ACL高级访问控制列表

ACL高级访问控制列表

ID:37859150

大小:996.50 KB

页数:4页

时间:2019-06-01

ACL高级访问控制列表_第1页
ACL高级访问控制列表_第2页
ACL高级访问控制列表_第3页
ACL高级访问控制列表_第4页
资源描述:

《ACL高级访问控制列表》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、ACL高级访问控制列表F0/0IP=2.2.2.1F1/0IP=3.3.3.1IP=3.3.3.2IP=2.2.2.2自反访问表自反访问表是CISCO提供给企业网络的一种较强的安全手段,利用自反访问表可以很好的保护企业内部网络,免受外部非法用户的攻击。自反访问表的基本的工作原理是:只能由内部网络始发的,外部网络的响应流量可以进入,由外部网络始发的流量如果没有明确的允许,是禁止进入的。也就是说做网络的单向访问其实实现的是防火墙的基本功能:内网可以访问外网,但外网可以访问内网。拓扑图(所有子网掩码均为255.255.

2、255.0):如下:PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]现在假设RouterA的E0口所连网段为内网段,RouterAS0所连的网段为外网段,还假设我想做的是内网的PC机能ping通外网RouterB的S1口,但RouterB却ping不进内网。如果只是使用扩展访问列表准许PC的ICMP的数据包出去,不允许RouterB的ICMP数据包进来,并不能达到要求,用ACL来实现类似的单向访问控制需要用到一种特

3、殊的ACL,叫ReflexiveACL。ReflexiveACL的配置分为两个部分,一部分是outbound的配置,一部分是inbound的配置。1)Reflexive-ACL的工作流程:a.由内网始发的流量到达配置了自反访问表的路由器,路由器根据此流量的第三层和第四层信息自动生成一个临时性的访问表,临时性访问表的创建依据下列原则:protocol不变,source-IP地址,destination-IP地址严格对调,source-port,destination-port严格对调,对于ICMP这样的协议,会根据

4、类型号进行匹配。b.路由器将此流量传出,流量到达目标,然后响应流量从目标返回到配置了自反访问表的路由器。c.路由器对入站的响应流量进行评估,只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问表的第三、四层信息严格匹配时,路由器才会允许此流量进入内部网络。2)自反访问表的超时:对于TCP流量,当下列三种情况中任何一种出现时,才会删除临时性的访问表:a)两个连续的FIN标志被检测到,之后5秒钟删除。b)RST标志被检测到,立即删除。c)配置的空闲超时值到期(缺省是300秒)。对于UDP,由于没有各种标志

5、,所以只有当配置的空闲超时值(300秒)到期才会删除临时性的访问表1.自反访问控制列表.使3.3.3.2能够与2.2.2.2PING通,而2.2.2.2不能PING通3.3.3.2使3.3.3.2能够访问2.2.2.2的WEB服务.反向则不能.使3.3.3.2能够TELNET2.2.2.2的机器.反向则不能.操作步骤!!!!Router(config)#ipaccess-listextendedaaaRouter(config-ext-nacl)#permiticmpanyanyreflectciscoRoute

6、r(config-ext-nacl)#permittcpanyanyeqwwwreflectciscoRouter(config-ext-nacl)#permittcpanyanyeqtelnetreflectciscoRouter(config-ext-nacl)#endRouter(config)#ipaccess-listextendedbbbRouter(config-ext-nacl)#evaluateciscoRouter(config-ext-nacl)#end在出口上进行配置列表名Router(c

7、onfig)#interfacef0/0Router(config-if)#ipaccess-groupaaaoutRouter(config-if)#ipaccess-groupbbbin即可!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!动态访问控制列表动态访问列表(Lock-and-Key)动态访问列表,Cisco把它称为Lock-and-key,它使用IP动态扩展访问列表,用户的流量平时是被禁止通过路由器的,当用户通过路由器的身份验

8、证的时候(通过telnet到路由器上,输入用户名和密码的方式),路由器生成一个临时的访问列表,临时准许用户的流量通过路由器。何时应该使用Lock-and-key动态访问列表:1:当你准许一个远程internet用户允许访问你内网中的主机时,你可以使用Lock-and-key验证用户身份,通过验证后,用户可以访问你授权的内网资源。2:如果你想准许内网的部分用户可以访问远程网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。