雖然有人認為防火墻已經輝煌不再，但筆者認為如果充分利用設備中的防火墻功能，仍不失為一個強化安全的選擇。本文將展示設置思科IOS防火墻的基本步驟。

注意，本文中部分內容屬于IOS防火墻特性集部分。如果你的路由器上并沒有防火墻特性集，請不要運行防火墻命令。不過，為了強化安全，筆者推薦你使用支持防火墻的IOS版本。雖然僅有NAT就可以為你的內部網絡提供最小程度的保護，但你面向互聯網的路由器更易于遭受到黑客的攻擊。(以下命令省略了提示符，在每條命令下加了解釋或描述。)

enable
進入特權用戶模式

config t
進入全局配置模式

ip dhcp excluded-address 192.168.100.1 192.168.100.10
從內部DHCP地址池中排除前10個IP地址

ip dhcp pool Internal-DHCP
創建一個稱為“Internal DHCP”的DHCP池

import all
將外部的DHCP設置從ISP導入到“Internal DHCP”池中

network 192.168.100.0 255.255.255.0
定義這個DHCP池運行的網絡

default-router 192.168.100.1
為“Internal DHCP”池設置默認網關

ip inspect name cbac tcp
檢查向外發出的數據通信，以便于準許對內的響應TCP通信

ip inspect name cbac udp
檢查向外發出的數據通信，以便于準許對內的響應UDP通信

interface f0/0
進入接口f0/0， F0/0在這里即是內部的局域網接口

ip address 192.168.100.1 255.255.255.0
將內部的局域網接口IP設置為 192.168.100.1，子網掩碼為24位。

ip nat inside
將此接口指定為網絡地址轉換的內部接口

interface e0/0
進入接口 e0/0.  E0/0在這里即是外部的局域網接口。

ip address dhcp
設置外部局域網接口的IP使用DHCP，DHCP由ISP提供。

ip access-group CBAC in
打開對內的狀態數據包檢查

ip inspect cbac out
打開對內的狀態數據包檢查，這點對于響應對內通信極為關鍵。

ip nat outside
將這個接口指定為網絡地址轉換的內部接口

mac-address ffff.ffff.ffff
可選， 允許用戶進行MAC地址欺騙。有一些ISP會鎖定MAC地址。

ip nat inside source list NATACL interface e0/0 overload
它將所有的IP地址從NATACL ACL轉換到外部的接口和IP地址

ip access-list extended CBAC
定義一個稱為CBAC的擴展ACL，用于對內的防火墻規則

permit udp any eq bootps any eq bootpc
準許對內的DHCP。如果不用這個功能，用戶的ISP就不能為其分配一個DHCP IP地址。

permit gre any any
如果不這樣的話，外發的PPTP VPN無法工作

permit icmp any any echo
準許ping入.  注意，如果你想要保持秘密，請不要使用此功能。

permit icmp any any echo-reply
準許ping出

permit icmp any any traceroute
準許 traceroute

deny   ip any any log
如果你想記錄所拒絕的進入企圖功能，這條命令就很有用。

ip access-list extended NATACL
定義一個稱為NATACL的擴展ACL，用于實現NAT

permit ip 192.168.100.0 0.0.0.255 any
準許192.168.100.0/24到達已經進行了網絡地址轉換的任何地方。

exit
退出 NATACL ACL

exit
退出全局配置模式

wr mem
將配置改變寫往永久性閃存

以上是筆者在學習IOS防火墻配置過程中的一點兒體會，希望這些步驟有助于加強安全防御功能。當然不能完全依賴這些東西。