网络安全 频道

思科IOS防火墙配置案例

    【IT168 专稿】下面是我做过1个案例,路由器是老cisco 2611,内存64M,flash=16M;我灌入了c2600-advsecurityk9-mz.123-14.T2.bin,虽然该版本是新2600xm的版本,在老2611下也运行正常。该版本具有如下特性:

    1:IOS防火墙
    2:可定义应用程序防火墙检查规则,即过滤经80端口掩护的即时消息和p2p应用
    3:支持NBAR
    4: 支持编号式ACL,即可删除和添加任意一个ACE语句,而不用编辑整个ACL。
    5:可按IP地址限制NAT记录数(连接数)
    6:支持比较完整的QoS,例如,通信管制等

    配置思路如下:

    1. 对大多数内网主机产生的且NBAR能识别的p2p执行丢弃
    2. 对特定主机产生的p2p允许通过
    3. 对特性允许p2p的主机限制连接数
    4. 从内到外,目的端口大于2000的报文限速(因为有可能包含未知蠕虫或未知p2p),上行速率限制
    5. 从外到内,对其源端口大于2000的报文限速,下行速率限制。
    6. 配置IOS防火墙,防止外部攻击
    7. 定义HTTP应用程序防火墙,防止非法利用端口80。

0
相关文章