使用防火墙构建器配置路由器访问列表

使用防火墙生成器配置路由器访问列表

作者：Mike Horn <mike [at] netcitadel [dot] com>
http://www.fwbuilder.org

防火墙构建器是防火墙配置和管理GUI，支持从单个应用程序配置各种防火墙。 支持的防火墙包括Linux iptables，BSD pf，Cisco ASA / PIX，Cisco路由器访问列表等等。 支持的平台的完整列表以及可下载的二进制软件包和软件代码可以在http://www.fwbuilder.org找到。

本教程是一系列howtos中的第一个，将介绍使用Firewall Builder配置每个受支持的防火墙平台的基本步骤。 在本教程中，我们将在Cisco路由器上配置访问控制列表（ACL）。

下图显示了一个简单的2路由器路由器配置，路由器作为专用LAN网络的Internet网关。

我们将使用防火墙生成器实现以下基本规则作为路由器上的访问列表。

• 允许内部流量（10.0.0.0/24）通过路由器到HTTP和HTTPS协议的任何Internet地址
• 允许流量（10.0.0.0/24）通过路由器到POP3协议的特定IP地址（198.51.100.1）。
• 允许内部通信（10.0.0.0/24）到路由器的内部接口（FastEthernet0 / 1）用于SSH协议。
• 阻止所有传入流量到转发器的外部接口FastEthernet0 / 0。

请注意，Cisco路由器访问列表在每个访问列表的末尾都有隐式拒绝 ，所以我们没有设置明确允许的规则的任何内容都将被拒绝。

路由器上的NAT配置如下：

interface FastEthernet0/0
 ip nat outside
 
 interface FastEthernet0/1
 ip nat inside
 
 access-list 1 permit 10.0.0.0 0.0.0.255
 
 ip nat inside source list 1 interface FastEthernet0/0 overload

第1步：创建网络对象

我们将首先创建将在规则中使用的对象。 防火墙生成器包含数百个预定义对象，包括大多数标准协议，因此要实现上述规则，我们只需要创建特定于我们网络的对象。 对于我们的规则，这意味着我们需要为内部的10.0.0.0/24网络和IP地址为198.51.100.1的POP3服务器创建对象。

创建一个新的IP网络对象

要创建将在左侧树中表示我们内部10.0.0.0/24网络的对象，请双击标记为“对象”的文件夹将其展开。 右键单击名为“网络”的文件夹，然后选择“新建网络”。 这将创建一个新的网络对象。 在屏幕的下方，称为编辑器面板，您可以修改此对象的属性。

将对象名称更改为与该功能匹配的内容，在本例中，我们将其称为“内部网络”，以表示本地LAN IP地址。 地址设置为10.0.0.0，网络掩码为255.255.255.0。

注意：编辑对象的属性时，没有应用或提交按钮。 一旦您离开该领域编辑一个属性，您正在编辑的更改将立即生效。

创建一个新的IP地址对象

重复此过程以创建将表示将在规则2中使用的POP3电子邮件服务器的对象。 转到对象树，右键单击地址文件夹，然后选择新建地址。 在编辑器面板中将对象的名称更改为“POP3服务器”，并将IP地址设置为198.51.100.1。

第2步：定义路由器

防火墙构建器是指支持过滤规则作为防火墙的设备。 要创建防火墙对象来表示您的路由器，请单击防火墙生成器主窗口上的“创建新防火墙”图标。 这将启动一个向导，引导您创建路由器。

输入防火墙对象的名称，在这个例子中我们将使用la-rtr-1 。 将防火墙上运行的软件的下拉菜单更改为“Cisco IOS ACL”。

单击下一步>按钮继续向导。

在Firewall Builder中创建防火墙时，您可以选择手动配置接口，或者如果您的路由器上启用了SNMP，并且您可以访问只读或读写团体字符串，则可以使用SNMP发现。 对于这个例子，我们将手动配置路由器接口。

单击下一步>按钮继续下一步。

您在Firewall Builder中创建的防火墙需要匹配要部署访问列表的路由器。 这意味着您正在创建的防火墙对象中的接口名称和IP地址必须与路由器上配置的接口名称和IP地址 完全匹配 。

点击绿色 图标添加一个新的接口到路由器。 当您运行“show ip interfaces brief”命令时，输入路由器的名称，与路由器命令行上显示的完全相同。 在这个例子中，我们的接口是FastEthernet0 / 0和FastEthernet0 / 1。

将接口名称设置为FastEthernet0 / 0，并将标签设置为外部。 点击Add address按钮，将IP地址设置为192.0.2.1，网址为255.255.255.240。

点击绿色 图标向路由器添加另一个接口。 输入向导中的信息以匹配第二个界面，如下所示：

点击完成按钮。

创建表示将要安装的路由器的防火墙对象后，其上的访问列表将显示在左侧的对象树中。 在主窗口中自动打开策略对象，该对象是访问列表规则的配置位置。

在移动之前，我们应该保存包含刚创建的新防火墙对象的数据文件。 通过转到文件 - >另存为菜单项来执行此操作。 选择一个名称和位置来保存此文件。