Cisco IOS Classicc Firewall
又名CBAC,是Cisco两大IOS防火墙技术之一。
工作示意图:
配置步骤如下流程:
配置IP ACL
配置全局参数:
拓扑图及需求如下所示:
- 监控outbound所有http/smtp/ftp/telnet/icmp协议
- 限制穿越FW的tcp三次握手必须在15秒内完成
- 对穿越FW的半开连接进行限制(high:1000/low:800)
- 防火墙需要按照RFC1918进行地址欺骗防护
- 放行源至于互联网访问内部服务器的http流量
在FW上配置最大半开连接为1000,最低为800,
配置三次握手等待时间为15秒,超时后防火墙丢弃会话信息
配置监控特殊应用层协议http、smtp、ftp、icmp、telnet的监控
定义acl匹配RFC1918私有地址流量,
只允许任意主机访问10.1.1.100的web服务,
同时拒绝inbound方向的任意ip流量通过,
调用在FW的外部接口的in方向。
将监控的特殊应用协议监控调用在FW的出方向。
测试在外部设备无法访问服务器的telnet服务,
而服务器可以访问外部设备的telnet服务,以上都由于防火墙对内部发起的连接进行了监控,后续的回包经过会话表的匹配成功,而非内部主动对外部发起的连接都拒绝了!
成功是由于防火墙acl放行了外部设备主动对内部web服务器访问的进来的流量!
