动态ACL配置详解

1、文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.IP 访问控制列表算是Cisco IOS 一个内在的security feature ，以下是对常用的动态访问控制列表做了个总结。Pt.1 Lock-and-Key SecurityLock-and-Key Overviewlock-and-key 动态 ACL 使用 IP 动态扩展 ACL 过滤 IP 流量。当配置了lock-and-key 动态 ACL之后，临时被拒绝掉的IP 流量可以获得暂时性的许可。lock-and-key 动态 ACL 临时修改路由器接口下已经存在的ACL ，来允许 IP 流量到达目标设备。之后 lo

2、ck-and-key 动态 ACL 把接口状态还原。通过 lock-and-key 动态 ACL 获得访问目标设备权限的用户，首先要开启到路由器的telnet会话。接着lock-and-key 动态 ACL 自动对用户进行认证。如果认证通过，那么用户就获得了临时性的访问权限。Configuring Lock-and-Key配置 lock-and-key 动态 ACL 的步骤如下：1.设置动态ACL ：BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutesdeny|permit teln

3、et source source-wildcard destination destination-wildcard2.扩展动态ACL 的绝对计时器。可选：BitsCN(config)# access-list dynamic-extend3.定义需要应用ACL 的接口：BitsCN(config)#interface interface1文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.4.应用 ACL ：BitsCN(config-if)#ip access-group ACL5.定义 VTY 线路：BitsCN(config)#line vty line-number

4、ending-line-number6.对用户进行认证：BitsCN(config)#username username password password7.采用 TACACS 认证或本地认证方式。可选：BitsCN(config-line)#login tacacs|local8.创建临时性的访问许可权限，如果没有定义参数host，默认为所有主机：BitsCN(config-line)#autocommand access-enable host timeout minutesCase 1在 5 分钟内开启到，如果认证成功，对用户给予120 秒的访问许可权：!interface Ether

5、net0description this document is written by *description powered by BitsCNip addressip access-group 101 in!access-list 101 permit tcp any host eq telnet access-list 101 dynamic BitsCN timeout 120 permit ipany any!line vty 0 4login tacacs2文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.autocommand access-enable ti

6、meout 5!Monitoring and Maintaining Lock-and-Key查看 ACL 信息：BitsCN#show access-listsPt.2 TCP InterceptingTCP Intercepting Overview一般情况下， TCP 连接的建立需要经过三次握手的过程：1.建立发起者向目标计算机发送一个TCP SYN 数据包。2.目标计算机收到这个TCP SYN 数据包后，在内存中创建TCP 连接控制块 (TCB) ，然后向发送源回复一个TCP 确认 (ACK) 数据包，等待发送源的响应。3.发送源收到TCP ACK 数据包后，再以一个TCP ACK 数

7、据包， TCP 连接成功。TCP SYN 洪水攻击的过程：1.攻击者向目标设备发送一个TCP SYN 数据包。2.目标设备收到这个TCP SYN 数据包后，建立TCB ，并以一个TCP ACK 数据包进行响应，等待发送源的响应。3.而发送源则不向目标设备回复TCP ACK 数据包，这样导致目标设备一致处于等待状态。4.如果 TCP 半连接很多，会把目标设备的资源(TCB) 耗尽，而不能响应正常的TCP 连接请求。，从而完成拒绝服务的TCP SYN 洪水攻击。TCP 拦截特性可以防止TCP 的 SYN 洪水攻击。 TCP 拦截特性的两种模式：3文档来源为 :从网络收集整理.word 版本可编辑

8、.欢迎下载支持.1.拦截 (intercept) ：软件将主动拦截每个进站的TCP 连接请求 (TCP SYN) ，并以服务器的身份，以 TCP ACK 数据包进行回复，然后等待来自客户机的TCP ACK 数据包。当再次收到客户机的 TCP ACK 数据包后，最初的TCP SYN 数据包被移交给真正的服务器，软件进行TCP三次握手，建立TCP 连接。2.监控 (watch) ：进站的 TCP 连接请求 (TCP SYN) 允许路由器移交给服务器，但是路由器将对连接进行监控，直到TCP 连接建立完成。如果30 秒内 TCP 连接建立不成功，路由器将发送重置 (Reset)信号给服务器，服务器将清

9、除TCP 半连接。Configuring TCP Intercepting配置 TCP 拦截的步骤如下：1.定义 IP 扩展 ACL ：BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutesdeny|permit tcp source source-wildcard destination destination-wildcard2.启用 TCP 拦截：BitsCN(config)#ip tcp intercept list ACL3.定义 TCP 拦截模式，默认为拦截模式。可选：Bi

10、tsCN(config)#ip tcp intercept mode intercept|watch4.定义 TCP 拦截的切断模式，默认为切断最老的TCP 连接。可选：BitsCN(config)#ip tcp intercept drop-mode oldest|random5.定义 TCP 拦截监控的超时时间，默认为30 秒。可选：4文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.BitsCN(config)#ip tcp intercept watch-timeout seconds6.定义即使TCP 连接不再活动，系统管理TCP 连接的时间长度。默认时间长度为24

11、 小时。可选：BitsCN(config)#ip tcp intercept connection-timeout secondsMonitoring and Maintaining TCP Intercepting一些辅助性的命令：1.显示 TCP 连接信息：BitsCN#show tcp intercept connections2.显示 TCP 拦截的统计信息：BitsCN#show tcp intercept statistics自反 ACL 可以基于上层信息过滤IP 流量。可以使用自反ACL 实现流量的单向穿越。自反ACL 只能通过命名扩展ACL 来定义。Configuring Re

12、flexive ACL配置自反 ACL 的步骤如下：1.定义命名扩展ACL ：BitsCN(config)#ip access-list extended name2.定义自反ACL ：5文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.BitsCN(config-ext-nacl)#permit protocol any any reflect name timeout seconds3.嵌套自反ACL ：BitsCN(config-ext-nacl)#evaluate name4.应用自反ACL ：BitsCN(config-if)#ip access-group nam

13、e in|out5.全局定义自反ACL 的超时时间。可选：BitsCN(config)#ip reflexive-list timeout secondsCase 2路由器 B 连接的网段，路由器 B 的串行接口所连的；允许到达外部区域的TCP 和 UDP 信息；而不允许进入内部区域的TCP 和 UDP 信息路由器 B 配置如下：!ip access-list extended inboundpermit eigrp any anypermit icmp any anyevaluate BitsCNip access-list extended outboundpermit eigrp any

14、 anypermit icmp any anypermit tcp any any reflect BitsCNpermit udp any any reflect BitsCN!interface Ethernet0description this document is written by *description powered by BitsCNip addressip access-group inbound in6文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.ip access-group outbound outIP 访问控制列表算是Cisco IOS一个

15、内在的security feature，以下是对常用的动态访问控制列表做了个总结。Pt.1 Lock-and-Key SecurityLock-and-Key Overviewlock-and-key动态 ACL 使用 IP 动态扩展 ACL 过滤 IP 流量。当配置了lock-and-key动态 ACL 之后，临时被拒绝掉的IP 流量可以获得暂时性的许可。lock-and-key动态 ACL 临时修改路由器接口下已经存在的ACL ，来允许 IP 流量到达目标设备。之后 lock-and-key动态 ACL 把接口状态还原。通过 lock-and-key 动态 ACL 获得访问目标设备权限的用

16、户，首先要开启到路由器的 telnet 会话。接着 lock-and-key 动态 ACL 自动对用户进行认证。如果认证通过，那么用户就获得了临时性的访问权限。Configuring Lock-and-Key配置 lock-and-key动态 ACL 的步骤如下：1.设置动态 ACL ：BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutes deny|permit telnet source source-wildcard destination destination-wildcar

17、d2.扩展动态 ACL 的绝对计时器。可选：BitsCN(config)# access-list dynamic-extend3.定义需要应用ACL 的接口：BitsCN(config)#interface interface4.应用 ACL ：BitsCN(config-if)#ip access-group ACL5.定义 VTY 线路：BitsCN(config)#line vty line-number ending-line-number7文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.6.对用户进行认证：BitsCN(config)#username user

18、name password password7.采用 TACACS 认证或本地认证方式。可选：BitsCN(config-line)#login tacacs|local8.创建临时性的访问许可权限，如果没有定义参数host ，默认为所有主机：BitsCN(config-line)#autocommand access-enable host timeout minutesCase 1在 5 分钟内开启到，如果认证成功，对用户给予120 秒的访问许可权：!interface Ethernet0description this document is written by *descriptio

19、n powered by BitsCNip addressip access-group 101 in!access-list 101 permit tcp any hosteq telnetaccess-list 101 dynamic BitsCN timeout 120 permit ip any any!line vty 0 4login tacacsautocommand access-enable timeout 5!8文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.Monitoring and Maintaining Lock-and-Key查看 ACL 信息

20、：BitsCN#show access-listsPt.2 TCP InterceptingTCP Intercepting Overview一般情况下， TCP 连接的建立需要经过三次握手的过程：1.建立发起者向目标计算机发送一个TCP SYN 数据包。2.目标计算机收到这个TCP SYN 数据包后， 在内存中创建 TCP 连接控制块 (TCB) ，然后向发送源回复一个TCP确认 (ACK) 数据包，等待发送源的响应。3.发送源收到 TCP ACK数据包后，再以一个TCP ACK数据包， TCP 连接成功。TCP SYN 洪水攻击的过程：1.攻击者向目标设备发送一个TCP SYN 数据包。2

21、.目标设备收到这个 TCP SYN数据包后，建立TCB ，并以一个 TCP ACK 数据包进行响应，等待发送源的响应。3.而发送源则不向目标设备回复TCP ACK 数据包，这样导致目标设备一致处于等待状态。4.如果 TCP 半连接很多，会把目标设备的资源(TCB) 耗尽，而不能响应正常的TCP 连接请求。，从而完成拒绝服务的TCP SYN 洪水攻击。TCP 拦截特性可以防止TCP 的 SYN 洪水攻击。 TCP 拦截特性的两种模式：1.拦截 (intercept)：软件将主动拦截每个进站的TCP 连接请求 (TCP SYN) ，并以服务器的身份，以 TCP ACK数据包进行回复，然后等待来自客

22、户机的TCP ACK 数据包。当再次收到客户机的 TCP ACK 数据包后，最初的 TCP SYN 数据包被移交给真正的服务器，软件进行 TCP 三次握手，建立TCP 连接。2.监控 (watch) ：进站的 TCP 连接请求 (TCP SYN) 允许路由器移交给服务器，但是路由器将对连接进行监控，直到TCP 连接建立完成。如果30 秒内 TCP 连接建立不成功，路由器将发送重置 (Reset) 信号给服务器，服务器将清除TCP 半连接。9文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.Configuring TCP Intercepting配置 TCP 拦截的步骤如下：1

23、.定义 IP 扩展 ACL ：BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutes deny|permit tcp source source-wildcard destination destination-wildcard2.启用 TCP 拦截：BitsCN(config)#ip tcp intercept list ACL3.定义 TCP 拦截模式，默认为拦截模式。可选：BitsCN(config)#ip tcp intercept mode intercept|watch4.

24、定义 TCP 拦截的切断模式，默认为切断最老的TCP 连接。可选：BitsCN(config)#ip tcp intercept drop-mode oldest|random5.定义 TCP 拦截监控的超时时间，默认为30 秒。可选：BitsCN(config)#ip tcp intercept watch-timeout seconds6.定义即使 TCP 连接不再活动，系统管理TCP 连接的时间长度。默认时间长度为24小时。可选：BitsCN(config)#ip tcp intercept connection-timeout secondsMonitoring and Maintaining TCP Intercepting一些辅助性的命令：1.显示 TCP 连接信息：BitsCN#show tcp intercept connections2.显示 TCP 拦截的统计信息：BitsCN#show tcp intercept statistics10文档来源为 :从网络收集整理.word 版本可编辑 .欢迎下载支持.自反 ACL 可以基于上层信息过滤IP 流量。可以使用自反ACL 实现流量的单向穿越。自反 ACL 只能通过命名扩展ACL 来定义。Configuring Reflexive ACL配置自反 ACL