| 思科IOS防火墙系列命令详细解析 |
| 作者:不详
来源:cnbeta 加入时间:2008-08-06 |
| |
虽然有人认为防火墙已经辉煌不再,但笔者认为如果充分利用设备中的防火墙功能,仍不失为一个强化安全的选择。本文将展示设置思科IOS防火墙的基本步骤。
注意,本文中部分内容属于IOS防火墙特性集部分。如果你的路由器上并没有防火墙特性集,请不要运行防火墙命令。不过,为了强化安全,笔者推荐你使用支持防火墙的IOS版本。虽然仅有NAT就可以为你的内部网络提供最小程度的保护,但你面向互联网的路由器更易于遭受到黑客的攻击。(以下命令省略了提示符,在每条命令下加了解释或描述。)
enable
进入特权用户模式
config t
进入全局配置模式
ip dhcp excluded-address 192.168.100.1 192.168.100.10
从内部DHCP地址池中排除前10个IP地址
ip dhcp pool Internal-DHCP
创建一个称为“Internal DHCP”的DHCP池
import all
将外部的DHCP设置从ISP导入到“Internal DHCP”池中
network 192.168.100.0 255.255.255.0
定义这个DHCP池运行的网络
default-router 192.168.100.1
为“Internal DHCP”池设置默认网关
ip inspect name cbac tcp
检查向外发出的数据通信,以便于准许对内的响应TCP通信
ip inspect name cbac udp
检查向外发出的数据通信,以便于准许对内的响应UDP通信
interface f0/0
进入接口f0/0, F0/0在这里即是内部的局域网接口
ip address 192.168.100.1 255.255.255.0
将内部的局域网接口IP设置为 192.168.100.1,子网掩码为24位。
ip nat inside
将此接口指定为网络地址转换的内部接口
interface e0/0
进入接口 e0/0. E0/0在这里即是外部的局域网接口。
ip address dhcp
设置外部局域网接口的IP使用DHCP,DHCP由ISP提供。
ip access-group CBAC in
打开对内的状态数据包检查
ip inspect cbac out
打开对内的状态数据包检查,这点对于响应对内通信极为关键。
ip nat outside
将这个接口指定为网络地址转换的内部接口
mac-address ffff.ffff.ffff
可选, 允许用户进行MAC地址欺骗。有一些ISP会锁定MAC地址。
ip nat inside source list NATACL interface e0/0 overload
它将所有的IP地址从NATACL ACL转换到外部的接口和IP地址
|
| |
|
| [1] [2] 下一页 |
|
|
|
|
|
|
|
|
发给好友
给我们投稿
加为收藏
