動態(tài)ACL配置詳解_第1頁
動態(tài)ACL配置詳解_第2頁
動態(tài)ACL配置詳解_第3頁
動態(tài)ACL配置詳解_第4頁
動態(tài)ACL配置詳解_第5頁
已閱讀5頁,還剩7頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.IP 訪問控制列表算是Cisco IOS 一個(gè)內(nèi)在的security feature ,以下是對常用的動態(tài)訪問控制列表做了個(gè)總結(jié)。Pt.1 Lock-and-Key SecurityLock-and-Key Overviewlock-and-key 動態(tài) ACL 使用 IP 動態(tài)擴(kuò)展 ACL 過濾 IP 流量。當(dāng)配置了lock-and-key 動態(tài) ACL之后,臨時(shí)被拒絕掉的IP 流量可以獲得暫時(shí)性的許可。lock-and-key 動態(tài) ACL 臨時(shí)修改路由器接口下已經(jīng)存在的ACL ,來允許 IP 流量到達(dá)目標(biāo)設(shè)備。之后 lo

2、ck-and-key 動態(tài) ACL 把接口狀態(tài)還原。通過 lock-and-key 動態(tài) ACL 獲得訪問目標(biāo)設(shè)備權(quán)限的用戶,首先要開啟到路由器的telnet會話。接著lock-and-key 動態(tài) ACL 自動對用戶進(jìn)行認(rèn)證。如果認(rèn)證通過,那么用戶就獲得了臨時(shí)性的訪問權(quán)限。Configuring Lock-and-Key配置 lock-and-key 動態(tài) ACL 的步驟如下:1.設(shè)置動態(tài)ACL :BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutesdeny|permit teln

3、et source source-wildcard destination destination-wildcard2.擴(kuò)展動態(tài)ACL 的絕對計(jì)時(shí)器??蛇x:BitsCN(config)# access-list dynamic-extend3.定義需要應(yīng)用ACL 的接口:BitsCN(config)#interface interface1文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.4.應(yīng)用 ACL :BitsCN(config-if)#ip access-group ACL5.定義 VTY 線路:BitsCN(config)#line vty line-number

4、ending-line-number6.對用戶進(jìn)行認(rèn)證:BitsCN(config)#username username password password7.采用 TACACS 認(rèn)證或本地認(rèn)證方式??蛇x:BitsCN(config-line)#login tacacs|local8.創(chuàng)建臨時(shí)性的訪問許可權(quán)限,如果沒有定義參數(shù)host,默認(rèn)為所有主機(jī):BitsCN(config-line)#autocommand access-enable host timeout minutesCase 1在 5 分鐘內(nèi)開啟到,如果認(rèn)證成功,對用戶給予120 秒的訪問許可權(quán):!interface Ether

5、net0description this document is written by *description powered by BitsCNip addressip access-group 101 in!access-list 101 permit tcp any host eq telnet access-list 101 dynamic BitsCN timeout 120 permit ipany any!line vty 0 4login tacacs2文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.autocommand access-enable ti

6、meout 5!Monitoring and Maintaining Lock-and-Key查看 ACL 信息:BitsCN#show access-listsPt.2 TCP InterceptingTCP Intercepting Overview一般情況下, TCP 連接的建立需要經(jīng)過三次握手的過程:1.建立發(fā)起者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCP SYN 數(shù)據(jù)包。2.目標(biāo)計(jì)算機(jī)收到這個(gè)TCP SYN 數(shù)據(jù)包后,在內(nèi)存中創(chuàng)建TCP 連接控制塊 (TCB) ,然后向發(fā)送源回復(fù)一個(gè)TCP 確認(rèn) (ACK) 數(shù)據(jù)包,等待發(fā)送源的響應(yīng)。3.發(fā)送源收到TCP ACK 數(shù)據(jù)包后,再以一個(gè)TCP ACK 數(shù)

7、據(jù)包, TCP 連接成功。TCP SYN 洪水攻擊的過程:1.攻擊者向目標(biāo)設(shè)備發(fā)送一個(gè)TCP SYN 數(shù)據(jù)包。2.目標(biāo)設(shè)備收到這個(gè)TCP SYN 數(shù)據(jù)包后,建立TCB ,并以一個(gè)TCP ACK 數(shù)據(jù)包進(jìn)行響應(yīng),等待發(fā)送源的響應(yīng)。3.而發(fā)送源則不向目標(biāo)設(shè)備回復(fù)TCP ACK 數(shù)據(jù)包,這樣導(dǎo)致目標(biāo)設(shè)備一致處于等待狀態(tài)。4.如果 TCP 半連接很多,會把目標(biāo)設(shè)備的資源(TCB) 耗盡,而不能響應(yīng)正常的TCP 連接請求。,從而完成拒絕服務(wù)的TCP SYN 洪水攻擊。TCP 攔截特性可以防止TCP 的 SYN 洪水攻擊。 TCP 攔截特性的兩種模式:3文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯

8、.歡迎下載支持.1.攔截 (intercept) :軟件將主動攔截每個(gè)進(jìn)站的TCP 連接請求 (TCP SYN) ,并以服務(wù)器的身份,以 TCP ACK 數(shù)據(jù)包進(jìn)行回復(fù),然后等待來自客戶機(jī)的TCP ACK 數(shù)據(jù)包。當(dāng)再次收到客戶機(jī)的 TCP ACK 數(shù)據(jù)包后,最初的TCP SYN 數(shù)據(jù)包被移交給真正的服務(wù)器,軟件進(jìn)行TCP三次握手,建立TCP 連接。2.監(jiān)控 (watch) :進(jìn)站的 TCP 連接請求 (TCP SYN) 允許路由器移交給服務(wù)器,但是路由器將對連接進(jìn)行監(jiān)控,直到TCP 連接建立完成。如果30 秒內(nèi) TCP 連接建立不成功,路由器將發(fā)送重置 (Reset)信號給服務(wù)器,服務(wù)器將清

9、除TCP 半連接。Configuring TCP Intercepting配置 TCP 攔截的步驟如下:1.定義 IP 擴(kuò)展 ACL :BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutesdeny|permit tcp source source-wildcard destination destination-wildcard2.啟用 TCP 攔截:BitsCN(config)#ip tcp intercept list ACL3.定義 TCP 攔截模式,默認(rèn)為攔截模式??蛇x:Bi

10、tsCN(config)#ip tcp intercept mode intercept|watch4.定義 TCP 攔截的切斷模式,默認(rèn)為切斷最老的TCP 連接??蛇x:BitsCN(config)#ip tcp intercept drop-mode oldest|random5.定義 TCP 攔截監(jiān)控的超時(shí)時(shí)間,默認(rèn)為30 秒??蛇x:4文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.BitsCN(config)#ip tcp intercept watch-timeout seconds6.定義即使TCP 連接不再活動,系統(tǒng)管理TCP 連接的時(shí)間長度。默認(rèn)時(shí)間長度為24

11、 小時(shí)??蛇x:BitsCN(config)#ip tcp intercept connection-timeout secondsMonitoring and Maintaining TCP Intercepting一些輔助性的命令:1.顯示 TCP 連接信息:BitsCN#show tcp intercept connections2.顯示 TCP 攔截的統(tǒng)計(jì)信息:BitsCN#show tcp intercept statistics自反 ACL 可以基于上層信息過濾IP 流量??梢允褂米苑碅CL 實(shí)現(xiàn)流量的單向穿越。自反ACL 只能通過命名擴(kuò)展ACL 來定義。Configuring Re

12、flexive ACL配置自反 ACL 的步驟如下:1.定義命名擴(kuò)展ACL :BitsCN(config)#ip access-list extended name2.定義自反ACL :5文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.BitsCN(config-ext-nacl)#permit protocol any any reflect name timeout seconds3.嵌套自反ACL :BitsCN(config-ext-nacl)#evaluate name4.應(yīng)用自反ACL :BitsCN(config-if)#ip access-group nam

13、e in|out5.全局定義自反ACL 的超時(shí)時(shí)間??蛇x:BitsCN(config)#ip reflexive-list timeout secondsCase 2路由器 B 連接的網(wǎng)段,路由器 B 的串行接口所連的;允許到達(dá)外部區(qū)域的TCP 和 UDP 信息;而不允許進(jìn)入內(nèi)部區(qū)域的TCP 和 UDP 信息路由器 B 配置如下:!ip access-list extended inboundpermit eigrp any anypermit icmp any anyevaluate BitsCNip access-list extended outboundpermit eigrp any

14、 anypermit icmp any anypermit tcp any any reflect BitsCNpermit udp any any reflect BitsCN!interface Ethernet0description this document is written by *description powered by BitsCNip addressip access-group inbound in6文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.ip access-group outbound outIP 訪問控制列表算是Cisco IOS一個(gè)

15、內(nèi)在的security feature,以下是對常用的動態(tài)訪問控制列表做了個(gè)總結(jié)。Pt.1 Lock-and-Key SecurityLock-and-Key Overviewlock-and-key動態(tài) ACL 使用 IP 動態(tài)擴(kuò)展 ACL 過濾 IP 流量。當(dāng)配置了lock-and-key動態(tài) ACL 之后,臨時(shí)被拒絕掉的IP 流量可以獲得暫時(shí)性的許可。lock-and-key動態(tài) ACL 臨時(shí)修改路由器接口下已經(jīng)存在的ACL ,來允許 IP 流量到達(dá)目標(biāo)設(shè)備。之后 lock-and-key動態(tài) ACL 把接口狀態(tài)還原。通過 lock-and-key 動態(tài) ACL 獲得訪問目標(biāo)設(shè)備權(quán)限的用

16、戶,首先要開啟到路由器的 telnet 會話。接著 lock-and-key 動態(tài) ACL 自動對用戶進(jìn)行認(rèn)證。如果認(rèn)證通過,那么用戶就獲得了臨時(shí)性的訪問權(quán)限。Configuring Lock-and-Key配置 lock-and-key動態(tài) ACL 的步驟如下:1.設(shè)置動態(tài) ACL :BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutes deny|permit telnet source source-wildcard destination destination-wildcar

17、d2.擴(kuò)展動態(tài) ACL 的絕對計(jì)時(shí)器??蛇x:BitsCN(config)# access-list dynamic-extend3.定義需要應(yīng)用ACL 的接口:BitsCN(config)#interface interface4.應(yīng)用 ACL :BitsCN(config-if)#ip access-group ACL5.定義 VTY 線路:BitsCN(config)#line vty line-number ending-line-number7文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.6.對用戶進(jìn)行認(rèn)證:BitsCN(config)#username user

18、name password password7.采用 TACACS 認(rèn)證或本地認(rèn)證方式??蛇x:BitsCN(config-line)#login tacacs|local8.創(chuàng)建臨時(shí)性的訪問許可權(quán)限,如果沒有定義參數(shù)host ,默認(rèn)為所有主機(jī):BitsCN(config-line)#autocommand access-enable host timeout minutesCase 1在 5 分鐘內(nèi)開啟到,如果認(rèn)證成功,對用戶給予120 秒的訪問許可權(quán):!interface Ethernet0description this document is written by *descriptio

19、n powered by BitsCNip addressip access-group 101 in!access-list 101 permit tcp any hosteq telnetaccess-list 101 dynamic BitsCN timeout 120 permit ip any any!line vty 0 4login tacacsautocommand access-enable timeout 5!8文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.Monitoring and Maintaining Lock-and-Key查看 ACL 信息

20、:BitsCN#show access-listsPt.2 TCP InterceptingTCP Intercepting Overview一般情況下, TCP 連接的建立需要經(jīng)過三次握手的過程:1.建立發(fā)起者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCP SYN 數(shù)據(jù)包。2.目標(biāo)計(jì)算機(jī)收到這個(gè)TCP SYN 數(shù)據(jù)包后, 在內(nèi)存中創(chuàng)建 TCP 連接控制塊 (TCB) ,然后向發(fā)送源回復(fù)一個(gè)TCP確認(rèn) (ACK) 數(shù)據(jù)包,等待發(fā)送源的響應(yīng)。3.發(fā)送源收到 TCP ACK數(shù)據(jù)包后,再以一個(gè)TCP ACK數(shù)據(jù)包, TCP 連接成功。TCP SYN 洪水攻擊的過程:1.攻擊者向目標(biāo)設(shè)備發(fā)送一個(gè)TCP SYN 數(shù)據(jù)包。2

21、.目標(biāo)設(shè)備收到這個(gè) TCP SYN數(shù)據(jù)包后,建立TCB ,并以一個(gè) TCP ACK 數(shù)據(jù)包進(jìn)行響應(yīng),等待發(fā)送源的響應(yīng)。3.而發(fā)送源則不向目標(biāo)設(shè)備回復(fù)TCP ACK 數(shù)據(jù)包,這樣導(dǎo)致目標(biāo)設(shè)備一致處于等待狀態(tài)。4.如果 TCP 半連接很多,會把目標(biāo)設(shè)備的資源(TCB) 耗盡,而不能響應(yīng)正常的TCP 連接請求。,從而完成拒絕服務(wù)的TCP SYN 洪水攻擊。TCP 攔截特性可以防止TCP 的 SYN 洪水攻擊。 TCP 攔截特性的兩種模式:1.攔截 (intercept):軟件將主動攔截每個(gè)進(jìn)站的TCP 連接請求 (TCP SYN) ,并以服務(wù)器的身份,以 TCP ACK數(shù)據(jù)包進(jìn)行回復(fù),然后等待來自客

22、戶機(jī)的TCP ACK 數(shù)據(jù)包。當(dāng)再次收到客戶機(jī)的 TCP ACK 數(shù)據(jù)包后,最初的 TCP SYN 數(shù)據(jù)包被移交給真正的服務(wù)器,軟件進(jìn)行 TCP 三次握手,建立TCP 連接。2.監(jiān)控 (watch) :進(jìn)站的 TCP 連接請求 (TCP SYN) 允許路由器移交給服務(wù)器,但是路由器將對連接進(jìn)行監(jiān)控,直到TCP 連接建立完成。如果30 秒內(nèi) TCP 連接建立不成功,路由器將發(fā)送重置 (Reset) 信號給服務(wù)器,服務(wù)器將清除TCP 半連接。9文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.Configuring TCP Intercepting配置 TCP 攔截的步驟如下:1

23、.定義 IP 擴(kuò)展 ACL :BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutes deny|permit tcp source source-wildcard destination destination-wildcard2.啟用 TCP 攔截:BitsCN(config)#ip tcp intercept list ACL3.定義 TCP 攔截模式,默認(rèn)為攔截模式??蛇x:BitsCN(config)#ip tcp intercept mode intercept|watch4.

24、定義 TCP 攔截的切斷模式,默認(rèn)為切斷最老的TCP 連接??蛇x:BitsCN(config)#ip tcp intercept drop-mode oldest|random5.定義 TCP 攔截監(jiān)控的超時(shí)時(shí)間,默認(rèn)為30 秒??蛇x:BitsCN(config)#ip tcp intercept watch-timeout seconds6.定義即使 TCP 連接不再活動,系統(tǒng)管理TCP 連接的時(shí)間長度。默認(rèn)時(shí)間長度為24小時(shí)??蛇x:BitsCN(config)#ip tcp intercept connection-timeout secondsMonitoring and Maintaining TCP Intercepting一些輔助性的命令:1.顯示 TCP 連接信息:BitsCN#show tcp intercept connections2.顯示 TCP 攔截的統(tǒng)計(jì)信息:BitsCN#show tcp intercept statistics10文檔來源為 :從網(wǎng)絡(luò)收集整理.word 版本可編輯 .歡迎下載支持.自反 ACL 可以基于上層信息過濾IP 流量??梢允褂米苑碅CL 實(shí)現(xiàn)流量的單向穿越。自反 ACL 只能通過命名擴(kuò)展ACL 來定義。Configuring Reflexive ACL配置自反 ACL

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論