《Linux系统安全：纵深防御、安全扫描与入侵检测 》 —2.3　利用Cisco防火墙设置访问控制

2.3　利用Cisco防火墙设置访问控制

在网络边界（Network Perimeter）上，笔者建议使用专用的商业硬件防火墙设备进行防护，这主要是基于其性能和可配置管理性的优势。另外，使用异构的网络防火墙设备，还可以为网络内系统和服务增加一层安全防护。本节以Cisco防火墙为例，介绍ACL（Access Control List，访问控制列表）的使用方法。

ACL使用包过滤技术，在路由器上读取IP层及第4层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

Cisco IOS的访问控制列表ACL分为两种，根据不同场合应用不同种类的ACL：

1）标准访问控制列表。它通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。

2）扩展访问控制列表。它可以依据第4层的信息进行过滤，相对于标准访问控制列表，可以进行更细粒度的控制。

我们使用扩展访问控制列表来保护Cisco路由器后面的主机。使用的命令如下：

Router# configure terminal

Router(config)#ip access-list extended SDACL #定义扩展ACL，名称是SDACL

Router(config-ext-nacl)#permit icmp any any

Router(config-ext-nacl)#permit tcp any host x.y.16.134 eq 80

Router(config-ext-nacl)#permit udp host 202.96.209.5 eq 53 host x.y.16.134

Router(config-ext-nacl)#permit tcp host 202.96.209.5 eq 53 host x.y.16.134

Router(config-ext-nacl)#permit udp host 114.114.114.114 eq 53 host x.y.16.134

Router(config-ext-nacl)#permit tcp host 114.114.114.114 eq 53 host x.y.16.134

Router(config-ext-nacl)#permit tcp host 61.172.240.227 host x.y.16.134 eq 22

Router(config-ext-nacl)#permit tcp host 61.172.240.228 host x.y.16.134 eq 22

Router(config-ext-nacl)#permit tcp host 61.172.240.229 host x.y.16.134 eq 22

Router(config-ext-nacl)#deny ip any any #默认禁止所有

Router(config-ext-nacl)#exit

Router(config)#int g0/1

Router(config-if)#ip access-group SDACL out #把ACL绑定到g0/1的出方向

Router(config-if)#exit

Router(config)#exit

在使用Cisco路由器设置ACL的时候，请注意端口的方向，不要把in和out搞反了。