Cisco安全实战——将你的路由器改形成防火墙51CTO博客 - 乐橙lc8

Cisco安全实战——将你的路由器改形成防火墙51CTO博客

2019年04月04日12时21分16秒 | 作者: 迎丝 | 标签: 防火墙,路由器,服务器 | 浏览: 547

    在很多人的观念中,路由器是路由器,防火墙是防火墙。路由器和防火墙都是能够作出口网关运用的,路由器作网关安全性差,防火墙安全性强。其实关于路由器和防火墙来说,他们能够算是一家人;相同作为网关,防火墙具有路由功用,为何路由器不能有安全功用呢?关于路由器和防火墙来说,它们都是全才,只不过各自通晓的范畴不相同。路由器通晓路由辅以防护,防火墙通晓防护辅以路由。就跟咱们网络工程师的相同,不能只懂网络不明白体系,而是要通晓网络辅以体系,这才是最佳的挑选。下面就介绍一下怎么把一个一般的路由器变成防火墙来运行吧。
    懂点IOS安全的都知道,有一种传统的路由器防火墙叫做CBAC(context-based access control),也便是以ip inspect最初的那些指令,它供给了依据接口的流量维护。CBAC在流量过滤、流量检查、正告和审计蛛丝马迹、***检测等方面体现杰出。例如CBAC运用超时值和阈值确认会话的状况及其继续的时刻.可铲除不完全会话和搁置会话,用以对Dos进行检测和防护。可是CBAC的缺陷便是会对一切穿过接口的流量进行相同的检查战略,无法准确操控防火墙战略,布置起来相对困难。
    针对这种问题,一种新的IOS防火墙应运而生,那便是ZFW(Zone-base Firewall)。这种防火墙改变了旧式CBAC依据接口的装备形式,而是以区域为单位进行装备。就拿咱们了解的防火墙来说,咱们都知道分内部和外部区域,还有一个DMZ区域;ZFW跟硬件防火墙同理,也是依照这么分的,仅仅你能够自己决议哪个接口需求加进什么区域,以及每个区域的功用。自在程度很高,运用起来也很便利。下面就用一个试验来验证一下(本试验需求用到7200安全IOS或许L3IOU模拟器)。
    某公司有一台服务器,需求映射到外网让别人去拜访。
 


其间详细需求如下:
1、只答应外网用户ping通服务器以及经过SSH登录服务器;
2、只答应内网用户ping通服务器以及经过telnet登录服务器;
3、内网用户能够自在拜访外网;
4、服务器不能拜访外网。
第一步:
首要确保服务器和PC能够ping通网关GW,然后在GW上做NAT,并确保内网PC能够ping通外网。这儿网关的NAT地址池为100.1.1.2—100.1.1.5,别的服务器做静态映射,映射的公网IP为100.1.1.6。内网PC接口为F0/1,外网接口为S1/0。
GW:
access-list 1 permit any
ip nat pool cisco 100.1.1.2 100.1.1.5 netmask 255.255.255.0
ip nat inside source list 1 pool cisco overload
ip nat inside source static 172.16.1.2 100.1.1.6
ip route 0.0.0.0 0.0.0.0 Serial1/0
int f0/1
ip nat inside
int s1/0
ip nat outside
服务器敞开SSH和telnet登录
Server:
ip domain name hujw.com
crypto key generate rsa
line vty 0 4
password cisco
login
transport input ssh telnet
第二步:
区分区域,并将相应接口参加区域。
这儿咱们区分三个区域,别离是private、internet和dmz。private对应内部主机,dmz对应服务器,internet对应外网。然后把相应接口参加这三个区域,其间服务器接口为F0/2。
GW:
zone security internet
zone security dmz
zone security private
int f0/1
zone-member security private
int f0/2
zone-member security dmz
int s1/0
zone-member security internet
第三步:
创立class-map,参加各区域需求用到的协议
首要是从内网拜访外网的class-map。在ZFW中,默许是回绝一切流量的。由于内网PC能够自在,所以能够用ACL匹配一切流量予以放行。这儿运用之前创立的access-list 1。
class-map type inspect match-any pri-to-int
match access-group 1
其次是创立内网PC拜访DMZ的战略。依据要求,只能ping以及telnet服务器,所以应该匹配icmp和telnet协议。
class-map type inspect match-any pri-to-dmz
match protocol icmp
match protocol telnet
最终是外网拜访DMZ服务器的战略。依据要求,只能ping以及ssh服务器,所以应该匹配icmp和ssh协议。
class-map type inspect match-any int-to-dmz
match protocol ssh
match protocol icmp
第四步:
创立policy-map,使用方才所创立的战略。
ZFW战略包含三种:pass、drop、inspect。Drop是默许行为,inspect是对流量进行检查,回来流量经过检查路由器的session表来决议是否答应进入。PASS行为不会盯梢衔接或许流量的session,可是只答应单方向经过。也便是说,假如要装备PASS的话,就要在两个方向一起配上PASS。
别离创立private-to-dmz、private-to-internet、internet-to-dmz这三个战省略调用相应的class-map。
policy-map type inspect private-to-dmz
class type inspect pri-to-dmz
  inspect
class class-default
  drop

policy-map type inspect private-to-internet
class type inspect pri-to-int
  inspect
class class-default
  drop

policy-map type inspect internet-to-dmz
class type inspect int-to-dmz
  inspect
class class-default
drop
第五步:
将战略关联在接口上。
ZFW用的可不是一般的物理接口,它有着自己专用的接口,那便是zone-pair。在这儿,物理接口的位置不再重要,它才是路由器真实的护卫!这儿需求填写zone的源和意图区域称号,而且将policy-map使用在zone-pair里。
zone-pair security private-internet source private destination internet
service-policy type inspect private-to-internet

zone-pair security internet-dmz source internet destination dmz
service-policy type inspect internet-to-dmz

zone-pair security private-dmz source private destination dmz
service-policy type inspect private-to-dmz
第六步:
测验各个区域的功用。
测验内网PC对DMZ服务器的拜访

发现服务器能够正常ping通和telnet拜访。
测验外网PC对DMZ服务器的拜访

发现能够ping和ssh登录服务器,可是不能telnet服务器。
内网PC能够恣意拜访外网。
看,一台路由器现已变成了一台有模有样的防火墙了。尽管不是很专业,可是假如专业硬件防火墙对你的网络来说是杀鸡用牛刀的话,这种“业余”的防火墙就再合适不过啦!

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表乐橙lc8立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章