《网络安全与防护》实训指导33-1基于思科路由器的IOS防火墙防护功能配置（IOS_FW）

《《网络安全与防护》实训指导33-1基于思科路由器的IOS防火墙防护功能配置（IOS_FW）》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、◎国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施课程资源子库学习情境3：实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW)实训指导3.3-1一、实训题目:基于思科路由器的IOS防火墙防护功能配置（ZPF）二、实训目的:1•配置思科路由器的ZPF功能；2.思科ZPF功能原理与实现。三、实训要求：1.基于PT配置思科路由器ZPF功能;2.理解ZPF配置流程。四、实训网络场景或网络拓扑结构:网络拓扑结构图如下：内网服务器2企业wwwW服务器'III无冬接入交换机内网服务器丄

2、各办公室计算机i网管站堡垒主机办公室计算机各办公室计畀机HOTEL内网服务器岀绷工模拟互联网W頑入路由器傾入A路由器防火墙X网络A公司北京总部Z网络A公司长春办事处DNS服务器WWW服务器接入交换机无如蚩防監M汇聚霸交换机尊入交换？JT,米□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□PT仿真网络结构图如下:｝：_IUIL192168182192168.1C6.0X.3S2V1AK1051921681050VLWllVUB137UH13VLAS14Z」C21921682010192.166.1

3、1.0—■192.166.KOIJC4VLW12XJC2VLW12FaO/lhO/llItE3CS/O3.1.1.1flX.FC1VUH11ZI?2FiO/1M11FaO/lFeO/1111.1.1FaO/1.1.1.2MO五、实训步羽112HCA192,1681J71YSVR192.168.16.2FiD/2L3SIYLAE17X.OAi0/3I®1681892.16&109.0192.16819.0FeO/1fW/11'WKYB£5.1,1.2•0/02071.1IU/02051.111921681G3

4、0iO/O204.1.1.1YJ：!VUKISVLAm5iQ/2i£/llT.PC2VUSCHYjC4192.168.104.0W105DKS20T.11.2192.168201254iO/1Z.A?思科的IOS路由器防火墙大体分三类，包过滤防火墙、代理防火墙和状态监测包过滤防火墙。凡是使用IOS系统的路由器大体可以实现第一种和第三种防火墙，包过滤防火墙就是传统意义上的ACL列表；状态监测包过滤防火墙就是I0S的CBAC防火墙或者zone防火墙。ACL有一个功能是叫做established,理解为记忆放

5、过的包，自动放行冋来的流量，这个其实在Linux的iptables里面也有相应的功能，这个功能算是包过滤防火墙的延伸，这个功能是路由器口动把返冋的流量也放过了，是一个方便用户的方式，不用用户在考虑返回的流量了。但这并不能说是真止意义上的状态监测包过滤技术。而状态监测包过滤是监测四层或更高的层的工作过程，因为有些协议会动态的协商出新的端口，状态监测包过滤是监测的这种新端口，这种端口是无法让ACL感知到的。CiscoTOS防火墙（CBAC）提供了基于接口的流量保护，可以在任意的接口上针对流量进行保护。所有穿过这

6、个接口的流量受到相同的审查策略的保护。这样就降低了防火墙策略实施的颗粒度，同时也给合理的实施防火墙策略造成了困难。而ZPF技术对原有的CBAC功能进行了增强，ZWF策略防火墙改变了老式的基于接口的配置模式，并II提供了更容易理解和更灵活的配置方法。接口需要加入区域，针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查，不同的审查策略可以应用在与路由器和同接口和连的多个组上。ZPF提供了状态型的包检测，URL过滤，对DOS攻击的减缓等功能，同吋提供了多种协议的支持,例如HTTP,PO

7、P3,IMAP,SMTP,ESMTP,sunRPC,IM,P2P等协议。但是需要注意的是,以下特性ZPF暂时还不能支持：♦Authenticationproxy♦Statefulfirewallfailover♦Unifiedfirewal1MTB♦IPv6statefulinspection♦TCPout-of-ordersupport与传统的IOS相比，ZPF完全改变了配置IOS防火墙的配置。第一点主要的改变是，ZPF是基于区域的配置。ZPF不在使用CBAC的命令。两种技术可以同吋配置在路由器上，但是需

8、耍注意的是，这两种技术不能同时在接口上叠加。接口在加入了安全区域以后不能同时在该接口上配置ipinspect命令。ZPF默认的策略为拒绝所有流量。如果没有配置放行策略，那么所有在区域间进行转发的流量将会被拒绝。而cbac默认情况下允许转发所有的流量，除非通过使用ACL来对流量进行丢弃。第二点主要的改变是ZPF的配置命令使用了MQC命令格式。可以使用更灵活的方式来定义ZPF的策略。在木文中只对命令进行介绍，详细的M