思科路由器上配置Cisco IOS防火墙

▲配置过程

1. Pick an interface: internal or external.( 选择接口 : 内部 or 外部 )

2. Configure IP ACLs at the interface.( 配置 ACL 规则 )

3. Define inspection rules.( 定义检查规则 )

4. Apply inspection rules and ACLs to interfaces.( 应用规则到接口 )

5. Test an d verify.

 

※ Cisco IOS Firewall Configuration 常用配置命令

◎ip inspect audit-trail  ( 将警告信息输出到终端 )

       no ip inspect alert-off  ( 开启实时警告 )

       (conf ig)#logging on

(conf ig)#logging host 192.168.1.11  ( 将路由器上显示出来的警告（ alert ）传输到一台主机上，在主机上运行 Kiwi Syslog 软件 )

◎   ip inspect name inspection-name protocol [alert {on|off}] [audit-trail {on|off}] [timeout seconds]      ( 定义检查规则 )

       ◎ (config-if)ip inspect inspection-name {in | out}    ( 应用规则到接口 )

◎ show ip inspect session [detail]     ( 验证命令 )

show ip inspect all

show ip inspect ?

debug ip inspect ?

 

实例：

1、  分配好 IP 后 ( 记得配置默认路由 ) ，测试 Inside 到 Outside 之间能否通信 ( 用 Telnet 测试 Inside à Outside)

2、   FW(config)#access-list 100 deny ip any any    // 定义访问规则 , 阻止所有 IP 协议通过

FW(config)#interface fa1/0

FW(config-if)#ip access-group 100 in        // 应用规则到接口 ,( 再用 Telnet 测试 , 已经不能通信了 )

3、   FW(config)#ip inspect name Fwrule tcp

FW(config)#interface fa2/0

FW(config-if)#ip inspect Fwrule in       // 对入向做检测   ( 再 Telnet , 发现这时候可以了 .  )

使用 Inspect ， 当建立起会话时，相当于临时创建一条允许的规则

 

使用 SDM 来管理路由器能更高效地对路由器进行配置。

在路由上需配置：

       (config)#ip http server

       (config)#username cisco privilege secret cisco

       (config)#lien vty 0 4

       (config-line)#trasport input all