访问利用ＣＩＳＣＯ路由器建立企业网络的安全机制

利用  路由器建立企业网络的安全机制

CISCO路由器的报文过滤可以让用户根据报文的源地址、 目的地址以及应用类型控制流入网络的数据流。访问列表是基于将规则和报文进行匹配来允许或拒绝报文的排序表。路由器对报文的控制是按照访问列表中语句创建的顺序进行的在列表的结尾处有一句隐含的“de ny a ll”表明没有被此句前访问列表通过的报文将被此句拒绝。

访问列表建立在许多有关CISCO IOS的资料中均有十分详尽的介绍在下面我仅介绍一下本人在设置访问列表所积累的部分心得。

一、建立合理的访问列表必须了解企业的应用情况

访问列表的建立是为了保护企业网络的安全因此建立安全合理的访问列表首先需要对这个企业的应用进行深入细致的了解有哪些应用、使用哪些端口访问哪些地址等等使得访问列表的建立不会影响到企业正常的网络运转。

二、根据具体应用确立访问列表的内容

1 过滤TCP Transmis sion Contro l Protoco l协议

例如某个企业总部在网络上为其分支机构提供的应用主要有⑴远程登录访问telnet:TCP port 23⑵发送接收电子邮件smtp:TCP port 25,pop3:TCP port

110⑶WWWhttp:TCP port 80而总部可以任意访问他的分支机构 那么他的路由器的访问列表定义如下access-list 100 permit tcp any 192.168.18.00.0.0.255 eq 23access-list 100 permit tcp any 192.168.18.00.0.0.255 eq 25access-list 100 permit tcp any 192.168.18.00.0.0.255 eq 110access-list 100 permit tcp any 192.168.18.00.0.0.255 eq 80access-list 100 permit tcp any any established