|
|
|
|
|
|
|
|
别这些垃圾邮件的发源地并采取指定的处理措施。(或丢弃保文,或通知管理员,等等。)
以后我可能会写一篇如何配置Cisco IDS的文章。由于IDS只是防火墙的一个可选部分,我还是有机会再介绍吧。不过,我建议您在配置Cisco IDS之前,仔细阅读一下配置Cisco IOS入侵检测系统。
Cisco FW/IDS的另外两个重要特色是基于上下文的访问控制(CBAC)和TCP报文截取(TCP Intercept)。CBAC能识别数据报文的“上下文”环境,能根据上下文创建动态访问控制列表。
以FTP通信为例,如果您只允许向外的FTP访问,那么您应该使用CBAC,而不是在访问控制列表中完全开放相应端口。一般情况下,防火墙应该拒绝FTP数据回应报文访问内部网,但CBAC能识别该FTP连结是从内部网络中发起的,并自动打开相应端口,以便让数据回应报文返回给内部网用户。当这种通信没有发生时,您的网络就没有“突破口”(开放的端口),黑客就不能进行攻击,因此,这将使您的网络更安全。
TCP报文截取能防止您的网络遭受拒绝服务攻击(DoS)。在数据包到达目的主机(网络中的服务器)之前,TCP报文截取能检验某个TCP包的源地址是否真实存在。如果源地址不存在,那么路由器能在该TCP包到达服务器之前丢弃它,并消耗其有效处理时间,这可以停止DoS攻击的攻击过程。
总结
我们可以看到,Cisco IOS FW/IDS提供了强大的功能。它可以在一台设备上实现路由器和防火墙,对我的公司来说这是一种省钱的解决方案,对您的公司来说这可能也是一种省钱的方案。尽管本文只是介绍了构建Cisco IOS 防火墙的一些肤浅知识,但我想这对于您来说有可能是一个好的开始。下面是构建Cisco IOS 防火墙的部分相页码:[1] [2] [3] [4] [5] [6] [7] 第6页、共7页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
