現在，網絡安全已成為每個聯網企業的首要關注問題，而且防火墻也已作為一種主要的安全機制被人們采用。雖然一些企業已經開始致力于“防火墻應用”，（我并不是說這是一種最好的解決辦法），但這些應用對于中小型企業來說相當昂貴。比如，一臺Cisco PIX Firewall要花費幾千美元。

不過，現在出現了一種價廉物美的防火墻解決方案，可能這種解決方案一直被大家所忽視。目前 ，許多公司都使用標準的路由器聯入互聯網，如果您使用的是Cisco路由器，那么您應該知道Cisco IOS集成了一系列構建防火墻和入侵檢測系統的功能。利用這些功能，您就可以不再需要單獨的防火墻設備（firewall box），使用已有的Cisco路由器您完全可以構建自己的防火墻。我喜歡把這種方案稱之為“窮人的防火墻”。

相關安全資源
美國國家安全局（National Security Agency）站點下的executive summary for Cisco router security有一些關于如何利用Cisco路由器構建防火墻的非常好的建議。這是我所見到的介紹這方面知識的最好站點。
獲取合適的的IOS
首先，您應該獲取適合自己Cisco路由器的IOS。如果您只對最基本的防火墻感興趣（對IP地址和端口進行過濾），那么您可以通過Cisco路由器中已有的擴展訪問控制列表來實現這種過濾。但如果您想要防火墻更強大的功能，那么您還需要加入防火墻/入侵檢測系統(FW/IDS)。

訪問 Cisco IOS Upgrade Planner ，您可以獲取帶有FW/IDS的IOS，不過，只有Cisco站點的注冊用戶才能訪問此鏈接。利用IOS Upgrade Planner，您可以選擇合適的路由器模塊，您需要的IOS版本（最好是最新的版本），以及您尋找的軟件功能。請一定確保您選擇的IOS帶有FW/IDS。（為使用FW/IDS，您可能需要支付少量注冊許可費用）。接著，您可以下載選好的IOS，升級路由器到新版本，并重啟路由器。

配置NAT

下一步，您需要正確配置防火墻和IDS。就象我前文提到的那樣，可以通過擴展IP訪問控制列表配置最基本的防火墻。同樣，這也是配置更高級防火墻的基準點。

因為許多公司使用了網絡地址轉換（NAT）和企業內部私有TCP/IP地址，所以我們首先應該配置這部分的訪問控制列表。通常，NAT在如下環境中實現：路由器通過串口與英特網聯接，通過以太口聯結局域網。這種情況下，NAT通過在企業內部網中使用私有TCP/IP地址，加強了內部網絡的秘密性和安全性。而且，企業更換Internet服務提供商（ISP）后，也不必改動內部網絡的地址。

可以按照如下的步驟配置Cisco路由器：

interface Serial1/0 
description Internet connection – external 
ip address 1.1.1.254 255.255.255.0 !real Internet network 
no ip proxy-arp 
ip nat outside 
interface Ethernet1/1 
description Local Network Ethernet Connection - internal 
ip address 10.253.2.2 255.255.0.0 !local private network 
no ip proxy-arp 
ip nat inside 
ip nat inside source static 10.253.1.1 1.1.1.1 ! Web server 
ip nat inside source static 10.253.1.2 1.1.1.2 ! Email server 
ip route 0.0.0.0 0.0.0.0 1.1.1.0 

注意，本地Web服務器的IP地址現在是10.253.1.1，本地郵件服務器的IP地址是10.253.1.2。在實現防火墻之前，這兩個擁有公共IP地址的系統，1.1.1.1 （Web服務器）和 1.1.1.2 （郵件服務器），在英特網上沒有受到保護。而現在，這兩臺服務器擁有了內部IP地址，它們的外部公共IP地址在防火墻處被轉換成為內部IP地址。

同樣，其他的內部和外部地址都相應被轉換，目的地址不是本地10.x.x.x網絡的包會通過串口發送出去。

配置訪問列表

現在可以針對某類網絡的安全來配置訪問列表了。如果您的安全策略是在Web服務器上只允許HTTP協議，在郵件服務器上只允許SMTP協議，那么您應該配置如下的控制列表：

access-list 100 remark Begin -- IP .1 10.253.1.1 Web Server 
access-list 100 permit tcp any eq www host 1.1.1.1 
access-list 100 remark End --------------------------------- 
! 
access-list 100 remark Begin -- IP .2 10.253.1.2 Email Server 
access-list 100 permit tcp any eq smtp host 1.1.1.2 gt 1023 
access-list 100 permit tcp any host 1.1.1.2 eq smtp 
access-list 100 remark End ---------------------------------- 

然后，使用下面的命令將控制列表應用到串口（英特網接口）上：

interface Serial1/0 
ip access-group 100 in

對網絡安全來說，將防火墻阻斷的各類數據記錄到日志中是相當重要的一點。盡管每個訪問控制列表都清楚地列出了應該拒絕的數據包，但防火墻卻不能將這些報文記錄到日志中。我建議在網絡中安裝一臺日志服務器，讓路由器登錄到該日志服務器上，記錄所有被防火墻拒絕的數據包。在本例中，網絡中的Web服務器也是日志服務器，您可以通過下面的命令對路由器進行相應配置：

access-list 100 deny ip any any log 
logging 10.253.1.1

舉一個簡單的例子，我們看看如何利用NBAR阻止紅色代碼攻擊。首先，定義一個此類攻擊的class-map，指明您想阻斷對哪種應用、那個文件的訪問：

class-map match-any http-hacks 
match protocol http url "*cmd.exe*" 
match protocol http url "*root.exe*" 

接著，利用一個策略映射（policy map）標記具有這些特征的數據包：

policy-map mark-inbound-http-hacks

class http-hacks

set ip dscp 1

然后，在以太口（英特網接口）上應用該策略映射：

interface Serial1/0

service-policy input mark-inbound-http-hacks

NBAR可以有效阻止各種散布在英特網中的蠕蟲入侵，這些蠕蟲有的是通過電子郵件傳播，有的是從Web網頁上下載下來的。NBAR僅是Cisco FW/IDS的一個特色；其他的功能我們可參考Cisco配置指南。

應用IDS特色和其他選項

入侵檢測系統（IDS）是網絡安全的另一重要領域。Cisco IDS能識別“攻擊特征”，我稱之為“攻擊模式”。以垃圾郵件為例，Cisco IDS能識別這些垃圾郵件的發源地并采取指定的處理措施。（或丟棄保文，或通知管理員，等等。）

以后我可能會寫一篇如何配置Cisco IDS的文章。由于IDS只是防火墻的一個可選部分，我還是有機會再介紹吧。不過，我建議您在配置Cisco IDS之前，仔細閱讀一下配置Cisco IOS入侵檢測系統。

Cisco FW/IDS的另外兩個重要特色是基于上下文的訪問控制(CBAC)和TCP報文截取（TCP Intercept）。CBAC能識別數據報文的“上下文”環境，能根據上下文創建動態訪問控制列表。

以FTP通信為例，如果您只允許向外的FTP訪問，那么您應該使用CBAC，而不是在訪問控制列表中完全開放相應端口。一般情況下，防火墻應該拒絕FTP數據回應報文訪問內部網，但CBAC能識別該FTP連結是從內部網絡中發起的，并自動打開相應端口，以便讓數據回應報文返回給內部網用戶。當這種通信沒有發生時，您的網絡就沒有“突破口”（開放的端口），黑客就不能進行攻擊，因此，這將使您的網絡更安全。

TCP報文截取能防止您的網絡遭受拒絕服務攻擊（DoS）。在數據包到達目的主機（網絡中的服務器）之前，TCP報文截取能檢驗某個TCP包的源地址是否真實存在。如果源地址不存在，那么路由器能在該TCP包到達服務器之前丟棄它，并消耗其有效處理時間，這可以停止DoS攻擊的攻擊過程。

總結

我們可以看到，Cisco IOS FW/IDS提供了強大的功能。它可以在一臺設備上實現路由器和防火墻，對我的公司來說這是一種省錢的解決方案，對您的公司來說這可能也是一種省錢的方案。盡管本文只是介紹了構建Cisco IOS 防火墻的一些膚淺知識，但我想這對于您來說有可能是一個好的開始。