《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —2.3 利用Cisco防火墙设置访问控制

华章计算机 发表于 2019/11/14 11:28:48 2019/11/14
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第2章,第2.3节,作者是胥峰。

2.3 利用Cisco防火墙设置访问控制

在网络边界(Network Perimeter)上,笔者建议使用专用的商业硬件防火墙设备进行防护,这主要是基于其性能和可配置管理性的优势。另外,使用异构的网络防火墙设备,还可以为网络内系统和服务增加一层安全防护。本节以Cisco防火墙为例,介绍ACL(Access Control List,访问控制列表)的使用方法。

ACL使用包过滤技术,在路由器上读取IP层及第4层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

Cisco IOS的访问控制列表ACL分为两种,根据不同场合应用不同种类的ACL:

1)标准访问控制列表。它通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。

2)扩展访问控制列表。它可以依据第4层的信息进行过滤,相对于标准访问控制列表,可以进行更细粒度的控制。

我们使用扩展访问控制列表来保护Cisco路由器后面的主机。使用的命令如下:

Router# configure terminal

Router(config)#ip access-list extended SDACL #定义扩展ACL,名称是SDACL

Router(config-ext-nacl)#permit icmp any any

Router(config-ext-nacl)#permit tcp any host x.y.16.134 eq 80

Router(config-ext-nacl)#permit udp host 202.96.209.5 eq 53 host x.y.16.134

Router(config-ext-nacl)#permit tcp host 202.96.209.5 eq 53 host x.y.16.134

Router(config-ext-nacl)#permit udp host 114.114.114.114 eq 53 host x.y.16.134

Router(config-ext-nacl)#permit tcp host 114.114.114.114 eq 53 host x.y.16.134

Router(config-ext-nacl)#permit tcp host 61.172.240.227 host x.y.16.134 eq 22

Router(config-ext-nacl)#permit tcp host 61.172.240.228 host x.y.16.134 eq 22

Router(config-ext-nacl)#permit tcp host 61.172.240.229 host x.y.16.134 eq 22

Router(config-ext-nacl)#deny ip any any #默认禁止所有

Router(config-ext-nacl)#exit

Router(config)#int g0/1

Router(config-if)#ip access-group SDACL out #把ACL绑定到g0/1的出方向

Router(config-if)#exit

Router(config)#exit

在使用Cisco路由器设置ACL的时候,请注意端口的方向,不要把in和out搞反了。


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。