思科路由器acl(cisco acl)

發(fā)布時(shí)間：2024-03-15

本文為大家介紹思科路由器acl(cisco acl)，下面和小編一起看看詳細(xì)內(nèi)容吧。
cisco 路由器acl 摘要
ip 訪問控制列表是cisco ios 的一項(xiàng)內(nèi)部安全功能。以下是常用的動(dòng)態(tài)訪問控制列表的總結(jié)。
pt.1 鎖和鑰匙安全
鎖和鑰匙概述
lock-and-key 動(dòng)態(tài)acl 使用ip 動(dòng)態(tài)擴(kuò)展acl 來(lái)過濾ip 流量。配置lock-and-key動(dòng)態(tài)acl后，可以暫時(shí)允許暫時(shí)拒絕的ip流量。鎖鑰動(dòng)態(tài)acl 臨時(shí)修改路由器接口上的現(xiàn)有acl，以允許ip 流量到達(dá)目標(biāo)設(shè)備。之后，lock-and-key 動(dòng)態(tài)acl 恢復(fù)接口的狀態(tài)。
通過鎖和密鑰動(dòng)態(tài)acl 獲得訪問目標(biāo)設(shè)備權(quán)限的用戶必須首先打開到路由器的telnet 會(huì)話。然后，鎖和密鑰動(dòng)態(tài)acl 會(huì)自動(dòng)對(duì)用戶進(jìn)行身份驗(yàn)證。如果身份驗(yàn)證通過，則用戶被授予臨時(shí)訪問權(quán)限。
配置鎖和鑰匙
配置lock-and-key動(dòng)態(tài)acl的步驟如下：
1.設(shè)置動(dòng)態(tài)acl：
bitscn(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}
2、擴(kuò)展動(dòng)態(tài)acl的絕對(duì)定時(shí)器。選修的：
bitscn(config)# 訪問列表動(dòng)態(tài)擴(kuò)展
3、定義需要應(yīng)用acl的接口：
bitscn(config)#interface {接口}
4.應(yīng)用acl：
bitscn(config-if)#ip 訪問組{acl}
5.定義vty線：
bitscn(config)#line vty {line-number [ending-line-number]}
6. 驗(yàn)證用戶：
bitscn(config)#username {username} password {password}
7.使用tacacs認(rèn)證或本地認(rèn)證。選修的：
bitscn（配置行）#login {tacacs|local}
8. 創(chuàng)建臨時(shí)訪問權(quán)限。如果沒有定義參數(shù)host，則默認(rèn)為所有主機(jī)：
bitscn (config-line) #autocommand access-enable {host} [超時(shí)分鐘數(shù)]
情況1
在5 分鐘內(nèi)打開到172.16.1.2 的telnet 會(huì)話。如果認(rèn)證成功，給用戶120秒的訪問權(quán)限：
！
接口以太網(wǎng)0
說(shuō)明本文檔由*****撰寫
由bitscn 提供支持的說(shuō)明
ip 地址172.16.1.1 255.255.255.0
ip 訪問組101 in
！
訪問列表101 允許tcp 任何主機(jī)172.16.1.2 eq telnet
訪問列表101 動(dòng)態(tài)bitscn 超時(shí)120 允許ip 任何任何
！
線路vty 0 4
登錄tacacs
自動(dòng)命令訪問啟用超時(shí)5
！
監(jiān)控和維護(hù)鎖和鑰匙
查看acl信息：
bitscn#show 訪問列表
pt.2 tcp攔截
tcp攔截概述
一般來(lái)說(shuō)，tcp連接的建立需要三次握手過程：
1.建立發(fā)起者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)tcp syn數(shù)據(jù)包。
2、目標(biāo)計(jì)算機(jī)收到tcp syn數(shù)據(jù)包后，在內(nèi)存中創(chuàng)建一個(gè)tcp連接控制塊（tcb），然后向發(fā)送源回復(fù)一個(gè)tcp確認(rèn)（ack）數(shù)據(jù)包，等待發(fā)送源的響應(yīng)。
3、發(fā)送源收到tcp ack數(shù)據(jù)包后，再發(fā)送一個(gè)tcp ack數(shù)據(jù)包，tcp連接成功。
tcp syn flood攻擊的過程：
1.攻擊者向目標(biāo)設(shè)備發(fā)送一個(gè)tcp syn數(shù)據(jù)包。
2、目標(biāo)設(shè)備收到tcp syn數(shù)據(jù)包后，建立一個(gè)tcb并響應(yīng)一個(gè)tcp ack數(shù)據(jù)包，等待發(fā)送源的響應(yīng)。
3、發(fā)送源沒有給目標(biāo)設(shè)備回復(fù)tcp ack包，導(dǎo)致目標(biāo)設(shè)備一直處于等待狀態(tài)。
4.如果tcp半連接很多，目標(biāo)設(shè)備的資源（tcb）會(huì)被耗盡，無(wú)法響應(yīng)正常的tcp連接請(qǐng)求。從而完成拒絕服務(wù)tcp syn洪水攻擊。
tcp攔截特性可以防止tcp syn flood攻擊。兩種模式的tcp攔截特性：
1、攔截：軟件會(huì)主動(dòng)攔截每一個(gè)入站的tcp連接請(qǐng)求（tcp syn），并作為服務(wù)器回復(fù)一個(gè)tcp ack包，然后等待客戶端的tcp ack包。再次收到客戶端的tcp ack數(shù)據(jù)包后，將初始的tcp syn數(shù)據(jù)包交給真實(shí)服務(wù)器，軟件進(jìn)行tcp三次握手，建立tcp連接。
2.監(jiān)聽（watch）：入站tcp連接請(qǐng)求（tcp syn）讓路由器交給服務(wù)器，但路由器會(huì)監(jiān)聽連接，直到tcp連接建立。如果tcp連接在30秒內(nèi)未能建立，路由器會(huì)向服務(wù)器發(fā)送復(fù)位（reset）信號(hào)，服務(wù)器會(huì)清除tcp半連接。
配置tcp 攔截
配置tcp攔截的步驟如下：
1.定義ip擴(kuò)展acl：
bitscn(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} tcp {source source-wildcard destination destination-wildcard}
2.啟用tcp攔截：
bitscn(config)#ip tcp 攔截列表{acl}
3.定義tcp攔截方式，默認(rèn)為攔截方式。選修的：
bitscn(config)#ip tcp 攔截模式{intercept|watch}
4.定義tcp攔截的切斷方式，默認(rèn)是切斷最舊的tcp連接。選修的：
bitscn(config)#ip tcp intercept drop-mode {oldest|random}
5.定義tcp攔截監(jiān)聽的超時(shí)時(shí)間，默認(rèn)30秒。選修的：
bitscn(config)#ip tcp intercept watch-timeout {seconds}
6. 定義系統(tǒng)管理tcp 連接的時(shí)間長(zhǎng)度，即使tcp 連接不再處于活動(dòng)狀態(tài)。默認(rèn)時(shí)間長(zhǎng)度為24 小時(shí)。選修的：
bitscn(config)#ip tcp intercept connection-timeout {seconds}
監(jiān)控和維護(hù)tcp 攔截
一些輔助命令：
1、顯示tcp連接信息：
bitscn#show tcp 攔截連接
2、顯示tcp攔截的統(tǒng)計(jì)信息：
bitscn#show tcp 攔截統(tǒng)計(jì)
自反acl可以根據(jù)上層信息過濾ip流量?？梢允褂米苑碼cl 實(shí)現(xiàn)單向流量穿越。自反acl 只能通過命名擴(kuò)展acl 來(lái)定義。
配置自反acl
配置自反acl的步驟如下：
1.定義一個(gè)命名的擴(kuò)展acl：
bitscn(config)#ip 訪問列表擴(kuò)展{name}
2.定義自反acl：
bitscn (config-ext-nacl) #permit {protocol} any any reflect {name} [超時(shí)秒數(shù)]
3、嵌套自反acl：
bitscn(config-ext-nacl)#evaluate {name}
好了，思科路由器acl(cisco acl)的介紹到這里就結(jié)束了，想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。