配置CBAC，提升Cisco路由器安全3

配置CBAC，提升Cisco路由器安全3

　　图2

　　 根据这2个拓扑结构样例，可以决定网络是否应在一个内部接口或是在一个外部接口上配置CBAC。如果防火墙只有2条连接，一条是到内部网络，另外一条是到外部网络，那么只能使用入方向的访问控制列表就可以了，因为数据包在有机会影响路由器之前已经被过滤了。

　　3.防火墙配置

　　当用户用Cisco IOS配置任何IP防火墙时可参照下面给出的一些基本的配置指南。

　　(1).配置一个包含允许来自不受保护网络的某些ICMP数据流条目的访问控制列表。尽管一个拒绝所以不属于受CBAC所审查的连接一部分的IP数据流的访问控制列表看起来比较安全，但它对路由器的正确运行不太现实。路由器期望能够看到来自网络中其他路由器的ICMP数据流。ICMP数据流不能被CBAC所审查，所以应在防护控制列表中设置特定的条目以允许返回的ICMP数据流。如在受保护网络中的一个用户要用“Ping”命令来获取位于不受保护网络中的一台主机的状态，如果在访问控制列表中没有允许“echoreply”消息的条目，则在受保护网络中的这位用户就得不到其“Ping”命令的相应。下面所示的配置中含有允许关键ICMP消息的访问控制列表条目：

　　Router(config)#access -list 101 permit icmp any any echo-reply

　　Router(config)#access -list 101 permit icmp any any time-execeeded

　　Router(config)#access -list 101 permit icmp any any packet-too-big

　　Router(config)#access -list 101 permit icmp any any traceroute