此 Cisco 路由器防火牆配置是什麼意思?
我有一個 Cisco 881w,我試圖在上面設置一個非常基本的防火牆,但我不相信我已經正確地做到了這一點。下面是與防火牆和訪問列表有關的配置(其中一些是我設置的,其中一些是出廠預設設置)。我希望有更多經驗的人可以準確地告訴我我設置了什麼,所以我可以以此為基礎來改進我的基本第一次嘗試並正確設置它(我遵循了一個指南來做到這一點並且不要’ t真的知道我在做什麼)。
! ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 icmp ip inspect name DEFAULT100 netshow ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 esmtp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 vdolive ip inspect name firewall-out tcp ip inspect name firewall-out udp ip inspect name firewall-out ica ip inspect name firewall-out icabrowser ip inspect name firewall-out ftp ip inspect name firewall-out smtp ip cef no ipv6 cef ! ! access-list 1 permit 10.10.10.0 0.0.0.7 access-list 23 permit 10.10.10.0 0.0.0.7 access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 100 deny tcp any any access-list 100 deny udp any any access-list 100 deny ip any any access-list 100 deny icmp any any access-list 101 permit udp any eq bootps any eq bootpc access-list 101 deny ip 10.10.10.0 0.0.0.255 any access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip any any access-list 101 permit ip 192.168.0.0 0.0.0.255 any access-list 102 permit ip 172.16.0.0 0.0.0.255 any access-list 199 permit ip any any !
‘防火牆外’的東西是我,訪問列表的一些部分也是如此。我知道我的目標是什麼(保護我們免受來自網路外部的任何東西的基本防火牆),但我想知道我在這裡設置了什麼?此外,有關如何測試我認為我設置的防火牆允許進出的任何資訊將不勝感激。
訪問列表 1
訪問列表 1 許可 10.10.10.0 0.0.0.7
這允許網路範圍 10.10.10.1-6
訪問列表 23
訪問列表 23 允許 10.10.10.0 0.0.0.7
這與訪問列表 1 相同
訪問列表 100
訪問列表 100 拒絕 ip 主機 255.255.255.255 任何
訪問列表 100 拒絕 ip 127.0.0.0 0.255.255.255 任何
訪問列表 100 許可 ip 任何 任何
在允許任何 IP 通過之前,這會明確阻止任何偽裝成 255.255.255.255 的全域網路遮罩或任何聲稱來自本地主機範圍的地址的訪問。
訪問列表 100 拒絕 tcp 任何 任何
訪問列表 100 拒絕 udp 任何 任何
訪問列表 100 拒絕 ip 任何 任何
訪問列表 100 拒絕 icmp 任何 任何
在我看來,這似乎毫無意義,因為您已經允許任何 IP 通過。如果您想阻止其中任何一個,他們需要在任何 IP 許可之前進行。
訪問列表 101
訪問列表 101 允許 udp 任何 eq bootps 任何 eq bootpc
通過 BOOTP 協議的 DHCP 的所有 UPD
訪問列表 101 拒絕 ip 10.10.10.0 0.0.0.255 任何
阻止 10.10.10.0-255 範圍內的任何人
訪問列表 101 允許 icmp 任何任何 echo-reply
訪問列表 101 允許 icmp 任何任何時間超過
訪問列表 101 允許 icmp 任何任何無法訪問
允許任何 echo-reply、超時或無法訪問的數據包
訪問列表 101 拒絕 ip 10.0.0.0 0.255.255.255 任何
訪問列表 101 拒絕 ip 172.16.0.0 0.15.255.255 任何
訪問列表 101 拒絕 ip 192.168.0.0 0.0.255.255 任何
訪問列表 101 拒絕 ip 127.0.0.0 0.255.255.255 任何
訪問列表 101 拒絕 ip 主機 255.255.255.255 任何
訪問列表 101 拒絕 IP 任何任何
儘管最後一行阻止了所有人,但大多數拒絕 IP 都是毫無意義的。
訪問列表 101 允許 ip 192.168.0.0 0.0.0.255 任何
鑑於之前的否認,這似乎也毫無意義。您需要將其移至拒絕行上方才能生效。
訪問列表 102
訪問列表 102 允許 ip 172.16.0.0 0.0.0.255 任何
允許 172.16.0.0-255
訪問列表 199
訪問列表 199 允許 ip 任何任何
所有任何IP
編輯:如此處所述:http ://www.cs.odu.edu/~csi/cisco/router_configuration/access_list.html
**注意:**訪問列表的末尾包含一個隱含的拒絕聲明,如果它在到達末尾之前沒有找到匹配項。此外,對於標準訪問列表,如果您從關聯的 IP 主機地址訪問列表規範中省略遮罩,則假定遮罩為 0.0.0.0。