公司预算少，买了路由器买不了防火墙？想用高大上VPN技术，防火墙不支持？分公司小，只有一台路由器不能安全防护？这些都不是问题，今天和明天笔者将向大家介绍思科的IOS防火墙，将IOS路由器打造成一台防火墙。

笔者目前知道的支持IOS防火墙的设备有ISR （Integrated Service Router，集成多业务路由器）系列路由器，ASR 1K路由器，72系列路由器。在ISR G1 系列路由器（就是18/28/38打头的路由器，例如1841，2801，3825，现在ISR G1已经停产）如果需要使用IOS防火墙功能，只需更换路由器的IOS即可；而ISR G2系列（就是19/29/39打头的路由器）开始，如果想使用IOS防火墙功能，是需要security的license激活的，就是需要向思科购买license才能使用，如果是试用的话，可以在思科license网站申请试用的license来激活该功能。

思科IOS防火墙分为两种，一种是基于CBAC（Context-Based Access Control，基于内容的访问控制）的传统IOS防火墙，另一种是在IOS 12.4（6）T版本以后才开始使用的Zone-based Firewall。本文讲的是基于CBAC的IOS防火墙，下一篇博文将介绍Zone-based Firewall。

防火墙知识普及（可略过）：

防火墙发至今，已经有很多各类了，大致可以分为4类：

基于包过滤的防火墙：说白了就是ACL，通过ACL来控制数据包，实现访问控制。这种基于数据包的控制，可以对http、telnet（单信道协议）等简单的协议进行很好的管控，但对FTP、语音流量（多信道协议）等较复杂的协议并不能很好的支持。

基于状态包过滤的防火墙：目前市面上能够见到的防火墙都是状态化的防火墙，所谓状态化的防火墙，即当数据包穿越防火墙之后，防火墙会记录该会话的状态，当该会话的流量返回的时候会查询状态化表项，如果在表项中存在，就直接放行通过，不会查询ACL，当没有状态会话的时候，才会查询ACL条目。这样的话，我们只需放行始发的流量即可，无需理会回来的流量。并且，状态化的防火墙对协议的支持更好，它本身能够识别FTP、SIP、等多信道协议，并对这些协议进行状态化监测。

代理防火墙：代理防火墙是一种应用层的防火墙，我们一般的防火墙都是工作在三、四层，防止或放行IP层、TCP、UDP等流量，而代理防火墙则是工作在七层，对控制更加深入。代理防火墙分为好多种类型，有HTTP代理防火墙，邮件代理防火墙等。以HTTP代理防火墙为例，在客户端浏览器上需要配置HTTP代理，然后该电脑所有HTTP流量先到达防火墙，防火墙过滤后，再与真正的WEB服务器进行通信。代理防火墙可以针对更深入的内容进行过滤，例如可以访问淘宝，不可以访问视频等策略。

下一代防火墙（Next Genaral Firewall）:现在市场上谷鼓吹的NGFW，即不仅能够对三四层流量进行控制，更能对七层应用层进行控制。例如可以对QQ、微信等各种应用，淘宝、百度等各类网站进行精准识别，对内网用户进行高度匹配，最后实现谁可以访问什么，谁不能访问什么。例如，张三是DHCP获取地址，但他一上线，防火墙就能够识别出来,并对张三进行控制，可以访问百度，不能访问淘宝，可以发邮件，但不能用QQ，而无需对IP进行控制，即使张三下次DHCP拿到其他IP地址，策略还是一样。