思科路由器除支持豐富的路由協(xié)議外，還提供了基礎(chǔ)的安全防護功能，可以在一定程度上代替防火墻，建立第一道安全防護屏障，對于安全防護措施不是太苛刻的小型網(wǎng)絡(luò)來說已經(jīng)足夠。就以筆者單位思科 7609路由器（IOS版本為12.2<33>SRB4）為例，通過設(shè)置訪問控制列表、網(wǎng)絡(luò)地址轉(zhuǎn)換等，讓路由器實現(xiàn)基本防火墻功能。

數(shù)據(jù)包過濾功能

通過訪問控制列表（Access Control List）實現(xiàn)數(shù)據(jù)包過濾功能。該方法是在路由器上讀取網(wǎng)絡(luò)層及傳輸層數(shù)據(jù)包中源地址、目的地址、源端口和目的端口等信息，根據(jù)預先定義好的規(guī)則對數(shù)據(jù)包進行處理，從而實現(xiàn)對數(shù)據(jù)包分析過濾。

思科 7609支持標準訪問控制列表、擴展訪問控制列表、擴展MAC地址訪問控制列表、速率限制訪問控制列表和動態(tài)擴展訪問控制列表等。這里介紹標準訪問控制列表和擴展訪問控制列表設(shè)置方法。

標準訪問控制列表序號從1-99，只定義允許或禁止某一個網(wǎng)段或某一個主機訪問。禁止192.168.1.1的用戶主機進入eth1/0接口只需兩步。

第一步：定義訪問控制列表

擴展訪問控制列表序號從100-199，擴展訪問控制列表能夠完成從源地址到目的地址，從IP層到傳輸層的數(shù)據(jù)包過濾功能。例如若需要禁止C類地址192.168.1.0進入eth1/0訪問192.168.2.0網(wǎng)段則只需執(zhí)行以下命令：

首先是定義訪問控制列表：

基于訪問控制列表，路由器可以對一些常見的病毒進行過濾。比如，沖擊波病毒使用 TCP和 UDP的 135、136、137、138、139 及 445 端 口 進行傳播，如果在路由器上禁止上述端口的數(shù)據(jù)包通過，就可以防范該病毒的攻擊，下面就以過濾TCP和UDP的135端口為例，制定訪問控制列表如下：

Router(config)#Access-list 110 deny tcp any any eq 135

Router(config)#Access-list 110 deny udp any any eq 135

過濾其他TCP和UDP端口的方法和上面例子一樣，制定好訪問控制列表后就將該訪問控制列表應用到指定的接口上即可生效。

NAT功能

NAT（Network Address Translator）即網(wǎng)絡(luò)地址轉(zhuǎn)換,其原理是將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為外部網(wǎng)絡(luò)地址，從而使內(nèi)部網(wǎng)絡(luò)用戶使用一個或多個外部IP地址與外部網(wǎng)絡(luò)通信。使用NAT技術(shù)一方面可解決因特網(wǎng)地址較少的問題；另一方面，使用外部網(wǎng)絡(luò)地址訪問外部網(wǎng)絡(luò)，可以很好地隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而達到保護內(nèi)部網(wǎng)絡(luò)的目的。

思科7609提供的NAT類型有三種：靜態(tài)NAT、動態(tài)NAT和網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。靜態(tài)NAT是將內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。動態(tài)地址NAT是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。動態(tài)NAR較為常用，配置步驟如下：

第一步：定義映射到外部的地址池,其中PoolName為自定義的地址池名字，startIP為起始IP地址，endIP為結(jié)束IP地址。

ip nat pool PoolName startIP endIP netmask 255.255.255.0

第二步：允許轉(zhuǎn)換的內(nèi)部地址范圍，這里允許的地址范圍為一個C類地址段192.168.1.0。

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

第三步：指定內(nèi)部接口。

Router(config)#inter face g0/0

Router(config-if) #ip nat inside

第四步：指定外部接口。

Router(config)#inter face s0/0/0

Router(config-if) #ip nat outside

第五步：配置動態(tài)映射，將內(nèi)部地址映射到外部地址池。

Router(config)#ip nat inside source list 1 pool PoolName

基于上下文的訪問控制功能

思科7609路由器支持基于上下文的訪問控制（Context Based Access Control，CBAC）技術(shù)，啟用該功能，可以抵御DoS攻擊，其原理是在報文進入或離開指定接口時對報文進行檢測，將報文的有關(guān)信息存放在狀態(tài)信息表中，包括報文的源地址、目的地址以及TCP、UDP的端口號等。利用該狀態(tài)表創(chuàng)建臨時開啟表項，用于檢查返回的流量，臨時表項被放在接受返回流量的接口上。當連接完成時，狀態(tài)表和訪問表中的相關(guān)表項被清除。對于TCP，這些表項會在客戶和服務器之間交換一個正常的FIN之后被清除，而對于UDP，則可配置不活躍的超時值。CBAC配置示例如下：

基于網(wǎng)絡(luò)的應用識別功能

基于網(wǎng)絡(luò)的應用識別(Network Based Application Recognition,NBAR)是思科路由器IOS從12.1版本開始支持的一個流量分類引擎技術(shù)。該技術(shù)通過查看數(shù)據(jù)包的前512個字節(jié)，可以檢測識別各種應用協(xié)議，并在路由器內(nèi)建立一個協(xié)議到端口的映射表,之后用戶就可以利用classmap類別映射去匹配這些相應的協(xié)議，以實現(xiàn)帶寬控制、流量整形和包丟棄等防火墻策略。

該技術(shù)既支持使用固定端口的常見應用層協(xié)議如 HTTP、FTP、H232等，也支持一些經(jīng)常更換端口的應用層協(xié)議，如BT等。對新出現(xiàn)的協(xié)議，用戶還可以到思科公司網(wǎng)站下載最新的包描述語言模塊(Packet DescriptionLanguage Module,PDLM)文件，對內(nèi)建協(xié)議到端口映射表進行更新，從而使路由器對最新出現(xiàn)的協(xié)議類型進行識別和判定。如果要對網(wǎng)內(nèi)FTP占用接口最大帶寬限制為10%，可以按以下步驟設(shè)置：

1.定義映射的類(或應用協(xié)議)，其中ClassName為類名， FTP為需要識別的應用協(xié)議。

2.定義類所適用的策略，其中PolicyName為策略名，其具體含義為：定義定義一個策略PolicyName,然后將上面定義的類ClassName，也就是FTP協(xié)議放到這個策略中,并給這個類分配占用接口最大帶寬限制為10%的帶寬。

TCP攔截功能

TCP攔截主要作用就是防止SYN泛洪攻擊。SYN攻擊利用TCP的三次握手機制，用偽造的IP地址向被攻擊端發(fā)出請求，而被攻擊端發(fā)出的響應報文將永遠發(fā)送不到目的地，被攻擊端在等待關(guān)閉此連接過程中消耗了資源，如果有成千上萬的這種連接，主機資源將被耗盡，從而達到攻擊的目的。開啟TCP攔截分為三個步驟：

第一步是設(shè)置TCP攔截的工作模式。

TCP攔截的工作模式分為攔截和監(jiān)視。攔截模式下，路由器審核所有的TCP連接，自身的負擔加重，所以一般讓路由器工作在監(jiān)視模式，監(jiān)視TCP連接的時間和數(shù)目，超出預定值則關(guān)閉連接。

Router(config)#ip tcp intercept mode(intercept|watch)

第二步是設(shè)置訪問表，以開啟需要保護的主機。

Router(config)#a c c e s s-l i s t 1 0 1 permit tcp any host 219.148.150.126

第三步是開啟TCP攔截。

Router(config)#ip tcp intercept list accesslist-number