我國的路由器技術(shù)已經(jīng)非常成熟穩(wěn)定，同時(shí)也能夠保證用戶的網(wǎng)絡(luò)安全。這里我們主要介紹配置NAT，包括介紹應(yīng)用IDS特色和其他選項(xiàng)等方面?，F(xiàn)在，網(wǎng)絡(luò)安全已成為每個(gè)聯(lián)網(wǎng)企業(yè)的首要關(guān)注問題，而且防火墻也已作為一種主要的安全機(jī)制被人們采用。雖然一些企業(yè)已經(jīng)開始致力于“防火墻應(yīng)用”，（我并不是說這是一種最好的解決辦法），但這些應(yīng)用對(duì)于中小型企業(yè)來說相當(dāng)昂貴。比如，一臺(tái)Cisco PIX Firewall要花費(fèi)幾千美元。不過，現(xiàn)在出現(xiàn)了一種價(jià)廉物美的防火墻解決方案，可能這種解決方案一直被大家所忽視。目前，許多公司都使用標(biāo)準(zhǔn)的路由器技術(shù)聯(lián)入互聯(lián)網(wǎng)，如果您使用的是Cisco路由器，那么您應(yīng)該知道Cisco IOS集成了一系列構(gòu)建防火墻和入侵檢測系統(tǒng)的功能。利用這些功能，您就可以不再需要單獨(dú)的防火墻設(shè)備（firewall box），使用已有的路由器技術(shù)您完全可以構(gòu)建自己的防火墻。我喜歡把這種方案稱之為“窮人的防火墻”。

配置NAT

下一步，您需要正確配置防火墻和IDS。就象我前文提到的那樣，可以通過擴(kuò)展IP訪問控制列表配置最基本的防火墻。同樣，這也是配置更高級(jí)防火墻的基準(zhǔn)點(diǎn)。因?yàn)樵S多公司使用了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和企業(yè)內(nèi)部私有TCP/IP地址，所以我們首先應(yīng)該配置這部分的訪問控制列表。通常，NAT在如下環(huán)境中實(shí)現(xiàn)：路由器技術(shù)通過串口與英特網(wǎng)聯(lián)接，通過以太口聯(lián)結(jié)局域網(wǎng)。這種情況下，NAT通過在企業(yè)內(nèi)部網(wǎng)中使用私有TCP/IP地址，加強(qiáng)了內(nèi)部網(wǎng)絡(luò)的秘密性和安全性。而且，企業(yè)更換Internet服務(wù)提供商（ISP）后，也不必改動(dòng)內(nèi)部網(wǎng)絡(luò)的地址。

注意，本地Web服務(wù)器的IP地址現(xiàn)在是10.253.1.1，本地郵件服務(wù)器的IP地址是10.253.1.2。在實(shí)現(xiàn)防火墻之前，這兩個(gè)擁有公共IP地址的系統(tǒng)，1.1.1.1 （Web服務(wù)器）和 1.1.1.2 （郵件服務(wù)器），在英特網(wǎng)上沒有受到保護(hù)。而現(xiàn)在，這兩臺(tái)服務(wù)器擁有了內(nèi)部IP地址，它們的外部公共IP地址在防火墻處被轉(zhuǎn)換成為內(nèi)部IP地址。同樣，其他的內(nèi)部和外部地址都相應(yīng)被轉(zhuǎn)換，目的地址不是本地10.x.x.x網(wǎng)絡(luò)的包會(huì)通過串口發(fā)送出去。對(duì)網(wǎng)絡(luò)安全來說，將防火墻阻斷的各類數(shù)據(jù)記錄到日志中是相當(dāng)重要的一點(diǎn)。盡管每個(gè)訪問控制列表都清楚地列出了應(yīng)該拒絕的數(shù)據(jù)包，但防火墻卻不能將這些報(bào)文記錄到日志中。我建議在網(wǎng)絡(luò)中安裝一臺(tái)日志服務(wù)器，讓路由器技術(shù)登錄到該日志服務(wù)器上，記錄所有被防火墻拒絕的數(shù)據(jù)包。在本例中，網(wǎng)絡(luò)中的Web服務(wù)器也是日志服務(wù)器。

應(yīng)用IDS特色和其他選項(xiàng)

入侵檢測系統(tǒng)（IDS）是網(wǎng)絡(luò)安全的另一重要領(lǐng)域。Cisco IDS能識(shí)別“攻擊特征”，我稱之為“攻擊模式”。以垃圾郵件為例，Cisco IDS能識(shí)別這些垃圾郵件的發(fā)源地并采取指定的處理措施。（或丟棄保文，或通知管理員，等等。）以后我可能會(huì)寫一篇如何配置Cisco IDS的文章。由于IDS只是防火墻的一個(gè)可選部分，我還是有機(jī)會(huì)再介紹吧。不過，我建議您在配置Cisco IDS之前，仔細(xì)閱讀一下配置Cisco IOS入侵檢測系統(tǒng)。Cisco FW/IDS的另外兩個(gè)重要特色是基于上下文的訪問控制(CBAC)和TCP報(bào)文截?。═CP Intercept）。CBAC能識(shí)別數(shù)據(jù)報(bào)文的“上下文”環(huán)境，能根據(jù)上下文創(chuàng)建動(dòng)態(tài)訪問控制列表。

以FTP通信為例，如果您只允許向外的FTP訪問，那么您應(yīng)該使用CBAC，而不是在訪問控制列表中完全開放相應(yīng)端口。一般情況下，防火墻應(yīng)該拒絕FTP數(shù)據(jù)回應(yīng)報(bào)文訪問內(nèi)部網(wǎng)，但CBAC能識(shí)別該FTP連結(jié)是從內(nèi)部網(wǎng)絡(luò)中發(fā)起的，并自動(dòng)打開相應(yīng)端口，以便讓數(shù)據(jù)回應(yīng)報(bào)文返回給內(nèi)部網(wǎng)用戶。當(dāng)這種通信沒有發(fā)生時(shí)，您的網(wǎng)絡(luò)就沒有“突破口”（開放的端口），黑客就不能進(jìn)行攻擊，因此，這將使您的網(wǎng)絡(luò)更安全。TCP報(bào)文截取能防止您的網(wǎng)絡(luò)遭受拒絕服務(wù)攻擊（DoS）。在數(shù)據(jù)包到達(dá)目的主機(jī)（網(wǎng)絡(luò)中的服務(wù)器）之前，TCP報(bào)文截取能檢驗(yàn)?zāi)硞€(gè)TCP包的源地址是否真實(shí)存在。如果源地址不存在，那么路由器技術(shù)能在該TCP包到達(dá)服務(wù)器之前丟棄它，并消耗其有效處理時(shí)間，這可以停止DoS攻擊的攻擊過程。

總結(jié)

我們可以看到，Cisco IOS FW/IDS提供了強(qiáng)大的功能。它可以在一臺(tái)設(shè)備上實(shí)現(xiàn)路由器技術(shù)和防火墻，對(duì)我的公司來說這是一種省錢的解決方案，對(duì)您的公司來說這可能也是一種省錢的方案。盡管本文只是介紹了構(gòu)建Cisco IOS 防火墻的一些膚淺知識(shí)，但我想這對(duì)于您來說有可能是一個(gè)好的開始。下面是構(gòu)建Cisco IOS 防火墻的部分相關(guān)網(wǎng)址。