【IT168 专稿】下面是我做过1个案例，路由器是老cisco 2611，内存64M，flash=16M；我灌入了c2600-advsecurityk9-mz.123-14.T2.bin，虽然该版本是新2600xm的版本，在老2611下也运行正常。该版本具有如下特性：

    1：IOS防火墙
    2：可定义应用程序防火墙检查规则，即过滤经80端口掩护的即时消息和p2p应用
    3：支持NBAR
    4: 支持编号式ACL，即可删除和添加任意一个ACE语句，而不用编辑整个ACL。
    5：可按IP地址限制NAT记录数（连接数）
    6：支持比较完整的QoS，例如，通信管制等

    配置思路如下：

    1. 对大多数内网主机产生的且NBAR能识别的p2p执行丢弃
    2. 对特定主机产生的p2p允许通过
    3. 对特性允许p2p的主机限制连接数
    4. 从内到外，目的端口大于2000的报文限速（因为有可能包含未知蠕虫或未知p2p），上行速率限制
    5. 从外到内，对其源端口大于2000的报文限速，下行速率限制。
    6. 配置IOS防火墙，防止外部攻击
    7. 定义HTTP应用程序防火墙,防止非法利用端口80。