思科路由器acl(cisco acl)

發(fā)布時間：2024-03-15

本文為大家介紹思科路由器acl(cisco acl)，下面和小編一起看看詳細內(nèi)容吧。
cisco 路由器acl 摘要
ip 訪問控制列表是cisco ios 的一項內(nèi)部安全功能。以下是常用的動態(tài)訪問控制列表的總結(jié)。
pt.1 鎖和鑰匙安全
鎖和鑰匙概述
lock-and-key 動態(tài)acl 使用ip 動態(tài)擴展acl 來過濾ip 流量。配置lock-and-key動態(tài)acl后，可以暫時允許暫時拒絕的ip流量。鎖鑰動態(tài)acl 臨時修改路由器接口上的現(xiàn)有acl，以允許ip 流量到達目標設(shè)備。之后，lock-and-key 動態(tài)acl 恢復(fù)接口的狀態(tài)。
通過鎖和密鑰動態(tài)acl 獲得訪問目標設(shè)備權(quán)限的用戶必須首先打開到路由器的telnet 會話。然后，鎖和密鑰動態(tài)acl 會自動對用戶進行身份驗證。如果身份驗證通過，則用戶被授予臨時訪問權(quán)限。
配置鎖和鑰匙
配置lock-and-key動態(tài)acl的步驟如下：
1.設(shè)置動態(tài)acl：
bitscn(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}
2、擴展動態(tài)acl的絕對定時器。選修的：
bitscn(config)# 訪問列表動態(tài)擴展
3、定義需要應(yīng)用acl的接口：
bitscn(config)#interface {接口}
4.應(yīng)用acl：
bitscn(config-if)#ip 訪問組{acl}
5.定義vty線：
bitscn(config)#line vty {line-number [ending-line-number]}
6. 驗證用戶：
bitscn(config)#username {username} password {password}
7.使用tacacs認證或本地認證。選修的：
bitscn（配置行）#login {tacacs|local}
8. 創(chuàng)建臨時訪問權(quán)限。如果沒有定義參數(shù)host，則默認為所有主機：
bitscn (config-line) #autocommand access-enable {host} [超時分鐘數(shù)]
情況1
在5 分鐘內(nèi)打開到172.16.1.2 的telnet 會話。如果認證成功，給用戶120秒的訪問權(quán)限：
！
接口以太網(wǎng)0
說明本文檔由*****撰寫
由bitscn 提供支持的說明
ip 地址172.16.1.1 255.255.255.0
ip 訪問組101 in
！
訪問列表101 允許tcp 任何主機172.16.1.2 eq telnet
訪問列表101 動態(tài)bitscn 超時120 允許ip 任何任何
！
線路vty 0 4
登錄tacacs
自動命令訪問啟用超時5
！
監(jiān)控和維護鎖和鑰匙
查看acl信息：
bitscn#show 訪問列表
pt.2 tcp攔截
tcp攔截概述
一般來說，tcp連接的建立需要三次握手過程：
1.建立發(fā)起者向目標計算機發(fā)送一個tcp syn數(shù)據(jù)包。
2、目標計算機收到tcp syn數(shù)據(jù)包后，在內(nèi)存中創(chuàng)建一個tcp連接控制塊（tcb），然后向發(fā)送源回復(fù)一個tcp確認（ack）數(shù)據(jù)包，等待發(fā)送源的響應(yīng)。
3、發(fā)送源收到tcp ack數(shù)據(jù)包后，再發(fā)送一個tcp ack數(shù)據(jù)包，tcp連接成功。
tcp syn flood攻擊的過程：
1.攻擊者向目標設(shè)備發(fā)送一個tcp syn數(shù)據(jù)包。
2、目標設(shè)備收到tcp syn數(shù)據(jù)包后，建立一個tcb并響應(yīng)一個tcp ack數(shù)據(jù)包，等待發(fā)送源的響應(yīng)。
3、發(fā)送源沒有給目標設(shè)備回復(fù)tcp ack包，導(dǎo)致目標設(shè)備一直處于等待狀態(tài)。
4.如果tcp半連接很多，目標設(shè)備的資源（tcb）會被耗盡，無法響應(yīng)正常的tcp連接請求。從而完成拒絕服務(wù)tcp syn洪水攻擊。
tcp攔截特性可以防止tcp syn flood攻擊。兩種模式的tcp攔截特性：
1、攔截：軟件會主動攔截每一個入站的tcp連接請求（tcp syn），并作為服務(wù)器回復(fù)一個tcp ack包，然后等待客戶端的tcp ack包。再次收到客戶端的tcp ack數(shù)據(jù)包后，將初始的tcp syn數(shù)據(jù)包交給真實服務(wù)器，軟件進行tcp三次握手，建立tcp連接。
2.監(jiān)聽（watch）：入站tcp連接請求（tcp syn）讓路由器交給服務(wù)器，但路由器會監(jiān)聽連接，直到tcp連接建立。如果tcp連接在30秒內(nèi)未能建立，路由器會向服務(wù)器發(fā)送復(fù)位（reset）信號，服務(wù)器會清除tcp半連接。
配置tcp 攔截
配置tcp攔截的步驟如下：
1.定義ip擴展acl：
bitscn(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} tcp {source source-wildcard destination destination-wildcard}
2.啟用tcp攔截：
bitscn(config)#ip tcp 攔截列表{acl}
3.定義tcp攔截方式，默認為攔截方式。選修的：
bitscn(config)#ip tcp 攔截模式{intercept|watch}
4.定義tcp攔截的切斷方式，默認是切斷最舊的tcp連接。選修的：
bitscn(config)#ip tcp intercept drop-mode {oldest|random}
5.定義tcp攔截監(jiān)聽的超時時間，默認30秒。選修的：
bitscn(config)#ip tcp intercept watch-timeout {seconds}
6. 定義系統(tǒng)管理tcp 連接的時間長度，即使tcp 連接不再處于活動狀態(tài)。默認時間長度為24 小時。選修的：
bitscn(config)#ip tcp intercept connection-timeout {seconds}
監(jiān)控和維護tcp 攔截
一些輔助命令：
1、顯示tcp連接信息：
bitscn#show tcp 攔截連接
2、顯示tcp攔截的統(tǒng)計信息：
bitscn#show tcp 攔截統(tǒng)計
自反acl可以根據(jù)上層信息過濾ip流量?？梢允褂米苑碼cl 實現(xiàn)單向流量穿越。自反acl 只能通過命名擴展acl 來定義。
配置自反acl
配置自反acl的步驟如下：
1.定義一個命名的擴展acl：
bitscn(config)#ip 訪問列表擴展{name}
2.定義自反acl：
bitscn (config-ext-nacl) #permit {protocol} any any reflect {name} [超時秒數(shù)]
3、嵌套自反acl：
bitscn(config-ext-nacl)#evaluate {name}
好了，思科路由器acl(cisco acl)的介紹到這里就結(jié)束了，想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。