn)換的功能:
1���、內(nèi)部地址與出口地址的一一對應(yīng)
缺點:在出口地址資源稀少的情況下只能使較少主機連到internet �。
2���、內(nèi)部地址分享出口地址
路由器利用出口地址和端口號以及外部主機地址和端口號作為接口�����。其中內(nèi)部地址的端口號為隨機產(chǎn)生的大于1024的號碼��,而外部主機端口號為公認的標(biāo)準端口號����。這樣可以用同一個出口地址來分配不同的端口號連接任意數(shù)量的內(nèi)部主機到外網(wǎng)。
具體配置:由于實驗用的是ISDN撥號上網(wǎng)��,在internet上只能隨機獲得出口地址���,所以NAT轉(zhuǎn)換的地址池設(shè)置為BRI口上撥號所獲得的地址���。
interface FastEthernet0/0
ip address 172.16.18.200 255.255.255.0
ip nat inside the interface connected to inside world
!
interface BRI0/0
ip address negotiated
ip nat outside the interface connected to outside network
encapsulation ppp
no ip split-horizon
dialer string 163
dialer load-threshold 150 inbound
dialer-group 1
isdn switch-type basic-net3
ip nat inside source list 1 interface BRI0/0 overload
access-list 1 permit 172.16.18.0 0.0.0.255
3、內(nèi)部地址和外部地址出現(xiàn)交疊
當(dāng)內(nèi)部和外部用同一個網(wǎng)絡(luò)段地址時��,在地址沒有重復(fù)的情況下��,可以同時對內(nèi)外接口進行NAT轉(zhuǎn)換使之可以正常通訊����。
4�����、用一個出口地址映射內(nèi)部多臺主機
應(yīng)用于internet上的大型網(wǎng)站有多臺主機對應(yīng)同一個系統(tǒng)的同一個出口地址�。
可以用sh ip nat translation 和debug ip nat 命令來檢查NAT的狀態(tài)�。
相關(guān)推薦:
計算機軟考網(wǎng)絡(luò)工程師必備英語詞匯全集 計算機軟件水平考試網(wǎng)工歷年真題匯總 網(wǎng)絡(luò)工程師資料:網(wǎng)絡(luò)體系結(jié)構(gòu)-軟考網(wǎng)絡(luò)類題解
