cisco acl 總結

來源:本站原創 網絡技術 超過1,045 views圍觀 0條評論

IP訪問控制列表算是Cisco IOS一個內在的security feature,以下是對常用的動態訪問控制列表做了個總結。
    Pt.1 Lock-and-Key Security
    Lock-and-Key Overview
    lock-and-key動態ACL使用IP動態擴展ACL過濾IP流量。當配置了lock-and-key動態ACL之后,臨時被拒絕掉的IP流量可以獲得暫時性的許可。 lock-and-key動態ACL臨時修改路由器接口下已經存在的ACL,來允許IP流量到達目標設備。之后lock-and-key動態ACL把接口狀態還原。
    通過lock-and-key動態ACL獲得訪問目標設備權限的用戶,首先要開啟到路由器的telnet會話。接著lock-and-key動態ACL自動對用戶進行認證。如果認證通過,那么用戶就獲得了臨時性的訪問權限。
    Configuring Lock-and-Key
    配置lock-and-key動態ACL的步驟如下:
    1.設置動態ACL:
    BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}
    2.擴展動態ACL的絕對計時器。可選:
    BitsCN(config)# access-list dynamic-extend
    3.定義需要應用ACL的接口:
    BitsCN(config)#interface {interface}
    4.應用ACL:
    BitsCN(config-if)#ip access-group {ACL}
    5.定義VTY線路:
    BitsCN(config)#line vty {line-number [ending-line-number]}
    6.對用戶進行認證:
    BitsCN(config)#username {username} password {password}
    7.采用TACACS認證或本地認證方式。可選:
    BitsCN(config-line)#login {tacacs|local}
    8.創建臨時性的訪問許可權限,如果沒有定義參數host,默認為所有主機:
    BitsCN(config-line)#autocommand access-enable {host} [timeout minutes]
    Case 1
    在5分鐘內開啟到172.16.1.2的telnet會話,如果認證成功,對用戶給予120秒的訪問許可權:
    !
    interface Ethernet0
    description this document is written by *****
    description powered by BitsCN
    ip address 172.16.1.1 255.255.255.0
    ip access-group 101 in
    !
    access-list 101 permit tcp any host 172.16.1.2 eq telnet
    access-list 101 dynamic BitsCN timeout 120 permit ip any any
    !
    line vty 0 4
    login tacacs
    autocommand access-enable timeout 5
    !
    Monitoring and Maintaining Lock-and-Key
    查看ACL信息:
    BitsCN#show access-lists
    Pt.2 TCP Intercepting
    TCP Intercepting Overview
    一般情況下,TCP連接的建立需要經過三次握手的過程:
    1.建立發起者向目標計算機發送一個TCP SYN數據包。
    2.目標計算機收到這個TCP SYN數據包后,在內存中創建TCP連接控制塊(TCB),然后向發送源回復一個TCP確認(ACK)數據包,等待發送源的響應。
    3.發送源收到TCP ACK數據包后,再以一個TCP ACK數據包,TCP連接成功。
    TCP SYN洪水攻擊的過程:
    1.攻擊者向目標設備發送一個TCP SYN數據包。
    2.目標設備收到這個TCP SYN數據包后,建立TCB,并以一個TCP ACK數據包進行響應,等待發送源的響應。
    3.而發送源則不向目標設備回復TCP ACK數據包,這樣導致目標設備一致處于等待狀態。
    4.如果TCP半連接很多,會把目標設備的資源(TCB)耗盡,而不能響應正常的TCP連接請求。,從而完成拒絕服務的TCP SYN洪水攻擊。
TCP攔截特性可以防止TCP的SYN洪水攻擊。TCP攔截特性的兩種模式:
    1.攔截(intercept):軟件將主動攔截每個進站的TCP連接請求(TCP SYN),并以服務器的身份,以TCP ACK數據包進行回復,然后等待來自客戶機的TCP ACK數據包。當再次收到客戶機的TCP ACK數據包后,最初的TCP SYN數據包被移交給真正的服務器,軟件進行TCP三次握手,建立TCP連接。
    2.監控(watch):進站的TCP連接請求(TCP SYN)允許路由器移交給服務器,但是路由器將對連接進行監控,直到TCP連接建立完成。如果30秒內TCP連接建立不成功,路由器將發送重置(Reset)信號給服務器,服務器將清除TCP半連接。
    Configuring TCP Intercepting

配置TCP攔截的步驟如下:
    1.定義IP擴展ACL:
    BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} tcp {source source-wildcard destination destination-wildcard}
    2.啟用TCP攔截:
    BitsCN(config)#ip tcp intercept list {ACL}
    3.定義TCP攔截模式,默認為攔截模式。可選:
    BitsCN(config)#ip tcp intercept mode {intercept|watch}
    4.定義TCP攔截的切斷模式,默認為切斷最老的TCP連接。可選:
    BitsCN(config)#ip tcp intercept drop-mode {oldest|random}
    5.定義TCP攔截監控的超時時間,默認為30秒。可選:
    BitsCN(config)#ip tcp intercept watch-timeout {seconds}
    6.定義即使TCP連接不再活動,系統管理TCP連接的時間長度。默認時間長度為24小時。可選:
    BitsCN(config)#ip tcp intercept connection-timeout {seconds}
    Monitoring and Maintaining TCP Intercepting
    一些輔助性的命令:
    1.顯示TCP連接信息:
    BitsCN#show tcp intercept connections
    2.顯示TCP攔截的統計信息:
    BitsCN#show tcp intercept statistics
    自反ACL可以基于上層信息過濾IP流量。可以使用自反ACL實現流量的單向穿越。自反ACL只能通過命名擴展ACL來定義。
    Configuring Reflexive ACL
    配置自反ACL的步驟如下:
    1.定義命名擴展ACL:
    BitsCN(config)#ip access-list extended {name}
    2.定義自反ACL:
    BitsCN(config-ext-nacl)#permit {protocol} any any reflect {name} [timeout seconds]
    3.嵌套自反ACL:
    BitsCN(config-ext-nacl)#evaluate {name}
    4.應用自反ACL:
    BitsCN(config-if)#ip access-group {name} {in|out}
    5.全局定義自反ACL的超時時間。可選:
    BitsCN(config)#ip reflexive-list timeout {seconds}
    Case 2
    路由器B連接的網段 192.168.0.0/24為內部區域,路由器B的串行接口所連的10.0.0.0/30以及上游網段為外部區域。路由器A和B運行EIGRP.要求允許EIGRP和ICMP信息;允許到達外部區域的TCP和UDP信息;而不允許進入內部區域的TCP和UDP信息
    路由器B配置如下:
    !
    ip access-list extended inbound
    permit eigrp any any
    permit icmp any any
    evaluate BitsCN
    ip access-list extended outbound
    permit eigrp any any
    permit icmp any any
    permit tcp any any reflect BitsCN
    permit udp any any reflect BitsCN
    !
    interface Ethernet0
    description this document is written by ******
    description powered by BitsCN
    ip address 192.168.0.1 255.255.255.0
    ip access-group inbound in
    ip access-group outbound out

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文標題:cisco acl 總結
本文鏈接:http://www.qdxgqk.live/?p=3345轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
上篇文章:
下篇文章:
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏