用Cisco路由器當防火牆 傳遞網路封包同時過濾

網路防火牆就是透過許多這樣的規則，來提升網路安全性。一般來說，防火牆可在個人電腦上透過軟體技術來完成，也能在網路設備（例如路由器）進行。

事實上，Cisco路由器就可以做到這樣的功能。畢竟，路由器可是傳遞網路封包的重要角色，因此路由器大可以在傳遞封包的過程中直接完成過濾網路封包的動作，而不必等到個人電腦上才執行防火牆過濾的任務。

這一篇文章就是來教大家如何設定Cisco路由器來當作網路防火牆，會從基本概念談論如何設計防火牆規則，最後透過指令範例來講解如何設定這些規則來達到防火牆的功效。

基本概念說明

為了要讓Cisco路由器擁有像是防火牆的功能，最重要的技術就是透過Access Control List來完成。Access Control List簡稱ACL，可稱為存取控制清單。

簡單來說，存取控制清單包含一堆規則，每一條規則可以用來定義要允許或是拒絕特定形式的網路封包，而這裡的特定形式，則包含網路協定的定義、來源端或目的地端的指定，或者埠的指定之類。接著，先來了解一下Cisco路由器之存取控制清單的概念。

何謂存取控制清單

顧名思義，存取控制清單就是一個清單，內容包含一些「規則」，也可以視為條件，用來指導Cisco路由器設備如何辨識哪些網路封包，以及要對這些網路封包做哪些動作。

例如，網路管理人員可能想要阻絕某些網路封包，希望只允許某些特定的網路封包，網路管理人員一旦在Cisco路由器設備上設定好存取控制清單之後，當網路封包通過Cisco路由器設備時，就會依據存取控制清單的內容來決定是否要讓這個網路封包經過。

然而，存取控制清單只能過濾「通過」路由器設備的網路封包，從路由器設備自行產生的網路封包，存取控制清單是不會對這些封包做過濾處理。

在Cisco IOS中，若不設定存取控制清單，也可以使用Cisco網路設備，只是若適當使用的話將會更好。基本上，存取控制清單分為以下兩種類型：

· 標準型存取控制清單
· 延伸型存取控制清單

標準型存取控制清單與延伸型存取控制清單最大的不同就在於，標準型會檢查網路封包的來源IP位址，延伸型存取控制清單則會檢查網路封包的來源IP位址和目的地IP位址。

除此之外，標準型存取控制清單只能針對所有的網路協定來做處理，而不能針對特定的網路協定指定允許或拒絕的動作處理，但是延伸型存取控制清單可以針對特定的網路協定做處置。由此看來，延伸型的存取控制清單的能力比較強大，可設定的東西比較多。

延伸型存取控制清單內的規則，除了指定網路協定外，還可以在協定後面加上埠的編號，以便指明要套用在什麼埠的網路封包。

一般而言，網路管理人員都會指明比較常見的埠編號（Well Known Ports），表1列出一些常見的埠編號以及所對應的網路服務。

表1 常見的埠編號及所對應的網路服務

由此，可以看出延伸型存取控制清單多了以下幾種功能：

1. 檢查目的端位址
2. 可以指定網路協定
3. 可以指定埠

Inbound和Outbound的概念

除了了解延伸型存取控制清單和標準型存取控制清單外，還有一個很重要的概念必須知道，那就是Inbound和Outbound的概念，先說明圖1的範例。

▲圖1 Outbound示意圖。