路由器技术构建防火墙实际应用

网络 路由交换
文章主要讲解路由器技术构建防火墙保证网络的安全,相信随着通信行业的发展,路由器技术也会更加的完善稳定,给用户带来良好的网络环境。

我国的路由器技术已经非常成熟稳定,同时也能够保证用户的网络安全。这里我们主要介绍配置NAT,包括介绍应用IDS特色和其他选项等方面。现在,网络安全已成为每个联网企业的首要关注问题,而且防火墙也已作为一种主要的安全机制被人们采用。虽然一些企业已经开始致力于“防火墙应用”,(我并不是说这是一种最好的解决办法),但这些应用对于中小型企业来说相当昂贵。比如,一台Cisco PIX Firewall要花费几千美元。不过,现在出现了一种价廉物美的防火墙解决方案,可能这种解决方案一直被大家所忽视。目前,许多公司都使用标准的路由器技术联入互联网,如果您使用的是Cisco路由器,那么您应该知道Cisco IOS集成了一系列构建防火墙和入侵检测系统的功能。利用这些功能,您就可以不再需要单独的防火墙设备(firewall box),使用已有的路由器技术您完全可以构建自己的防火墙。我喜欢把这种方案称之为“穷人的防火墙”。

配置NAT

下一步,您需要正确配置防火墙和IDS。就象我前文提到的那样,可以通过扩展IP访问控制列表配置最基本的防火墙。同样,这也是配置更高级防火墙的基准点。因为许多公司使用了网络地址转换(NAT)和企业内部私有TCP/IP地址,所以我们首先应该配置这部分的访问控制列表。通常,NAT在如下环境中实现:路由器技术通过串口与英特网联接,通过以太口联结局域网。这种情况下,NAT通过在企业内部网中使用私有TCP/IP地址,加强了内部网络的秘密性和安全性。而且,企业更换Internet服务提供商(ISP)后,也不必改动内部网络的地址。

注意,本地Web服务器的IP地址现在是10.253.1.1,本地邮件服务器的IP地址是10.253.1.2。在实现防火墙之前,这两个拥有公共IP地址的系统,1.1.1.1 (Web服务器)和 1.1.1.2 (邮件服务器),在英特网上没有受到保护。而现在,这两台服务器拥有了内部IP地址,它们的外部公共IP地址在防火墙处被转换成为内部IP地址。同样,其他的内部和外部地址都相应被转换,目的地址不是本地10.x.x.x网络的包会通过串口发送出去。对网络安全来说,将防火墙阻断的各类数据记录到日志中是相当重要的一点。尽管每个访问控制列表都清楚地列出了应该拒绝的数据包,但防火墙却不能将这些报文记录到日志中。我建议在网络中安装一台日志服务器,让路由器技术登录到该日志服务器上,记录所有被防火墙拒绝的数据包。在本例中,网络中的Web服务器也是日志服务器。

应用IDS特色和其他选项

入侵检测系统(IDS)是网络安全的另一重要领域。Cisco IDS能识别“攻击特征”,我称之为“攻击模式”。以垃圾邮件为例,Cisco IDS能识别这些垃圾邮件的发源地并采取指定的处理措施。(或丢弃保文,或通知管理员,等等。)以后我可能会写一篇如何配置Cisco IDS的文章。由于IDS只是防火墙的一个可选部分,我还是有机会再介绍吧。不过,我建议您在配置Cisco IDS之前,仔细阅读一下配置Cisco IOS入侵检测系统。Cisco FW/IDS的另外两个重要特色是基于上下文的访问控制(CBAC)和TCP报文截取(TCP Intercept)。CBAC能识别数据报文的“上下文”环境,能根据上下文创建动态访问控制列表。

以FTP通信为例,如果您只允许向外的FTP访问,那么您应该使用CBAC,而不是在访问控制列表中完全开放相应端口。一般情况下,防火墙应该拒绝FTP数据回应报文访问内部网,但CBAC能识别该FTP连结是从内部网络中发起的,并自动打开相应端口,以便让数据回应报文返回给内部网用户。当这种通信没有发生时,您的网络就没有“突破口”(开放的端口),黑客就不能进行攻击,因此,这将使您的网络更安全。TCP报文截取能防止您的网络遭受拒绝服务攻击(DoS)。在数据包到达目的主机(网络中的服务器)之前,TCP报文截取能检验某个TCP包的源地址是否真实存在。如果源地址不存在,那么路由器技术能在该TCP包到达服务器之前丢弃它,并消耗其有效处理时间,这可以停止DoS攻击的攻击过程。

总结

我们可以看到,Cisco IOS FW/IDS提供了强大的功能。它可以在一台设备上实现路由器技术和防火墙,对我的公司来说这是一种省钱的解决方案,对您的公司来说这可能也是一种省钱的方案。尽管本文只是介绍了构建Cisco IOS 防火墙的一些肤浅知识,但我想这对于您来说有可能是一个好的开始。下面是构建Cisco IOS 防火墙的部分相关网址。

责任编辑:王晓东 来源: NET130
相关推荐

2009-12-10 14:56:10

动态路由技术

2009-12-02 19:36:30

2009-04-10 09:39:00

路由器防火墙

2010-08-18 11:37:39

路由器防火墙

2011-10-31 10:01:34

路由器防火墙

2010-08-10 10:05:29

思科路由器配置防火墙

2009-12-16 17:04:45

2010-09-13 17:36:59

2010-12-21 18:04:26

2009-12-01 17:13:35

2009-12-02 17:27:13

2009-12-17 13:53:47

2011-05-17 09:31:41

2013-01-30 09:48:11

2009-09-24 13:53:53

2009-12-01 09:43:19

路由协议路由器技术

2011-04-06 16:30:11

防火墙路由器

2009-12-23 16:21:21

2011-03-25 11:18:51

2012-11-28 09:17:04

路由器防火墙NTP服务器
点赞
收藏

51CTO技术栈公众号