自反访问控制列表

自反访问控制列表

ID:34011161

大小:115.28 KB

页数:7页

时间:2019-03-03

自反访问控制列表_第1页
自反访问控制列表_第2页
自反访问控制列表_第3页
自反访问控制列表_第4页
自反访问控制列表_第5页
资源描述:

《自反访问控制列表》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ReflexiveACL概述在某些网络中,为了考虑安全性,不希望外网的用户主动向内网发起连接,因为怀疑这样的动作可能是攻击行为。但是内网用户主动向外部发起的连接夕卜网的回包可以进入内网。这样的需求,如果使用普通的ACL在外网进来的接口上拒绝所有数据包,这肯定是不行的,因为这样虽然保证外网不能访问内网了,安全目的达到了,但是内网主动向外网发起的连接,外网回包时也进不来了,所以这种普通ACL不可行。更好的方法就是,先拒绝所有外网主动向内网发起的连接,但是在内网主动向外网发起的连接中,作好记录,打好标记,等到外网回包时,能够让其

2、顺利进入内网,这样即保证了外网不能主动访问内网,实现了安全,又保证了内网发起的连接,外网可以回应,也不妨碍通信。要实现这样的功能,就可以通过特殊的ACL,即ReflexiveACL来实现。ReflexiveACL就是根据以上所述z先拒绝外网向内网发送数据z然后允许内网向外网发送数据,但是在内网的数据发向外网时,这些数据的会话会被记录,被标记,等外网发回的数据和这些有记录的会话属于同一会话时,便可临时在进来的方向上打开缺口,让其返回,其它外网发来的不在记录中的数据统统不能进入内网。所以根据这些原理ReflexiveACL需要

3、有两个ACL来配合使用,一个ACL是用在外网到内网的方向以拒绝外网的主动连接另一个ACL是用在内网到外网的方向,用来检测内网有数据发向外网时,做上记录,等外网回包时,就在之前那个ACL中打开一个临时缺口,让外网的回包进入,这样就实现了之前所说的安全功能。ReflexiveACL有许多功能限制,只支持命名的扩展ACL,并且思科官方文档会解释说此ACL在最后没有像通常那样隐含拒绝所有,所以请注意你使用的IOS是否隐含拒绝了所有数据通过。此ACL正因为外网数据在主动进入内网时被拒绝的,所以当内网数据出去时,这个会话会做好记录,会

4、在进的方向给打开缺口,让其返回,这个被打开的缺口,在会话结束后,缺口被关闭。其实大家都知道,只有TCP的数据才存在会话,所以当TCP数据传完之后,会马目关闭缺口,但是对于没有会话的UDP,就不能使用上面的方法了,就软件根据timeout来判断数据是否传完,如果没有给ACL指定timeout,默认使用全局timeout,默认全局是timeout是300秒,在timeout结束后,缺口被关闭。正因为这些从内网发到外网的数据被记录了,只有返回的数据和记录中相符,才能进入内网,所以如果返回的数据不符,就进不来,因此,会话在中途端口

5、号是不能更换的,—旦更换,就无法匹配记录了。而像FTP这样的会话,在中途要改变端口号,所以FTP在有ReflexiveACL时,不能很好的工作。在ReflexiveACL拒绝外网数据进入内网时,外网是不能先向内网发起连接的,旦是并不需要将所有数据都拒绝,在配置时,某些数据就可以放开,让它和正常数据一样没有限制,比如路由协议的数据。而在定义什么样的数据出去之后被记录,可以返回,也可以只选择特定的数据。当在定义这个需要被记录的数据时,使用ACL来匹配”只能写一条”如果写多条”除了第一条”其它统统无效。配置说明:R4为外网,R2

6、和R3为内网。L配置拒绝外网主动访问内网说明:拒绝外网主动访问内网,但是ICMP可以不受限制(1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回rl(config)#ipaccess-listextendedcomerl(config-ext-nacl)#permiticmpanyany被允许的ICMP是不用标记即可进入内网的rl(config-ext-nacl)#evaluateabc其它要进入内网的/必须是标记为abc的(2)应用ACLrl(config)#intfO/1rl(config-if)#ip

7、access-groupcomein2测试结果(1)测试外网R4的ICMP访问内网r4#ping10.1.1.2Typeescapesequeneetoabort.Sending5Z100-byteICMPEchosto10.1.1.2,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4msr4#说明:可以看到,ICMP是可以任意访问的(2)测试外网R4telnet内网r4#telnetr4#telnet10.1.1

8、.2Trying10.1.1.2...%Destinationunreachable;gatewayorhostdownr4#说明:可以看到,除ICMP之外,其它流量是不能进入内网的。(1)测试内网R2的ICMP访问外网r2#ping14.1.1.4Typeescapesequeneetoabort.S

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。