访问列表通过在路由器的接口上控制是否转发或阻止路由包来过滤网络流量。路由器检查每个路由包并基于访问列表中指定的规则来决定是否转发或丢弃这个包。访问列表规则可以是流量的源地址、流量的目的地址、上层协议或其它信息。注意,由于它无须认证,所以一些水平高超的用户有时可以成功地绕过或愚弄基本访问列表。
Cisco IOS软件提供了一组扩展的安全特性,它允许针对特定的需求配置一个或简单、或精密的防火墙。除了标准的Cisco IOS特性集中的可用安全特性外,还存在一个Cisco IOS防火墙特性集,它能够为路由器提供附加的防火墙功能。Cisco IOS防火墙特性集Cisco IOS防火墙特性集结合了现有的Cisco IOS防火墙技术和新的基于文本访问控制(CBAC)的特性。在路由器上配置了Cisco IOS防火墙特性集后,路由器便转变成了一个健壮而有效的防火墙。设计Cisco IOS防火墙特性集是用来防止外部非授权者获得内部网络的访问,并阻止来自外部的网络攻击,同时又允许授权者(机要人员)访问特定的网络资源。
使用Cisco IOS防火墙特性集可以把路由器配置成内部网络中组与组之间的防火墙。保护内部网络。要创建一个适合于公司安全策略的专用防火墙,必须采用合适的Cisco IOS防火墙特性,并对其进行配置。至少应该配置基本的流量过滤方法来提供基础防火墙。
与其它所有网络设备一样,也应该给防火墙配置上口令,同样也应该考虑配置用户的认证、授权和记帐功能,除此之外,还应该考虑下述建议:在设置访问防火墙特权的口令时,建议使用enable secret命令,而不是使用enable password命令,原因在于后者没有提供前者那样强大的加密算法。在控制端口设置上口令。在AAA环境中,在控制台上使用与其它地方一样的认证,而在非AAA环境中,至少要配置login和password的口令设置命令。在使用任何方式把控制端口连接到网络,包括在端口连接调制解调器(Modem)之前,应该考虑一下访问控制的问题,原因在于从控制端口的入侵,可能会获得整个防火墙的控制权,甚至包括已配置的访问控制。在所有虚拟终端的端口应用上访问列表和口令保护,使用访问列表来限制通过Telnet进入路由器的用户。如果没有必要的话,不要使用任何本地服务(例如SNMP和NTP)。在缺省情况下,防火墙上的CDP(即Cisco Discovery Protocol)和NTP(即Network Time Protocol)是打开的,如果不需要它们,则应该关闭这些服务。如果必须运行NTP,则只应在必要的接口上配置NTP,并且配置为只侦听某些对等端口。任何启用的服务都可能存在潜在的安全威胁,敌意分子可能会发现一种滥用这些服务的方法来访问防火墙或网络。对启用的本地服务,也要防止被滥用。配置这些服务,使其只能在指定的对等端口上进行通信,并通过配置访问列表在某些指定端口上拒绝这些服务包。 防止欺诈:保护防火墙两边的网络,防止被第三方欺诈。应该在所有端口配置访问列表,只允许指定的源地址流量通过,而拒绝其它地址的流量。也应该禁止源路由。
远程拨号接入的安全保护
采用安全的一次性密码方法,严格实现授权、记帐功能。