|
|
|
|
|
|
|
|
1.1.1.1
access-list 100 remark End ----------------------------------
!
access-list 100 remark Begin -- IP .2 10.253.1.2 Email Server
access-list 100 permit tcp any eq smtp host 1.1.1.2 gt 1023
access-list 100 permit tcp any host 1.1.1.2 eq smtp
access-list 100 remark End
然后,使用下面的命令将控制列表应用到串口(英特网接口)上:
interface Serial1/0
ip access-group 100 in
对网络安全来说,将防火墙阻断的各类数据记录到日志中是相当重要的一点。尽管每个访问控制列表都清楚地列出了应该拒绝的数据包,但防火墙却不能将这些报文记录到日志中。我建议在网络中安装一台日志服务器,让路由器登录到该日志服务器上,记录所有被防火墙拒绝的数据包。在本例中,网络中的Web服务器也是日志服务器,您可以通过下面的命令对路由器进行相应配置:
access-list 100 deny ip any any log
logging 10.253.1.1
配置NBAR
说了这么多,我们仍然还没有真正接触到Cisco FW/IDS。下面我们将配置基于网络应用的识别(NBAR),这是防火墙的一个特征。基本上,N页码:[1] [2] [3] [4] [5] [6] [7] 第4页、共7页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
