访问安全
上网行为管理AC SSL VPN 硬件VPN云安全
信服云盾 信服云眼 重构入云业务安全边界边界安全
下一代防火墙AF WAF终端安全
终端检测响应平台EDR 企业移动管理EMM身份安全
EasyConnct 行为感知系统BA威胁检测
安全感知平台SIP病毒防护
网络防病毒等级保护
等保2.0安全审计与运营
数据库安全审计DAS云服务
私有云 公有云 云杀毒 云监控 混合云 云搬迁微软云
微软云介绍 微软云优势 微软云解决方案 微软云案例阿里云
阿里云介绍 阿里云产品 阿里云解决方案 阿里云案例钉钉
钉钉简介 钉钉定制开发推荐视频
发布者:上海IT外包来源:http://www.lanmon.net点击数:1878
上海蓝盟IT外包经验谈
随着IPv4地址的耗尽,IPv4地址将成为历史,并将被IPv6地址取代。我发现许多企业网络管理员对迁移到IPv6犹豫不决。这可能是一个全新的领域,迁移将非常麻烦。但实际工作,如调整防火墙服务,并不像大家想的那么困难。 Cisco IOS可以支持多种防火墙配置。例如,您的设备具有以下静态
访问列表:
访问列表101允许tcp任何主机10.1.1.1 eq www
访问列表101允许tcp任何主机10.1.1.1 eq ftp
访问列表101允许tcp任何主机10.1.1.1 eq 22
在IPv6路由器中,访问列表配置也存在,就像具有扩展名的访问列表一样。
IPv6访问列表示例:
允许tcp任何主机2001:DB9:2:3 :: 3 eq www序列10
允许tcp任何主机2001:DB9:2:3 :: 3 eq telnet序列20
允许tcp任何主机2001:DB9:2:3 :: 3 eq 22序列30
允许tcp任何主机2001:DB9:2:3 :: 3 eq ftp序列40
使用ip traffic-filter命令控制端口要比使用我们习惯的ip access-group命令简单得多。
IOS中的自反访问列表:
接口Ethernet0 / 1
IP地址172.16.1.2 255.255.255.0
Ip access-group inboundfilter in
ip access-group outboundfilter out
Ip access-list扩展了inboundfilter
允许icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255评估tcptraffic
ip access-list扩展了outboundfilter
允许icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
允许tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255反映tcptraffic
您还需要配置自反访问列表的IPv6模式。操作没有太大区别:
接口Ethernet0 / 1
Ipv6地址2001:db9:1 :: 1/64
Ipv6 traffic-filter inboundfilter in
Ipv6 traffic-filter outboundfilter out
Ipv6 access-list inboundfilter
允许icmp主机2001:db8:1 :: F主机2001:db9:2 :: 2
评估tcptraffic
Ipv6 access-list outboundfilter
允许tcp任何反映tcptraffic
允许icmp任何任何
基于内容的访问控制(CBAC)也称为IOS防火墙。
在IPv4环境中,此防火墙如下所示:
Ip检查名称FW tcp
!
接口Ethernet0
IP地址10.10.10.2 255.255.255.0
Ip access-group 101 in
我检查了FW
!
接口Serial0.1点对点
IP地址10.10.11.2 255.255.255.252
Ip access-group 102 in
帧中继接口-dlci 200 IETF
!
在IPv6环境中,基本上没有变化:Ip检查名称FW tcp
!
接口Ethernet0
Ipv6地址2001:db9:1 :: 1/64
Ipv6 traffic-filter inboundfilter in
我检查了FW
!
接口Serial0.1点对点
Ipv6地址2001:db9:2 :: A / 64
Ipv6 traffic-filter outboundfilter in
帧中继接口-dlci 200 IETF
!
还有一个基于区域的防火墙,在IPv4和IPv6环境中都是相同的:
类映射类型检查匹配任何MYPROTOS
匹配协议tcp
匹配协议udp
匹配协议icmp
!
策略映射类型检查OUTBOUND
班级类型检查MYPROTOS
检查
!
区内安全
区外安全
!
区域对安全性IN>
外部目的地内的OUT源
服务策略类型检查OUTBOUND
!
接口fastethernet0 / 0
区域成员安全私有
!
接口fastethernet0 / 1
区域成员安全公共
!
TechTarget中国原创内容,原文链接:http://www.searchnetworking.com.cn/showcontent_53322.htm
使用上述策略,您可以向端口添加IPv4或IPv6地址。 TCP,UDP和ICMP不是第3层协议,因此防火墙服务不受影响。综上所述,以上是一个非常简单的例子,主要是为了说明防火墙是在Cisco IOS设备上配置的,无论是IPv4还是IPv6,差别都不是太大。所以,现在你可以开始考虑让自己的网络支持双协议并让防火墙工作。
分享到:
中文
电话咨询
微信咨询
公众号
