思科路由器acl(cisco acl)

發(fā)布時(shí)間:2024-03-15
本文為大家介紹思科路由器acl(cisco acl),下面和小編一起看看詳細(xì)內(nèi)容吧。
cisco 路由器acl 摘要
ip 訪問控制列表是cisco ios 的一項(xiàng)內(nèi)部安全功能。以下是常用的動(dòng)態(tài)訪問控制列表的總結(jié)。
pt.1 鎖和鑰匙安全
鎖和鑰匙概述
lock-and-key 動(dòng)態(tài)acl 使用ip 動(dòng)態(tài)擴(kuò)展acl 來(lái)過濾ip 流量。配置lock-and-key動(dòng)態(tài)acl后,可以暫時(shí)允許暫時(shí)拒絕的ip流量。鎖鑰動(dòng)態(tài)acl 臨時(shí)修改路由器接口上的現(xiàn)有acl,以允許ip 流量到達(dá)目標(biāo)設(shè)備。之后,lock-and-key 動(dòng)態(tài)acl 恢復(fù)接口的狀態(tài)。
通過鎖和密鑰動(dòng)態(tài)acl 獲得訪問目標(biāo)設(shè)備權(quán)限的用戶必須首先打開到路由器的telnet 會(huì)話。然后,鎖和密鑰動(dòng)態(tài)acl 會(huì)自動(dòng)對(duì)用戶進(jìn)行身份驗(yàn)證。如果身份驗(yàn)證通過,則用戶被授予臨時(shí)訪問權(quán)限。
配置鎖和鑰匙
配置lock-and-key動(dòng)態(tài)acl的步驟如下:
1.設(shè)置動(dòng)態(tài)acl:
bitscn(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}
2、擴(kuò)展動(dòng)態(tài)acl的絕對(duì)定時(shí)器。選修的:
bitscn(config)# 訪問列表動(dòng)態(tài)擴(kuò)展
3、定義需要應(yīng)用acl的接口:
bitscn(config)#interface {接口}
4.應(yīng)用acl:
bitscn(config-if)#ip 訪問組{acl}
5.定義vty線:
bitscn(config)#line vty {line-number [ending-line-number]}
6. 驗(yàn)證用戶:
bitscn(config)#username {username} password {password}
7.使用tacacs認(rèn)證或本地認(rèn)證。選修的:
bitscn(配置行)#login {tacacs|local}
8. 創(chuàng)建臨時(shí)訪問權(quán)限。如果沒有定義參數(shù)host,則默認(rèn)為所有主機(jī):
bitscn (config-line) #autocommand access-enable {host} [超時(shí)分鐘數(shù)]
情況1
在5 分鐘內(nèi)打開到172.16.1.2 的telnet 會(huì)話。如果認(rèn)證成功,給用戶120秒的訪問權(quán)限:

接口以太網(wǎng)0
說(shuō)明本文檔由*****撰寫
由bitscn 提供支持的說(shuō)明
ip 地址172.16.1.1 255.255.255.0
ip 訪問組101 in
!
訪問列表101 允許tcp 任何主機(jī)172.16.1.2 eq telnet
訪問列表101 動(dòng)態(tài)bitscn 超時(shí)120 允許ip 任何任何
!
線路vty 0 4
登錄tacacs
自動(dòng)命令訪問啟用超時(shí)5
!
監(jiān)控和維護(hù)鎖和鑰匙
查看acl信息:
bitscn#show 訪問列表
pt.2 tcp攔截
tcp攔截概述
一般來(lái)說(shuō),tcp連接的建立需要三次握手過程:
1.建立發(fā)起者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)tcp syn數(shù)據(jù)包。
2、目標(biāo)計(jì)算機(jī)收到tcp syn數(shù)據(jù)包后,在內(nèi)存中創(chuàng)建一個(gè)tcp連接控制塊(tcb),然后向發(fā)送源回復(fù)一個(gè)tcp確認(rèn)(ack)數(shù)據(jù)包,等待發(fā)送源的響應(yīng)。
3、發(fā)送源收到tcp ack數(shù)據(jù)包后,再發(fā)送一個(gè)tcp ack數(shù)據(jù)包,tcp連接成功。
tcp syn flood攻擊的過程:
1.攻擊者向目標(biāo)設(shè)備發(fā)送一個(gè)tcp syn數(shù)據(jù)包。
2、目標(biāo)設(shè)備收到tcp syn數(shù)據(jù)包后,建立一個(gè)tcb并響應(yīng)一個(gè)tcp ack數(shù)據(jù)包,等待發(fā)送源的響應(yīng)。
3、發(fā)送源沒有給目標(biāo)設(shè)備回復(fù)tcp ack包,導(dǎo)致目標(biāo)設(shè)備一直處于等待狀態(tài)。
4.如果tcp半連接很多,目標(biāo)設(shè)備的資源(tcb)會(huì)被耗盡,無(wú)法響應(yīng)正常的tcp連接請(qǐng)求。從而完成拒絕服務(wù)tcp syn洪水攻擊。
tcp攔截特性可以防止tcp syn flood攻擊。兩種模式的tcp攔截特性:
1、攔截:軟件會(huì)主動(dòng)攔截每一個(gè)入站的tcp連接請(qǐng)求(tcp syn),并作為服務(wù)器回復(fù)一個(gè)tcp ack包,然后等待客戶端的tcp ack包。再次收到客戶端的tcp ack數(shù)據(jù)包后,將初始的tcp syn數(shù)據(jù)包交給真實(shí)服務(wù)器,軟件進(jìn)行tcp三次握手,建立tcp連接。
2.監(jiān)聽(watch):入站tcp連接請(qǐng)求(tcp syn)讓路由器交給服務(wù)器,但路由器會(huì)監(jiān)聽連接,直到tcp連接建立。如果tcp連接在30秒內(nèi)未能建立,路由器會(huì)向服務(wù)器發(fā)送復(fù)位(reset)信號(hào),服務(wù)器會(huì)清除tcp半連接。
配置tcp 攔截
配置tcp攔截的步驟如下:
1.定義ip擴(kuò)展acl:
bitscn(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} tcp {source source-wildcard destination destination-wildcard}
2.啟用tcp攔截:
bitscn(config)#ip tcp 攔截列表{acl}
3.定義tcp攔截方式,默認(rèn)為攔截方式。選修的:
bitscn(config)#ip tcp 攔截模式{intercept|watch}
4.定義tcp攔截的切斷方式,默認(rèn)是切斷最舊的tcp連接。選修的:
bitscn(config)#ip tcp intercept drop-mode {oldest|random}
5.定義tcp攔截監(jiān)聽的超時(shí)時(shí)間,默認(rèn)30秒。選修的:
bitscn(config)#ip tcp intercept watch-timeout {seconds}
6. 定義系統(tǒng)管理tcp 連接的時(shí)間長(zhǎng)度,即使tcp 連接不再處于活動(dòng)狀態(tài)。默認(rèn)時(shí)間長(zhǎng)度為24 小時(shí)。選修的:
bitscn(config)#ip tcp intercept connection-timeout {seconds}
監(jiān)控和維護(hù)tcp 攔截
一些輔助命令:
1、顯示tcp連接信息:
bitscn#show tcp 攔截連接
2、顯示tcp攔截的統(tǒng)計(jì)信息:
bitscn#show tcp 攔截統(tǒng)計(jì)
自反acl可以根據(jù)上層信息過濾ip流量??梢允褂米苑碼cl 實(shí)現(xiàn)單向流量穿越。自反acl 只能通過命名擴(kuò)展acl 來(lái)定義。
配置自反acl
配置自反acl的步驟如下:
1.定義一個(gè)命名的擴(kuò)展acl:
bitscn(config)#ip 訪問列表擴(kuò)展{name}
2.定義自反acl:
bitscn (config-ext-nacl) #permit {protocol} any any reflect {name} [超時(shí)秒數(shù)]
3、嵌套自反acl:
bitscn(config-ext-nacl)#evaluate {name}
好了,思科路由器acl(cisco acl)的介紹到這里就結(jié)束了,想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。
上一個(gè):新電腦磁盤分區(qū)大小,怎么把電腦硬盤從新分配容量大小
下一個(gè):6ES7 332-5HD01-0AB0西門子輸出模塊

華為固件怎么下載軟件,華為手機(jī)怎么下載軟件
設(shè)備管理程序駐留在哪里面(設(shè)備管理程序駐留在哪個(gè)文件)
聯(lián)想新款筆記本2023年上市,聯(lián)想拯救者筆記本什么時(shí)候出新款2023
mtl編碼器
0R143 1%貼片電阻
小米系統(tǒng)安裝包放在哪(小米系統(tǒng)安裝包的位置)
普洱生茶轉(zhuǎn)化的哪一個(gè)階段最好喝
離地1828米的商店在哪里 離地1828米的商店賣的什么東西
油用牡丹根腐病的發(fā)生原因及其防治措施
銷售進(jìn)口spitznas泵
十八禁 网站在线观看免费视频_2020av天堂网_一 级 黄 色 片免费网站_绝顶高潮合集Videos