在 Cisco IOS 上构建防火墙

　　现在，网络安全已成为每个联网企业的首要关注问题，而且防火墙也已作为一种主要的安全机制被人们采用。虽然一些企业已经开始致力于“防火墙应用”，（我并不是说这是一种最好的解决办法），但这些应用对于中小型企业来说相当昂贵。比如，一台Cisco PIX Firewall要花费几千美元。

　　不过，现在出现了一种价廉物美的防火墙解决方案，可能这种解决方案一直被大家所忽视。目前 ，许多公司都使用标准的路由器联入互联网，如果您使用的是Cisco路由器，那么您应该知道Cisco IOS集成了一系列构建防火墙和入侵检测系统的功能。利用这些功能，您就可以不再需要单独的防火墙设备（firewall box），使用已有的Cisco路由器您完全可以构建自己的防火墙。我喜欢把这种方案称之为“穷人的防火墙”。

　　相关安全资源

　　美国国家安全局（National Security Agency）站点下的executive summary for Cisco router security有一些关于如何利用Cisco路由器构建防火墙的非常好的建议。这是我所见到的介绍这方面知识的最好站点。

　　获取合适的的IOS

　　首先，您应该获取适合自己Cisco路由器的IOS。如果您只对最基本的防火墙感兴趣（对IP地址和端口进行过滤），那么您可以通过Cisco路由器中已有的扩展访问控制列表来实现这种过滤。但如果您想要防火墙更强大的功能，那么您还需要加入防火墙/入侵检测系统(FW/IDS)。

　　访问 Cisco IOS Upgrade Planner ，您可以获取带有FW/IDS的IOS，不过，只有Cisco站点的注册用户才能访问此链接。利用IOS Upgrade Planner，您可以选择合适的路由器模块，您需要的IOS版本（最好是最新的版本），以及您寻找的软件功能。请一定确保您选择的IOS带有FW/IDS。（为使用FW/IDS，您可能需要支付少量注册许可费用）。接着，您可以下载选好的IOS，升级路由器到新版本，并重启路由器。