我已经使用Cisco ISR C1111-8pCisco Wireless AP建立了我的小型网络C1832i。
我可以用什么来阻止 WAN 的所有端口?
是否有任何安全优势阻止它们而不是让它们成为它?我想阻止它们更多是出于我的服务器/AWS 上的安全习惯,而不是真正的必要性。
对于Linux,我会使用iptables/firewalld; 使用AWS我会ingress Security Group用来打开特定端口。
由于我使用的是NAT,因此端口已经全部关闭,因为没有端口转发规则。
ACL 是无状态的
ge0/0/0,阻止来自any host块的所有端口以及来自内部启动连接的所有回复。我已经测试 ping 一个没有端口转发规则的端口,RST收到一个 TCP 数据包。不是安全威胁吗?我想避免回复。
所以我建议使用 IP 检查。这是一个相当新的配置(与自反 ACL 相比)并且与 ZBF 相比非常轻量级。因此,您创建了一个 ACL,您希望在其中允许来自 WAN 的所有内容,而无需先从 LAN 发起连接。示例可以是从外部通过 SSH 连接。
ip access-list extended ALLOWFROMWAN
remark permit SSH Access from main office
permit tcp host 1.1.1.1 any eq 22
remark deny everything else
deny ip any any
然后,我们创建 CBAC 规则来说明我们想要检查的流量。通常这 3 个协议覆盖了所有流量的 99% 以上。我们包括路由器发起流量以允许 DNS 查找、NTP 同步或简单的 ping 测试。
ip inspect name WAN tcp router-traffic
ip inspect name WAN udp router-traffic
ip inspect name WAN icmp router-traffic
然后,我们沿着 ACL 将其分配给 WAN 接口。检查确保返回的流量可以通过 ACL 并且不会被拒绝 ip any any 阻止。
interface Dialer1
ip access-group ALLOWFROMWAN in
ip inspect WAN out
现在您可以看到使用命令冲浪的人
show ip inspect sessions
需要记住的一点是:ZBF 比 CBAC 使用更多的资源。不久前,我们在千兆 WAN 链路上使用 Cisco 892FSP 路由器进行了一些性能测试,结果如下:
Config Download Upload
ZBF 180Mbit/s 173Mbit/s
CBAC 206Mbit/s 196Mbit/s
因此,只有当您拥有足够强大的设备时,我才会选择 ZBF。