我國的路由器技術已經非常成熟穩定，同時也能夠保證用戶的網絡安全。這里我們主要介紹配置NAT，包括介紹應用IDS特色和其他選項等方面?，F在，網絡安全已成為每個聯網企業的首要關注問題，而且防火墻也已作為一種主要的安全機制被人們采用。雖然一些企業已經開始致力于“防火墻應用”，（我并不是說這是一種最好的解決辦法），但這些應用對于中小型企業來說相當昂貴。比如，一臺Cisco PIX Firewall要花費幾千美元。不過，現在出現了一種價廉物美的防火墻解決方案，可能這種解決方案一直被大家所忽視。目前，許多公司都使用標準的路由器技術聯入互聯網，如果您使用的是Cisco路由器，那么您應該知道Cisco IOS集成了一系列構建防火墻和入侵檢測系統的功能。利用這些功能，您就可以不再需要單獨的防火墻設備（firewall box），使用已有的路由器技術您完全可以構建自己的防火墻。我喜歡把這種方案稱之為“窮人的防火墻”。

配置NAT

下一步，您需要正確配置防火墻和IDS。就象我前文提到的那樣，可以通過擴展IP訪問控制列表配置最基本的防火墻。同樣，這也是配置更高級防火墻的基準點。因為許多公司使用了網絡地址轉換（NAT）和企業內部私有TCP/IP地址，所以我們首先應該配置這部分的訪問控制列表。通常，NAT在如下環境中實現：路由器技術通過串口與英特網聯接，通過以太口聯結局域網。這種情況下，NAT通過在企業內部網中使用私有TCP/IP地址，加強了內部網絡的秘密性和安全性。而且，企業更換Internet服務提供商（ISP）后，也不必改動內部網絡的地址。

注意，本地Web服務器的IP地址現在是10.253.1.1，本地郵件服務器的IP地址是10.253.1.2。在實現防火墻之前，這兩個擁有公共IP地址的系統，1.1.1.1 （Web服務器）和 1.1.1.2 （郵件服務器），在英特網上沒有受到保護。而現在，這兩臺服務器擁有了內部IP地址，它們的外部公共IP地址在防火墻處被轉換成為內部IP地址。同樣，其他的內部和外部地址都相應被轉換，目的地址不是本地10.x.x.x網絡的包會通過串口發送出去。對網絡安全來說，將防火墻阻斷的各類數據記錄到日志中是相當重要的一點。盡管每個訪問控制列表都清楚地列出了應該拒絕的數據包，但防火墻卻不能將這些報文記錄到日志中。我建議在網絡中安裝一臺日志服務器，讓路由器技術登錄到該日志服務器上，記錄所有被防火墻拒絕的數據包。在本例中，網絡中的Web服務器也是日志服務器。

應用IDS特色和其他選項

入侵檢測系統（IDS）是網絡安全的另一重要領域。Cisco IDS能識別“攻擊特征”，我稱之為“攻擊模式”。以垃圾郵件為例，Cisco IDS能識別這些垃圾郵件的發源地并采取指定的處理措施。（或丟棄保文，或通知管理員，等等。）以后我可能會寫一篇如何配置Cisco IDS的文章。由于IDS只是防火墻的一個可選部分，我還是有機會再介紹吧。不過，我建議您在配置Cisco IDS之前，仔細閱讀一下配置Cisco IOS入侵檢測系統。Cisco FW/IDS的另外兩個重要特色是基于上下文的訪問控制(CBAC)和TCP報文截取（TCP Intercept）。CBAC能識別數據報文的“上下文”環境，能根據上下文創建動態訪問控制列表。

以FTP通信為例，如果您只允許向外的FTP訪問，那么您應該使用CBAC，而不是在訪問控制列表中完全開放相應端口。一般情況下，防火墻應該拒絕FTP數據回應報文訪問內部網，但CBAC能識別該FTP連結是從內部網絡中發起的，并自動打開相應端口，以便讓數據回應報文返回給內部網用戶。當這種通信沒有發生時，您的網絡就沒有“突破口”（開放的端口），黑客就不能進行攻擊，因此，這將使您的網絡更安全。TCP報文截取能防止您的網絡遭受拒絕服務攻擊（DoS）。在數據包到達目的主機（網絡中的服務器）之前，TCP報文截取能檢驗某個TCP包的源地址是否真實存在。如果源地址不存在，那么路由器技術能在該TCP包到達服務器之前丟棄它，并消耗其有效處理時間，這可以停止DoS攻擊的攻擊過程。

總結

我們可以看到，Cisco IOS FW/IDS提供了強大的功能。它可以在一臺設備上實現路由器技術和防火墻，對我的公司來說這是一種省錢的解決方案，對您的公司來說這可能也是一種省錢的方案。盡管本文只是介紹了構建Cisco IOS 防火墻的一些膚淺知識，但我想這對于您來說有可能是一個好的開始。下面是構建Cisco IOS 防火墻的部分相關網址。