Networking

此 Cisco 路由器防火牆配置是什麼意思?

  • September 16, 2015

我有一個 Cisco 881w,我試圖在上面設置一個非常基本的防火牆,但我不相信我已經正確地做到了這一點。下面是與防火牆和訪問列表有關的配置(其中一些是我設置的,其中一些是出廠預設設置)。我希望有更多經驗的人可以準確地告訴我我設置了什麼,所以我可以以此為基礎來改進我的基本第一次嘗試並正確設置它(我遵循了一個指南來做到這一點並且不要’ t真的知道我在做什麼)。

!
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip inspect name firewall-out tcp
ip inspect name firewall-out udp
ip inspect name firewall-out ica
ip inspect name firewall-out icabrowser
ip inspect name firewall-out ftp
ip inspect name firewall-out smtp
ip cef
no ipv6 cef
!
!
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 100 deny   tcp any any
access-list 100 deny   udp any any
access-list 100 deny   ip any any
access-list 100 deny   icmp any any
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 deny   ip 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip any any
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 permit ip 172.16.0.0 0.0.0.255 any
access-list 199 permit ip any any
!

‘防火牆外’的東西是我,訪問列表的一些部分也是如此。我知道我的目標是什麼(保護我們免受來自網路外部的任何東西的基本防火牆),但我想知道我在這裡設置了什麼?此外,有關如何測試我認為我設置的防火牆允許進出的任何資訊將不勝感激。

訪問列表 1

訪問列表 1 許可 10.10.10.0 0.0.0.7

這允許網路範圍 10.10.10.1-6


訪問列表 23

訪問列表 23 允許 10.10.10.0 0.0.0.7

這與訪問列表 1 相同


訪問列表 100

訪問列表 100 拒絕 ip 主機 255.255.255.255 任何

訪問列表 100 拒絕 ip 127.0.0.0 0.255.255.255 任何

訪問列表 100 許可 ip 任何 任何

在允許任何 IP 通過之前,這會明確阻止任何偽裝成 255.255.255.255 的全域網路遮罩或任何聲稱來自本地主機範圍的地址的訪問。

訪問列表 100 拒絕 tcp 任何 任何

訪問列表 100 拒絕 udp 任何 任何

訪問列表 100 拒絕 ip 任何 任何

訪問列表 100 拒絕 icmp 任何 任何

在我看來,這似乎毫無意義,因為您已經允許任何 IP 通過。如果您想阻止其中任何一個,他們需要在任何 IP 許可之前進行。


訪問列表 101

訪問列表 101 允許 udp 任何 eq bootps 任何 eq bootpc

通過 BOOTP 協議的 DHCP 的所有 UPD

訪問列表 101 拒絕 ip 10.10.10.0 0.0.0.255 任何

阻止 10.10.10.0-255 範圍內的任何人

訪問列表 101 允許 icmp 任何任何 echo-r​​eply

訪問列表 101 允許 icmp 任何任何時間超過

訪問列表 101 允許 icmp 任何任何無法訪問

允許任何 echo-r​​eply、超時或無法訪問的數據包

訪問列表 101 拒絕 ip 10.0.0.0 0.255.255.255 任何

訪問列表 101 拒絕 ip 172.16.0.0 0.15.255.255 任何

訪問列表 101 拒絕 ip 192.168.0.0 0.0.255.255 任何

訪問列表 101 拒絕 ip 127.0.0.0 0.255.255.255 任何

訪問列表 101 拒絕 ip 主機 255.255.255.255 任何

訪問列表 101 拒絕 IP 任何任何

儘管最後一行阻止了所有人,但大多數拒絕 IP 都是毫無意義的。

訪問列表 101 允許 ip 192.168.0.0 0.0.0.255 任何

鑑於之前的否認,這似乎也毫無意義。您需要將其移至拒絕行上方才能生效。


訪問列表 102

訪問列表 102 允許 ip 172.16.0.0 0.0.0.255 任何

允許 172.16.0.0-255


訪問列表 199

訪問列表 199 允許 ip 任何任何

所有任何IP

編輯:如此處所述:http ://www.cs.odu.edu/~csi/cisco/router_configuration/access_list.html

**注意:**訪問列表的末尾包含一個隱含的拒絕聲明,如果它在到達末尾之前沒有找到匹配項。此外,對於標準訪問列表,如果您從關聯的 IP 主機地址訪問列表規範中省略遮罩,則假定遮罩為 0.0.0.0。

引用自:https://serverfault.com/questions/722695