配置防火墙的CBAC

 我在Cisco 2514系列访问路由器上安装了版本为12.2的IOS防火墙。在那个时候，这个路由器还在使用扩展ACL来过滤从互联网接口中进入的流量。在断开外部接口的电缆后，我整理并删除了现存的ACL，然后实现如下的IOS防火墙性能。

　　在配置ACLs和CBAC的一个共同点就是需要在外部接口的入口安装一个互联网路由器，这样可以避免私人网络受到互联网中有害流量的攻击。这个配置对那些只允许由内部发起连接的返回流量通过的防火墙是相当简单的。为了实现这以目的，我在进入的接口增加了一个扩展访问列表，这样可以阻拦所有我想检查的流量：

　　Router （config）# Access-list 101 deny tcp any any
Router （config）# Access-list 101 deny udp any any
Router （config）# interface serial0
Router （config-if）# Ip access-group 101 in

　　在以前的陈述中，当在外部接口上应用进入检查时是阻拦所有TCP和UDP。这对检查所有通过的TCP和UDP流量提供了一个过滤方法。 通过在外部的101端口应用访问列表，可以确保互联网的通信一到达互联网路由器就被截获。我也可疑通过指定特定的应用层协议来实现更具体细微的控制，就象这个例子一样：
Router （config）# Access-list 101 deny tcp any any eq smtp

　　这一说明可以将所有SMTP通信阻挡在内部网络之外。在访问列表中，这应该放在先前的TCP过滤说明之前，否则没有什么作用。

　　定义超时

　　这个过程的下一步骤就是在使用CBAC跟踪连接时定义超时和最大值。你可以定义几个不同的值来加强CBAC防御网络进攻的能力。在启动环境中，大多数超时和最大值设置都有一个缺省值，可疑满足一般的需求。许多超时和最大值控制着路由器对DoS攻击如何应答。（我将在其他时候就时钟/最大值做更深入的讨论。）