Cisco 防火牆 ACL 路由器 協定 思科

用Cisco路由器當防火牆 傳遞網路封包同時過濾

2016-02-18
本文將教大家如何設定Cisco路由器來當作網路防火牆,從基本概念說起,講解如何設計防火牆規則,並透過範例來說明如何設定規則以達成防火牆的功效。
Cisco路由器的設定模式包括User Mode和Privileged Mode,以及Global Configuration Mode。此外,在Global Configuration Mode之下還有以下五種設定模式:

1. Interface Mode
2. Sub-interface Mode
3. Controller Mode
4. Line Mode
5. Router Mode

Interface Mode是用來設定每個介面的設定值,與Switch一樣,它的提示符號是:


進入介面之後,套用存取控制規則的指令格式如下所示:


一開始先選擇網路協定,一般而言為ip,接著的access-group是保留字,number與前面一樣,指的是存取控制規則的識別碼,而in和out當然就是網路封包的流向。流向是針對路由器本身而言,與網路其他位置或是設備完全無關。

這裡所提及的in和out就是剛才提到的Inbound和Outbound,這樣應該就比較容易理解了,後面會分別為標準型存取控制清單和延伸型存取控制清單詳細說明這些步驟的作法。

設定標準型存取控制清單

先從比較簡單的標準型存取控制清單介紹起,以下說明如何透過指令來設定標準型存取控制清單,這裡要介紹的指令分成以下幾個部分:

1. 增加一筆存取控制規則的指令
2. 刪除特定一筆存取控制規則的指令
3. 將特定存取控制規則套用到某個介面上的指令
4. 刪除已經套用在介面上的規則的指令

增加一筆存取控制規則

增加一筆存取控制規則的基本設定語法格式,如下所示:


與剛剛步驟一提到的格式類似,而由於這裡要設定的是標準型存取控制清單,所以存取控制規則的識別碼範圍為1到99之間,而mask指的是字元遮罩,此字元遮罩可輸入也可忽略,若沒有輸入字元遮罩,預設值是0.0.0.0。

刪除一筆存取控制規則

若要刪除某一筆存取控制規則,則相關指令格式如下所示:


可以看出這是標準的反向操作指令,在Cisco IOS中,很多指令的反向操作通常都只是在原本指令的前面加上no關鍵字。因此,若要刪除剛剛上面所增加的存取控制規則,只要執行以下指令即可:


套用存取控制規則到介面上

準備好存取控制規則之後,接下來就是把所設定好的存取控制規則套用到介面上,相關指令格式 如下:


為了要設定到某個介面上,當然第一步就是要先進入特定介面的Interface Mode底下,所以可以看到上面的指令的模式是必須在(config-if)底下才能 執行。

ip access-group是關鍵字,後面只要接上存取控制規則的識別碼,然後指定要套用在Inbound還是Outbound。方向的選擇也可以不指定,若不指定的話,預設是只會套用在Outbound方向上。

移除已經套用在某介面上的規則

移除已經套用在某介面上的規則,作法其實也很類似,只要執行反向指令即可。原本要把規則套用在某個介面上的指令是ip access-group,因此若要將這條規則從介面上移除,只要在原本的指令前面加上no關鍵字即可,如下所示:


設定延伸型存取控制清單

現在大家已經學會如何使用標準型存取控制清單,不過,如同前面所看到的,標準型存取控制清單中的規則功能很有限,並不能設定出複雜的存取控制規則,因此這裡將介紹以下幾種不同的指令:

1. 增加一筆延伸型存取控制規則的指令
2. 套用延伸型存取控制規則到某介面的指令

增加一筆延伸型存取控制規則

增加一筆延伸型存取控制規則的指令,與標準型存取控制規則類似,只是能設定的選項比較多,其指令格式如下所示:


這個指令的關鍵字一樣也是access-list,後面接上存取控制規則的識別碼,可選擇的動作也有permit和deny,接下來比較不同的是,延伸型存取控制規則可以選擇網路協定,這裡能夠選擇的網路協定有TCP、IP、ICMP、UDP、GRE(General Routing Encapsulation)以及IGRP(Interior Gateway Routing Protocol)等協定。

接著指定來源端IP位址和位址字元遮罩,再來就是可以指定埠。這裡可以指定從來源端哪個埠出去的網路封包才需要套用這個存取控制規則,設定的方式就是一個比較關鍵字加上埠號碼,例如要指定來源端的21號埠時,可以寫成「eq 21」。

這裡的比較關鍵字就是「eq」,其他比較關鍵字還有「lt」、「gt」以及「neq」,lt就是less than,代表小於,gt是greater than,代表大於,而neq就是not equal,代表不等於,原本範例中的eq則代表equal,就是等於的意思。而埠的相關設定可以不輸入,是可有可無的設定項目。

來源埠設定完成後,後面繼續加上目的端的IP位址以及相對應的位址字元遮罩,同樣也可以指定埠號碼。最後,可以額外指定是否要established這個關鍵字,若設定這個關鍵字,代表要允許TCP協定的網路封包,但前提是這些網路封包是使用已經建立好的網路連線(Established Connection),而且這關鍵字只能套用在Inbound的網路封包上。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!