現(xiàn)在，網(wǎng)絡(luò)安全已成為每個(gè)聯(lián)網(wǎng)企業(yè)的首要關(guān)注問題，而且防火墻也已作為一種主要的安全機(jī)制被人們采用。雖然一些企業(yè)已經(jīng)開始致力于“防火墻應(yīng)用”，（我并不是說這是一種最好的解決辦法），但這些應(yīng)用對于中小型企業(yè)來說相當(dāng)昂貴。比如，一臺Cisco PIX Firewall要花費(fèi)幾千美元。

不過，現(xiàn)在出現(xiàn)了一種價(jià)廉物美的防火墻解決方案，可能這種解決方案一直被大家所忽視。目前 ，許多公司都使用標(biāo)準(zhǔn)的路由器聯(lián)入互聯(lián)網(wǎng)，如果您使用的是Cisco路由器，那么您應(yīng)該知道Cisco IOS集成了一系列構(gòu)建防火墻和入侵檢測系統(tǒng)的功能。利用這些功能，您就可以不再需要單獨(dú)的防火墻設(shè)備（firewall box），使用已有的Cisco路由器您完全可以構(gòu)建自己的防火墻。我喜歡把這種方案稱之為“窮人的防火墻”。

相關(guān)安全資源
美國國家安全局（National Security Agency）站點(diǎn)下的executive summary for Cisco router security有一些關(guān)于如何利用Cisco路由器構(gòu)建防火墻的非常好的建議。這是我所見到的介紹這方面知識的最好站點(diǎn)。
獲取合適的的IOS
首先，您應(yīng)該獲取適合自己Cisco路由器的IOS。如果您只對最基本的防火墻感興趣（對IP地址和端口進(jìn)行過濾），那么您可以通過Cisco路由器中已有的擴(kuò)展訪問控制列表來實(shí)現(xiàn)這種過濾。但如果您想要防火墻更強(qiáng)大的功能，那么您還需要加入防火墻/入侵檢測系統(tǒng)(FW/IDS)。

訪問 Cisco IOS Upgrade Planner ，您可以獲取帶有FW/IDS的IOS，不過，只有Cisco站點(diǎn)的注冊用戶才能訪問此鏈接。利用IOS Upgrade Planner，您可以選擇合適的路由器模塊，您需要的IOS版本（最好是最新的版本），以及您尋找的軟件功能。請一定確保您選擇的IOS帶有FW/IDS。（為使用FW/IDS，您可能需要支付少量注冊許可費(fèi)用）。接著，您可以下載選好的IOS，升級路由器到新版本，并重啟路由器。

配置NAT

下一步，您需要正確配置防火墻和IDS。就象我前文提到的那樣，可以通過擴(kuò)展IP訪問控制列表配置最基本的防火墻。同樣，這也是配置更高級防火墻的基準(zhǔn)點(diǎn)。

因?yàn)樵S多公司使用了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和企業(yè)內(nèi)部私有TCP/IP地址，所以我們首先應(yīng)該配置這部分的訪問控制列表。通常，NAT在如下環(huán)境中實(shí)現(xiàn)：路由器通過串口與英特網(wǎng)聯(lián)接，通過以太口聯(lián)結(jié)局域網(wǎng)。這種情況下，NAT通過在企業(yè)內(nèi)部網(wǎng)中使用私有TCP/IP地址，加強(qiáng)了內(nèi)部網(wǎng)絡(luò)的秘密性和安全性。而且，企業(yè)更換Internet服務(wù)提供商（ISP）后，也不必改動內(nèi)部網(wǎng)絡(luò)的地址。

可以按照如下的步驟配置Cisco路由器：

interface Serial1/0 
description Internet connection – external 
ip address 1.1.1.254 255.255.255.0 !real Internet network 
no ip proxy-arp 
ip nat outside 
interface Ethernet1/1 
description Local Network Ethernet Connection - internal 
ip address 10.253.2.2 255.255.0.0 !local private network 
no ip proxy-arp 
ip nat inside 
ip nat inside source static 10.253.1.1 1.1.1.1 ! Web server 
ip nat inside source static 10.253.1.2 1.1.1.2 ! Email server 
ip route 0.0.0.0 0.0.0.0 1.1.1.0 

注意，本地Web服務(wù)器的IP地址現(xiàn)在是10.253.1.1，本地郵件服務(wù)器的IP地址是10.253.1.2。在實(shí)現(xiàn)防火墻之前，這兩個(gè)擁有公共IP地址的系統(tǒng)，1.1.1.1 （Web服務(wù)器）和 1.1.1.2 （郵件服務(wù)器），在英特網(wǎng)上沒有受到保護(hù)。而現(xiàn)在，這兩臺服務(wù)器擁有了內(nèi)部IP地址，它們的外部公共IP地址在防火墻處被轉(zhuǎn)換成為內(nèi)部IP地址。

同樣，其他的內(nèi)部和外部地址都相應(yīng)被轉(zhuǎn)換，目的地址不是本地10.x.x.x網(wǎng)絡(luò)的包會通過串口發(fā)送出去。

配置訪問列表

現(xiàn)在可以針對某類網(wǎng)絡(luò)的安全來配置訪問列表了。如果您的安全策略是在Web服務(wù)器上只允許HTTP協(xié)議，在郵件服務(wù)器上只允許SMTP協(xié)議，那么您應(yīng)該配置如下的控制列表：

access-list 100 remark Begin -- IP .1 10.253.1.1 Web Server 
access-list 100 permit tcp any eq www host 1.1.1.1 
access-list 100 remark End --------------------------------- 
! 
access-list 100 remark Begin -- IP .2 10.253.1.2 Email Server 
access-list 100 permit tcp any eq smtp host 1.1.1.2 gt 1023 
access-list 100 permit tcp any host 1.1.1.2 eq smtp 
access-list 100 remark End ---------------------------------- 

然后，使用下面的命令將控制列表應(yīng)用到串口（英特網(wǎng)接口）上：

interface Serial1/0 
ip access-group 100 in

對網(wǎng)絡(luò)安全來說，將防火墻阻斷的各類數(shù)據(jù)記錄到日志中是相當(dāng)重要的一點(diǎn)。盡管每個(gè)訪問控制列表都清楚地列出了應(yīng)該拒絕的數(shù)據(jù)包，但防火墻卻不能將這些報(bào)文記錄到日志中。我建議在網(wǎng)絡(luò)中安裝一臺日志服務(wù)器，讓路由器登錄到該日志服務(wù)器上，記錄所有被防火墻拒絕的數(shù)據(jù)包。在本例中，網(wǎng)絡(luò)中的Web服務(wù)器也是日志服務(wù)器，您可以通過下面的命令對路由器進(jìn)行相應(yīng)配置：

access-list 100 deny ip any any log 
logging 10.253.1.1

舉一個(gè)簡單的例子，我們看看如何利用NBAR阻止紅色代碼攻擊。首先，定義一個(gè)此類攻擊的class-map，指明您想阻斷對哪種應(yīng)用、那個(gè)文件的訪問：

class-map match-any http-hacks 
match protocol http url "*cmd.exe*" 
match protocol http url "*root.exe*" 

接著，利用一個(gè)策略映射（policy map）標(biāo)記具有這些特征的數(shù)據(jù)包：

policy-map mark-inbound-http-hacks

class http-hacks

set ip dscp 1

然后，在以太口（英特網(wǎng)接口）上應(yīng)用該策略映射：

interface Serial1/0

service-policy input mark-inbound-http-hacks

NBAR可以有效阻止各種散布在英特網(wǎng)中的蠕蟲入侵，這些蠕蟲有的是通過電子郵件傳播，有的是從Web網(wǎng)頁上下載下來的。NBAR僅是Cisco FW/IDS的一個(gè)特色；其他的功能我們可參考Cisco配置指南。

應(yīng)用IDS特色和其他選項(xiàng)

入侵檢測系統(tǒng)（IDS）是網(wǎng)絡(luò)安全的另一重要領(lǐng)域。Cisco IDS能識別“攻擊特征”，我稱之為“攻擊模式”。以垃圾郵件為例，Cisco IDS能識別這些垃圾郵件的發(fā)源地并采取指定的處理措施。（或丟棄保文，或通知管理員，等等。）

以后我可能會寫一篇如何配置Cisco IDS的文章。由于IDS只是防火墻的一個(gè)可選部分，我還是有機(jī)會再介紹吧。不過，我建議您在配置Cisco IDS之前，仔細(xì)閱讀一下配置Cisco IOS入侵檢測系統(tǒng)。

Cisco FW/IDS的另外兩個(gè)重要特色是基于上下文的訪問控制(CBAC)和TCP報(bào)文截取（TCP Intercept）。CBAC能識別數(shù)據(jù)報(bào)文的“上下文”環(huán)境，能根據(jù)上下文創(chuàng)建動態(tài)訪問控制列表。

以FTP通信為例，如果您只允許向外的FTP訪問，那么您應(yīng)該使用CBAC，而不是在訪問控制列表中完全開放相應(yīng)端口。一般情況下，防火墻應(yīng)該拒絕FTP數(shù)據(jù)回應(yīng)報(bào)文訪問內(nèi)部網(wǎng)，但CBAC能識別該FTP連結(jié)是從內(nèi)部網(wǎng)絡(luò)中發(fā)起的，并自動打開相應(yīng)端口，以便讓數(shù)據(jù)回應(yīng)報(bào)文返回給內(nèi)部網(wǎng)用戶。當(dāng)這種通信沒有發(fā)生時(shí)，您的網(wǎng)絡(luò)就沒有“突破口”（開放的端口），黑客就不能進(jìn)行攻擊，因此，這將使您的網(wǎng)絡(luò)更安全。

TCP報(bào)文截取能防止您的網(wǎng)絡(luò)遭受拒絕服務(wù)攻擊（DoS）。在數(shù)據(jù)包到達(dá)目的主機(jī)（網(wǎng)絡(luò)中的服務(wù)器）之前，TCP報(bào)文截取能檢驗(yàn)?zāi)硞€(gè)TCP包的源地址是否真實(shí)存在。如果源地址不存在，那么路由器能在該TCP包到達(dá)服務(wù)器之前丟棄它，并消耗其有效處理時(shí)間，這可以停止DoS攻擊的攻擊過程。

總結(jié)

我們可以看到，Cisco IOS FW/IDS提供了強(qiáng)大的功能。它可以在一臺設(shè)備上實(shí)現(xiàn)路由器和防火墻，對我的公司來說這是一種省錢的解決方案，對您的公司來說這可能也是一種省錢的方案。盡管本文只是介紹了構(gòu)建Cisco IOS 防火墻的一些膚淺知識，但我想這對于您來說有可能是一個(gè)好的開始。