思科认证：ACL管理网络利器

会计考友

思科认证：ACL管理网络利器
5 B6 _& c5 M+ t+ B$ j笔者地址的单元由一台路由器将两个以太网段毗连到Internet上，路由器经由过程串行端口S0连到Internet上，而以太网分袂经由过程端口E0和 E1连到路由器上。假设我们但愿许可任何用户都能经由过程IP访谒198.78.46.12处事器，并许可205.131.175.0收集上的用户经由过程Web 浏览和FTP访谒Internet.                  
- x  v6 X6 c- R# P　　                  
" s6 {6 Z6 J/ f3 `4 e/ r　　设置装备摆设如下：                  
$ s( b: B* D5 _, q. H　　                  
　　useranme test password cisco                  
8 g9 u  e. \. C0 \" W5 `　　                  
　　!                  
5 M! t' S9 x8 Q& L+ p& k/ h0 P　　                  
( p) D" p4 ?* L" A4 A　　int serial 0                  
0 |& Y* R0 G4 A9 |. K　　                  
　　IP add 175.10.1.1 255.255.255.0                  
$ f: L9 U+ x) p( h　　                  
$ V# X* f; G; @; ^5 \/ o, `- C　　IP access-group 100 in                  
9 N* ~+ o1 N9 C3 j# I" V& m) S7 {0 Q3 B　　                  
　　!                  
  ~0 D* T% ?# Z7 I) E　　                  
3 k; ]. Q9 J8 l　　access-list 100 permit TCP any host 175.10.1.1 eq telnet                  
1 ]0 |* C9 F- u$ T7 u" |　　                  
3 `% I: ^+ \( l( h7 G7 A　　access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023                  
7 F, d, C- s. m: ~: H  z. d9 O　　                  
　　access-list 100 permit TCP any eq 21 205.131.175.0 0.0.0.255 gt 1023 established                  
　　                  
/ }% E' a, z& b: A% U　　access-list 100 permit TCP any eq 80 205.131.175.0 0.0.0.255 gt 1023 established                  
　　                  
　　access-list 100 permit TCP any eq 20 205.131.175.0 0.0.0.255 gt 1023                  
# @9 j$ N+ F+ ~: E　　                  
　　access-list 100 dynamic test timeout 180 permit IP any host 198.76.46.12 log                  
　　                  
　　!                  
9 F# d6 Y( X, T7 p  ^/ R　　                  
　　logging buffered 64000                  
: \! _( j# t5 ~% b) p2 S7 |. H0 n: `　　                  
　　!                  
+ q! j2 D0 }& |1 k+ u* X　　                  
　　line vty 0 2                  
" v8 M( b" P/ F9 G- n8 k8 y　　                  
3 I9 `2 K. Q$ f* ~" B! u　　login local                  
9 S0 c3 c9 x6 P　　                  
0 \! X! _' u9 \! @7 ]5 Y) c' C9 {　　autocommand access-enable host timeout 10                  
& ~. N0 A2 o; K　　                  
　　line vty 3 4                  
1 L) {" r6 C& Z　　                  
　　login local                  
　　                  
! D  K* e" @% Q! l　　rotary 1                  
# Z! v2 v1 M% Q" v2 t$ i　　                  
( m/ b* Y/ n& J. x" [: n& M　　注重：访谒表被应用到了串行端口上，将扩展访谒表应用到距离过滤源比来的处所，这是一种很好的体例。                  
# e2 e! l% u- r0 B6 w; s' ~　　                  
　　在本例中，我们的目的是要过滤Internet上的主机，所以串行端口是路由器上距离被过滤主机比来的端口，访谒表应用的标的目的是向内的，因为通衢由器的角度 看来， 从Internet来的报文昵圜向路由器的，如不美观我们将访谒列表应用成向外的访谒，则过滤的报文将是分开串行接口而通往Internet的报文，而这并非 我们所但愿的。此外，我们还成立了一个用户名"test",它可以用来访谒路由器。在现实应用中，我们应该为每个用户成立一对用户名和口令。此刻，让我们 剖析访谒列表的每一个表项：                  
9 K+ V5 X, G( @　　                  
　　第一个表项许可从任何源I P地址来的报文达到主机175.10.1.1,如不美观其方针端口为telnet的话，我们现实上许可了向内的telnet毗连到路由器的串行接口。我们可以 许可向内的telnet毗连到路由器的其他IP地址，但只许可向内访谒路由器的串行接口是一种最佳的选择。                  
: L9 U3 j( o& _  g% r　　第二个表项许可从任何源I P地址来的报文，如不美观其源端口是域名系统，且方针收集位于205.131. 175.0/24,目的端口大于1023的话，这将许可DNS应答达到202.131.175.0/24收集。所有有用DNS请求的源端口应该为1024 或更大，是以有用DNS的应答就应发送到此1024或更高的端口。如不美观我们不指定目的端口大于1023,则抨击袭击者可以从源端口53发送UDP报文达到我们 的收集，从而导致对内部处事器的拒绝处事（denia l-of-service, DOS）抨击袭击。大量的处事器端口都处于小于1024的保留区间内，所以我们应梗阻目的端口小于1024的报文，以封锁潜在的平安裂痕。                  
9 N. i' v7 b. v5 l6 w　　                  
　　第三和第四 个表项许可具有如下特征的报文进入：源端口为www或FTP,方针位于205.131.175.0/24收集，方针端口大于1023,且TCP头中设置了 ACK和RST位。这两个表项许可由内部主机倡议的WWW和FTP会话的返回报文。指定源端口和目的端口的原因与第二个表项不异。使用 established意味着只有设置了应答位（ack）和复位位（est）的报文才能够匹配并许可经由过程访谒表项。只有那些已经成立了TCP会话的报文才 会设置这些位，这样增添了访谒表的平安条理。值得注重的是，抨击袭击者很轻易在向内的报文中手工设置这些位，所以这种检测是十分炊单的。但如不美观内部收集采用正确的TCP/IP和谈栈，它们就会忽略这些带ack和est位的向内报文，因为它们不是主机上正当TCP会话的一部 分，这就是为什么established关头字仍然十分主要的原因。                  
+ h% r3 b' G8 g+ c' v+ \　　                  
, E, `! C% d+ f( u8 S+ k+ K1 n# k　　注重：这种磨练对UDP报文是无用的，这就是为什么在第二个访谒表项中没有该关头字的原因。                  
* ^2 A+ C3 {; }' Z　　                  
　　第五个表项许可那些源端口为20的任何主机向内报文达到收集205.131.175.0/24的主机，如不美观其目的端口大于1023的话，许可那些由内部主机 倡议的FTP部门数据的报文毗连到内部主机。FTP和谈实现的尺度实现需要FTP处事器发还也述到源FTP客户机毗连。该毗连的初始报文没有设置ack或 rst位，所以我们在表项中不能使用established关头字。有一种版本的FTP称为被动模式（passive mode）的FTP,它不需要处事器倡议一个向源FTP客户机的毗连。在这种模式的FTP中，客户机需要倡议到FTP处事器非20端口的另一个毗连，该端 口是大于1023的一种随机选择。我们许可所有大于1023TCP端口的报文经由过程，是因为我们不能进一步确定FTP处事器会选择哪一个端口（被动模式 FTP处事器的数据端口不为20,这与通俗模式FTP是分歧的）。尽管我们不能让该表项如我们所但愿的那样切当，established关头字仍能使该表 项比许可外部倡议向内部收集的会话要平安一些。                  
　　                  
　　第六个表项（也是最后一个表项）为动态访谒表项，它许可来自被认证主机的报文达各处事器 198.78.46.12.我们界说的绝对超不时刻为3小时（180分钟），并对该表项进行了日志记实（我们还开启了路由器缓冲区的日志）。经由过程将匹配动 态表项的报文进行记实，我们可以跟踪用户的行为，并成立一个通俗的基线。这样，我们可以发现不正常的行为，并由此判定这是否是由抨击袭击者发生的。我们还将动 态访谒表项的余暇时刻设置成了10分钟，这是在vty线设置装备摆设中经由过程autocommand设置的。最好是将这两个值都设上，这样我们能削减动态表项处于活 跃状况的时刻，是以也削减了抨击袭击者打破动态表项的可能性。                  
　　                  
! V% C! T) [. ~- H" z: r　　余暇计时骥在没有一个报文匹配动态访谒表项时进行复位，而绝对计时骥是不复位的，即使也述会话仍然处于活跃状况，如不美观绝对超时达到，动态表项就会被删除， 用户需要再经由一个认证过程。如不美观他们有经由路由器的活跃会话，这些会话将被终止。是以，建议将绝对超时设置得相对大一些，一般为一个小时或更长一些时 间。但我们应该将余暇时刻设置得小一些，一般为10分钟或更短的时刻。笔者认为，不应将余暇时刻的设置大于30分钟。