欢迎来到天天文库
浏览记录
ID:15165019
大小:57.00 KB
页数:3页
时间:2018-08-01
《动态访问控制列表》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、CiscoSecurity系列文档动态访问列表动态ACL,也被称为lock-and-keyACL,在1996年作为选项引入思科IOS。动态ACL仅支持IP流量。动态ACL依赖于telnet连接,用户telnet路由器,并验证通过,此时telnet自动断开,并动态产生一条临时ACL语句。当一段时间内,无该语句相关流量通过,临时的ACL语句消失。动态访问表是对传统访问表的一种重要功能增强。我们从动态访问表的名称就可以看出,动态访问表是能够创建动态访问表项的访问表。传统的标准访问表和扩展的访问表不能创建动态访问表项。一旦在传统访问表中加入了一个表项,除非手
2、工删除,该表项将一直产生作用。而在动态访问表中,读者可以根据用户认证过程来创建特定的、临时的访问表。用户一般通过提供用户名和口令,就能够开启一个到路由器telnet会话。也可以配置路由器,让其只需要口令,而不需要用户名;但我们并不推荐这样做。在用户被认证之后,路由器关闭telnet会话,并将一个动态访问表项置于某个访问表中,以允许源地址为认证用户工作站地址的报文通过。这样,用户可以在安全边界上配置访问表,只允许那些能够通过用户认证的工作站才能发送向内的报文。这种方式所带来的好处是很明显的。在传统的访问表中,如果处于路由器不可信任端的用户需要访问内部的
3、资源,就必须永久性地在访问表中开启一个突破口,以允许这些用户的工作站上的报文进入可信任网络。这些在访问表中的永久性的突破口给黑客发送报文进入安全边界,并达到内部网络提供了机会。这种情况可以通过只允许特定的可信IP源地址的报文进入内部,解决部分问题。但是,假设用户不是使用静态的IP地址呢?则上述的方法就不起作用了。例如,用户可以通过Internet服务提供者(InternetServiceProvider,ISP)拨号进入Internet。一般情况下,家庭用户每次拨入ISP时,其IP地址都是不同的,所以,如果不在安全边界上开启一个很大的突破口的话,就不
4、能够允许来自这些用户的报文通过,而如果这样做,又给黑客们提供了可乘之机。在这种情况下使用动态访问表,能够比使用传统IP访问表提供更高的安全级别。前面讲过,动态访问表是一种新型的访问表。事实上确实如此,但是动态访问表的语法与传统访问表项的格式非常相似,这些知识在前面的章节中也介绍过。动态访问表项的语法如下所示:Access-listdynamic[timeout][permit
5、deny]any其中第一项6、listnumber>与传统的扩展访问表的格式相同,其号码介于100~199之间。第二个参数是动态访问表项的字符串名称。[timeout]参数是可选的。如果使用了timeout参数,则指定了动态表项的超时绝对时间。参数可以是任何传统的TCP/IP协议,如IP、TCP、UDP、ICMP等等。其源IP地址总是使用认证主机的IP地址来替换,所以我们在动态表项中定义的源地址总是应该使用关键字any。目的IP(destinationIP)和目的屏蔽(destinationmask)与传统的扩展访问表格式相同。对于目的IP地址,最7、安全的方式是指定单个子网,或者甚至为单个主机。因为我们在每个访问表中不能指定多个动态访问表项,所以在protocol中一般设置为IP或者TCP。例1:定义动态ACL条目QM_IOSFW(config)#access-list101permittcpanyhost12.12.12.2eqtelnet允许外部任何地址访问该路由的telnetQM_IOSFW(config)#access-list101dynamicdyaclpermitipanyany动态产生后的ACL在linevty下应用autocommandQM_IOSFW(config)#line8、vty04作者:于康QQ:191197032(群)1677151165(个人)CCIERS&SEChttp://blog.sina.com.cn/qmiscoCiscoSecurity系列文档QM_IOSFW(config-line)#loginlocal(这里可以结合AAA或本地认证)QM_IOSFW(config-line)#autocommandaccess-enablehosttimeout5(红字为隐藏命令,直接敲)在接口下调用ACL(一定要调用,否则不生效)QM_IOSFW(config)#intF0/0QM_IOSFW(config-i9、f)#ipaccess-group101in此时showipaccess-list查看下ACL条目:QM_I
6、listnumber>与传统的扩展访问表的格式相同,其号码介于100~199之间。第二个参数是动态访问表项的字符串名称。[timeout]参数是可选的。如果使用了timeout参数,则指定了动态表项的超时绝对时间。参数可以是任何传统的TCP/IP协议,如IP、TCP、UDP、ICMP等等。其源IP地址总是使用认证主机的IP地址来替换,所以我们在动态表项中定义的源地址总是应该使用关键字any。目的IP(destinationIP)和目的屏蔽(destinationmask)与传统的扩展访问表格式相同。对于目的IP地址,最
7、安全的方式是指定单个子网,或者甚至为单个主机。因为我们在每个访问表中不能指定多个动态访问表项,所以在protocol中一般设置为IP或者TCP。例1:定义动态ACL条目QM_IOSFW(config)#access-list101permittcpanyhost12.12.12.2eqtelnet允许外部任何地址访问该路由的telnetQM_IOSFW(config)#access-list101dynamicdyaclpermitipanyany动态产生后的ACL在linevty下应用autocommandQM_IOSFW(config)#line
8、vty04作者:于康QQ:191197032(群)1677151165(个人)CCIERS&SEChttp://blog.sina.com.cn/qmiscoCiscoSecurity系列文档QM_IOSFW(config-line)#loginlocal(这里可以结合AAA或本地认证)QM_IOSFW(config-line)#autocommandaccess-enablehosttimeout5(红字为隐藏命令,直接敲)在接口下调用ACL(一定要调用,否则不生效)QM_IOSFW(config)#intF0/0QM_IOSFW(config-i
9、f)#ipaccess-group101in此时showipaccess-list查看下ACL条目:QM_I
此文档下载收益归作者所有