思科认证:ACL管理网络利器
5 B6 _& c5 M+ t+ B$ j笔者地址的单元由一台路由器将两个以太网段毗连到Internet上,路由器经由过程串行端口S0连到Internet上,而以太网分袂经由过程端口E0和 E1连到路由器上。假设我们但愿许可任何用户都能经由过程IP访谒198.78.46.12处事器,并许可205.131.175.0收集上的用户经由过程Web 浏览和FTP访谒Internet.
- x v6 X6 c- R# P
" s6 {6 Z6 J/ f3 `4 e/ r 设置装备摆设如下:
$ s( b: B* D5 _, q. H ; H6 g' f; R9 `" a+ [, m
useranme test password cisco
8 g9 u e. \. C0 \" W5 ` : _' @( D9 H! K1 U6 m8 u
!
5 M! t' S9 x8 Q& L+ p& k/ h0 P
( p) D" p4 ?* L" A4 A int serial 0
0 |& Y* R0 G4 A9 |. K ; E( R% r2 N. E( i6 g% p
IP add 175.10.1.1 255.255.255.0
$ f: L9 U+ x) p( h
$ V# X* f; G; @; ^5 \/ o, `- C IP access-group 100 in
9 N* ~+ o1 N9 C3 j# I" V& m) S7 {0 Q3 B & k" ^( e1 t1 b* P# L8 N# M
!
~0 D* T% ?# Z7 I) E
3 k; ]. Q9 J8 l access-list 100 permit TCP any host 175.10.1.1 eq telnet
1 ]0 |* C9 F- u$ T7 u" |
3 `% I: ^+ \( l( h7 G7 A access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
7 F, d, C- s. m: ~: H z. d9 O 6 U! I9 s) D0 C; a
access-list 100 permit TCP any eq 21 205.131.175.0 0.0.0.255 gt 1023 established " f# a4 G' \" E
/ }% E' a, z& b: A% U access-list 100 permit TCP any eq 80 205.131.175.0 0.0.0.255 gt 1023 established : }' X6 {' E" P) F. G. s
& V$ a3 g1 r8 u" ^0 m. k
access-list 100 permit TCP any eq 20 205.131.175.0 0.0.0.255 gt 1023
# @9 j$ N+ F+ ~: E % V+ T( C" r$ }. B
access-list 100 dynamic test timeout 180 permit IP any host 198.76.46.12 log : R! E2 F& K! p+ x+ a& r" h+ \
/ g: x* ?: u X' d% b7 K5 X
!
9 F# d6 Y( X, T7 p ^/ R $ I& j' t4 b/ B- e
logging buffered 64000
: \! _( j# t5 ~% b) p2 S7 |. H0 n: ` ( Q) ~/ q( l, q- H
!
+ q! j2 D0 }& |1 k+ u* X . k1 u4 l8 F7 _6 N. K2 ?' m7 S
line vty 0 2
" v8 M( b" P/ F9 G- n8 k8 y
3 I9 `2 K. Q$ f* ~" B! u login local
9 S0 c3 c9 x6 P
0 \! X! _' u9 \! @7 ]5 Y) c' C9 { autocommand access-enable host timeout 10
& ~. N0 A2 o; K 5 E" v, J4 V; X8 M2 |5 K
line vty 3 4
1 L) {" r6 C& Z 3 e6 G2 a5 q; D1 ?4 K# k) V
login local * h* p! v5 ^% a3 T
! D K* e" @% Q! l rotary 1
# Z! v2 v1 M% Q" v2 t$ i
( m/ b* Y/ n& J. x" [: n& M 注重:访谒表被应用到了串行端口上,将扩展访谒表应用到距离过滤源比来的处所,这是一种很好的体例。
# e2 e! l% u- r0 B6 w; s' ~ , U* H6 s. K6 b( K N) ^
在本例中,我们的目的是要过滤Internet上的主机,所以串行端口是路由器上距离被过滤主机比来的端口,访谒表应用的标的目的是向内的,因为通衢由器的角度 看来, 从Internet来的报文昵圜向路由器的,如不美观我们将访谒列表应用成向外的访谒,则过滤的报文将是分开串行接口而通往Internet的报文,而这并非 我们所但愿的。此外,我们还成立了一个用户名"test",它可以用来访谒路由器。在现实应用中,我们应该为每个用户成立一对用户名和口令。此刻,让我们 剖析访谒列表的每一个表项:
9 K+ V5 X, G( @ 3 X1 j. A6 o4 b e% V" w
第一个表项许可从任何源I P地址来的报文达到主机175.10.1.1,如不美观其方针端口为telnet的话,我们现实上许可了向内的telnet毗连到路由器的串行接口。我们可以 许可向内的telnet毗连到路由器的其他IP地址,但只许可向内访谒路由器的串行接口是一种最佳的选择。
: L9 U3 j( o& _ g% r 第二个表项许可从任何源I P地址来的报文,如不美观其源端口是域名系统,且方针收集位于205.131. 175.0/24,目的端口大于1023的话,这将许可DNS应答达到202.131.175.0/24收集。所有有用DNS请求的源端口应该为1024 或更大,是以有用DNS的应答就应发送到此1024或更高的端口。如不美观我们不指定目的端口大于1023,则抨击袭击者可以从源端口53发送UDP报文达到我们 的收集,从而导致对内部处事器的拒绝处事(denia l-of-service, DOS)抨击袭击。大量的处事器端口都处于小于1024的保留区间内,所以我们应梗阻目的端口小于1024的报文,以封锁潜在的平安裂痕。
9 N. i' v7 b. v5 l6 w * |2 T: J) k) u- Z0 U( [& U, M
第三和第四 个表项许可具有如下特征的报文进入:源端口为www或FTP,方针位于205.131.175.0/24收集,方针端口大于1023,且TCP头中设置了 ACK和RST位。这两个表项许可由内部主机倡议的WWW和FTP会话的返回报文。指定源端口和目的端口的原因与第二个表项不异。使用 established意味着只有设置了应答位(ack)和复位位(est)的报文才能够匹配并许可经由过程访谒表项。只有那些已经成立了TCP会话的报文才 会设置这些位,这样增添了访谒表的平安条理。值得注重的是,抨击袭击者很轻易在向内的报文中手工设置这些位,所以这种检测是十分炊单的。但如不美观内部收集采用正确的TCP/IP和谈栈,它们就会忽略这些带ack和est位的向内报文,因为它们不是主机上正当TCP会话的一部 分,这就是为什么established关头字仍然十分主要的原因。
+ h% r3 b' G8 g+ c' v+ \
, E, `! C% d+ f( u8 S+ k+ K1 n# k 注重:这种磨练对UDP报文是无用的,这就是为什么在第二个访谒表项中没有该关头字的原因。
* ^2 A+ C3 {; }' Z 9 m8 D0 {% {! J
第五个表项许可那些源端口为20的任何主机向内报文达到收集205.131.175.0/24的主机,如不美观其目的端口大于1023的话,许可那些由内部主机 倡议的FTP部门数据的报文毗连到内部主机。FTP和谈实现的尺度实现需要FTP处事器发还也述到源FTP客户机毗连。该毗连的初始报文没有设置ack或 rst位,所以我们在表项中不能使用established关头字。有一种版本的FTP称为被动模式(passive mode)的FTP,它不需要处事器倡议一个向源FTP客户机的毗连。在这种模式的FTP中,客户机需要倡议到FTP处事器非20端口的另一个毗连,该端 口是大于1023的一种随机选择。我们许可所有大于1023TCP端口的报文经由过程,是因为我们不能进一步确定FTP处事器会选择哪一个端口(被动模式 FTP处事器的数据端口不为20,这与通俗模式FTP是分歧的)。尽管我们不能让该表项如我们所但愿的那样切当,established关头字仍能使该表 项比许可外部倡议向内部收集的会话要平安一些。 3 L5 r& T1 ^( G- G5 \
3 u, k3 {& P7 e% u
第六个表项(也是最后一个表项)为动态访谒表项,它许可来自被认证主机的报文达各处事器 198.78.46.12.我们界说的绝对超不时刻为3小时(180分钟),并对该表项进行了日志记实(我们还开启了路由器缓冲区的日志)。经由过程将匹配动 态表项的报文进行记实,我们可以跟踪用户的行为,并成立一个通俗的基线。这样,我们可以发现不正常的行为,并由此判定这是否是由抨击袭击者发生的。我们还将动 态访谒表项的余暇时刻设置成了10分钟,这是在vty线设置装备摆设中经由过程autocommand设置的。最好是将这两个值都设上,这样我们能削减动态表项处于活 跃状况的时刻,是以也削减了抨击袭击者打破动态表项的可能性。 & @, B5 c+ G* O
! V% C! T) [. ~- H" z: r 余暇计时骥在没有一个报文匹配动态访谒表项时进行复位,而绝对计时骥是不复位的,即使也述会话仍然处于活跃状况,如不美观绝对超时达到,动态表项就会被删除, 用户需要再经由一个认证过程。如不美观他们有经由路由器的活跃会话,这些会话将被终止。是以,建议将绝对超时设置得相对大一些,一般为一个小时或更长一些时 间。但我们应该将余暇时刻设置得小一些,一般为10分钟或更短的时刻。笔者认为,不应将余暇时刻的设置大于30分钟。 |