本文主要給大家介紹了對于CISCO路由器IOS的防火墻安全配置，并且給大家講述了NAT轉化功能的幾點說明，相信大家看過此文能對CISCO路由器IOS有一定認識。

網絡安全技術主要有，認證授權、數(shù)據加密、訪問控制、安全審計等。而提供安全網關服務的類型有：地址轉換、包過濾、應用代理、訪問控制和D oS防御。本文主要介紹地址轉換和訪問控制兩種安全網關服務，利用cisco路由器對ISDN撥號上網做安全規(guī)則設置。試驗環(huán)境是一臺有fir ewall版本IOS的cisco2621路由器、一臺交換機組成的局域網利用ISDN撥號上網。

我們知道，Internet 技術是基于IP 協(xié)議 的技術，所有的信息通信都是通過IP包來實現(xiàn)的，每一個設備需要進行通信都必須有一個唯一的IP地址。因此，當一個網絡需要接入Inte rnet的時候，需要在Internet上進行通信的設備就必須有一個在全球Internet網絡上唯一的地址。當一個網絡需要接入Internet上使用時，網絡中的每一臺設備都有一個I nternet地址，這在實行各種Internet應用上當然是最理想不過的。但是，這樣也導致每一個設備都暴露在網絡上，任何人都可以對這些設備攻擊，同時由于I nternet目前采用的IPV4協(xié)議在網絡發(fā)展到現(xiàn)在，所剩下的可用的IP地址已經不多了，網絡中的每一臺設備都需要一個IP地址，這幾乎是不可能的事情。

采用端口地址轉換，管理員只需要設定一個可以用作端口地址轉換的公有Internet 地址，用戶的訪問將會映射到IP池中IP的一個端口上去，這使每個合法Internet IP可以映射六萬多臺內部網主機。從而隱藏內部網路地址信息，使外界無法直接訪問內部網絡設備。

Cisco路由器提供了幾種NAT轉換的功能：

1、內部地址與出口地址的一一對應
缺點：在出口地址資源稀少的情況下只能使較少主機連到internet 。

2、內部地址分享出口地址
路由器利用出口地址和端口號以及外部主機地址和端口號作為接口。其中內部地址的端口號為隨機產生的大于1024的號碼，而外部主機端口號為公認的標準端口號。這樣可以用同一個出口地址來分配不同的端口號連接任意數(shù)量的內部主機到外網。

具體配置：由于實驗用的是ISDN撥號上網，在internet上只能隨機獲得出口地址，所以NAT轉換的地址池設置為BRI口上撥號所獲得的地址。
interface FastEthernet0/0
ip address 172.16.18.200 255.255.255.0
ip nat inside the interface connected to inside world
!
interface BRI0/0
ip address negotiated
ip nat outside the interface connected to outside network
encapsulation ppp
no ip split-horizon
dialer string 163
dialer load-threshold 150 inbound
dialer-group 1
isdn switch-type basic-net3
ip nat inside source list 1 interface BRI0/0 overload
access-list 1 permit 172.16.18.0 0.0.0.255

3、內部地址和外部地址出現(xiàn)交疊
當內部和外部用同一個網絡段地址時，在地址沒有重復的情況下，可以同時對內外接口進行NAT轉換使之可以正常通訊。

4、用一個出口地址映射內部多臺主機
應用于internet上的大型網站有多臺主機對應同一個系統(tǒng)的同一個出口地址。
可以用sh ip nat translation 和debug ip nat 命令來檢查NAT的狀態(tài)。