Cisco防火墙的安全和配置

所谓防火墙就是一个或一组网络设备(计算机或路由器等)，可用来在两个或多个网络间加强访问控制. 它的实现有好多种形式，有些实现还是很复杂的，但基本原理原理却很简单. 你可以把它想象成一对开关， 一个开关用来阻止传输, 另一个开关用来允许传输.
  
　设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击. 通常，被保护的网络属于我们自己，或者是我们负责管理的，而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全. 对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源.
  
不同的cisco防火墙侧重点不同. 从某种意义上来说，cisco防火墙实际上代表了一个网络的访问原则. 如果某个网络决定设定cisco防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy)，即确定那些类型的信息允许通过cisco防火墙，那些类型的信息不允许通过cisco防火墙. cisco防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外.
  
　　在设计cisco防火墙时，除了安全策略以外，还要确定cisco防火墙类型和拓扑结构. 一般来说，cisco防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间. cisco防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务， cisco防火墙也可以在网络层和传输层运行，在这种情况下，cisco防火墙检查进入和离去的报文分组的IP和TCP头部，根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过.
  
cisco防火墙是用来实现一个组织机构的网络安全措施的主要设备. 在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施. 本文主要介绍下列cisco防火墙的基本构件和技术：筛选路由器(screening router)、分组过滤(packet filtering)技术、双宿主机(dual-homed host)、代理服务 (Proxy Service)、应用层网关(application level gateway)和堡垒主机(bastion host). 象筛选路由器这样的能够实现安全措施的路由器常常被称为安全路由器或安全网关，而实现安全管理的应用层网关又称为安全应用层网关.    

    网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。 网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。而提供安全网关服务的类型有：地址转换、包过滤、应用代理、访问控制和D oS防御。本文主要介绍地址转换和访问控制两种安全网关服务，利用cisco路由器对ISDN拨号上网做安全规则设置。试验环境是一台有fir ewall版本IOS的cisco2621路由器、一台cisco交换机组成的局域网利用ISDN拨号上网。

　　一、地址转换

　　我们知道，Internet 技术是基于IP 协议 的技术，所有的信息通信都是通过IP包来实现的，每一个设备需要进行通信都必须有一个唯一的IP地址。因此，当一个网络需要接入Inte rnet的时候，需要在Internet上进行通信的设备就必须有一个在全球Internet网络上唯一的地址。当一个网络需要接入Internet上使用时，网络中的每一台设备都有一个I nternet地址，这在实行各种Internet应用上当然是最理想不过的。但是，这样也导致每一个设备都暴露在网络上，任何人都可以对这些设备攻击，同时由于I nternet目前采用的IPV4协议在网络发展到现在，所剩下的可用的IP地址已经不多了，网络中的每一台设备都需要一个IP地址，这几乎是不可能的事情。
　　
　　采用端口地址转换，管理员只需要设定一个可以用作端口地址转换的公有Internet 地址，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP可以映射六万多台内部网主机。从而隐藏内部网路地址信息，使外界无法直接访问内部网络设备。