思科IOS系统的CBAC防火墙的简要方法

做思科路由器的IOS系统的经典防火墙，首先是要做一个deny any any的列表应用到外部接口的in方向上的，这样外部进来的所有流量都被干掉了，放心，做inspect是在列表之前被执行的，你在deny上面做的监控状态信息的列表会提前执行，所以deny any any是最有一个拒绝列表。

我实验一个简单的，几个思科路由器组成一个简单的链式网络，用telnet做例子，做一个inspect telnet，监控是不用写允许或是拒绝的，因为你监控了，默认就是允许的了。你只要应用到外部接口的out方向就OK啦。

简单的状态监控包过滤就是这些东西，非常非常的简单。

当然你？一下，可以看到还有很多的选项，这些选项大部分都是对DoS攻击做防御的，其实这里的选项和Tcp Intercept的选项是一样的，其实你发现了，路由器防止dos攻击就这么几招。三板斧，耍完就没的耍了。

最后状态化的表项可以用show看的到。这样就完成思科IOS防火墙的简单的配置了。