思科路由器自反访问控制列表-utm168-ChinaUnix博客

Linux 系统管理utm168.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

utm168

博客访问： 871346
博文数量： 275
博客积分： 3904
博客等级：中校
技术积分： 4605
用户组：普通用户
注册时间： 2012-04-17 21:10

文章分类

全部博文（275）

未分配的博文（275）

文章存档

2014年（9）

2013年（124）

2012年（142）

我的朋友

相关博文

思科路由器自反访问控制列表

分类：系统运维

2013-07-10 11:08:21

IP:
F0/0:192.168.0.1/24
F0/1:192.168.1.1/24
PC1:192.168.0.18/24
PC2:192.168.1.18/24

Router#sh run
Building configuration...

Current configuration : 955 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
!
memory-size iomem 15
subnet-zero
!
!
!
!
!
!
voice call carrier capacity active
!
!
!
!
!
!
!
!
!
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip access-group infilter in
ip access-group outfilter out
duplex auto
speed auto
!
ip classless
ip http server
!
!
ip access-list extended infilter
evaluate test
deny   ip any 192.168.1.0 0.0.0.255
ip access-list extended outfilter
permit tcp 192.168.0.0 0.0.0.255 any reflect test
permit udp 192.168.0.0 0.0.0.255 any reflect test
permit icmp 192.168.0.0 0.0.0.255 any reflect test
!
!
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Router#
自反表是CISCO提供给企业网络的一种较强的安全手段，利用自反表可以很好的保护企业内部网络，免受外部非法用户的攻击。

自反访问表的基本的工作原理是:
只能由内部网络始发的，外部网络的响应可以进入，
由外部网络始发的流量如果没有明确的允许，是禁止进入的。

1)Reflexive-ACL的工作流程：

a.由内网始发的流量到达配置了自反访问表的，根据此流量的第三层和第四层信息自动生成一个临时性的访问表，
临时性访问表的创建依据下列原则：
protocol不变，
source-IP地址 , destination-IP地址严格对调，
source-port,destination-port严格对调，
对于ICMP这样的协议，会根据类型号进行匹配。

b.路由器将此流量传出，流量到达目标，然后响应流量从目标返回到配置了自反访问表的路由器。

c.路由器对入站的响应流量进行评估，只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问表的第三、四层
信息严格匹配时，路由器才会允许此流量进入内部网络。

2)自反访问表的超时：

a.对于TCP流量，当下列三种情况中任何一种出现时，才会删除临时性的访问表：
a)两个连续的FIN标志被检测到，之后5秒钟删除。

在正常情况下，TCP在断开连接时需要经历四次握手:

TCP是一个双向的协议,前两次握手，断开从source到destination的连接，
后两次握手，断开从destination到source的连接。

　临时性访问表的删除之所以要延迟5秒，是为了给TCP连接的断开一个缓冲的时间，保证TCP能够平滑的断开连接。

b)RST标志被检测到，立即删除。
c)配置的空闲超时值到期(缺省是300秒)。

b.对于UDP，由于没有各种标志，所以只有当配置的空闲超时值(300秒)到期才会删除临时性的访问表。

3)解决自反访问表对FTP的缺陷：

FTP的两种模式：
a)standard-mode(标准模式):

　　　　
标准模式的特点：
1)ftp-server端使用两个wellknown端口，21和20 , 21号端口为信道，20号端口为数据信息。
2)数据由ftp-server端始发。

b)passive-mode(被动模式):

被动模式的特点：
1)ftp-server端使用一个wellknown端口和一个 >1024的随机端口，此例中为21和1800 , 21号端口为控制信道，1800号端口为数据信息。
2)数据由ftp-client端始发。

通过以上分析，我们发现对于被动模式的FTP，自反访问表可以正常工作(因为数据是由ftp-client端始发)
但是对于标准模式的FTP，自反访问表将不能正常工作
(因为数据由ftp-server端从20号端口始发，当ftp-server向client返回数据时，与临时性访问表不匹配)

利用ACL解决自反访问表对于FTP的缺陷:

例:

允许由内部192.168.10.0/24始发的HTTP，SMTP, TCP流量可以出去, 其余的流量全部拒绝。

RA:
!
ip access-list extended OUTBOUND
permit tcp 192.168.10.0 0.0.0.255 any eq www reflect CISCO
permit tcp 192.168.10.0 0.0.0.255 any eq smtp reflect CISCO
permit tcp 192.168.10.0 0.0.0.255 any eq reflect CISCO
!
!
ip access-list extended INBOUND
permit tcp any eq ftp-data 192.168.10.0 0.0.0.255
evaluate CISCO
!
int s0
ip access-group OUBOUND out
ip access-group INBOUND in
!
ip reflexive-list timeout 300 (设置临时性访问条目的生存期，缺省为300秒)

阅读(978) | 评论(0) | 转发(0) |

上一篇：思科交换机VLAN之间的ACL配置

下一篇：WEP、WPA和WPA2 区别

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6