1、1.设置动态ACL:BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutes deny|permit telnet source source-wildcard destination destination-wildcard2.扩展动态ACL的绝对计时器。可选:BitsCN(config)# access-list dynamic-extend3.定义需要应用ACL的接口:BitsCN(config)#interface interface4.应用ACL:BitsCN(config-i
2、f)#ip access-group ACL5.定义VTY线路:BitsCN(config)#line vty line-number ending-line-number6.对用户进行认证:BitsCN(config)#username username password password7.采用TACACS认证或本地认证方式。BitsCN(config-line)#login tacacs|local8.创建临时性的访问许可权限,如果没有定义参数host,默认为所有主机:BitsCN(config-line)#autocommand access-enable host timeout m
3、inutesCase 1在5分钟内开启到,如果认证成功,对用户给予120秒的访问许可权:!interface Ethernet0description this document is written by *description powered by BitsCN ip address ip access-group 101 inaccess-list 101 permit tcp any host eq telnetaccess-list 101 dynamic BitsCN timeout 120 permit ip any any line vty 0 4login tacacsau
4、tocommand access-enable timeout 5Monitoring and Maintaining Lock-and-Key查看ACL信息:BitsCN#show access-listsPt.2 TCP InterceptingTCP Intercepting Overview 一般情况下,TCP连接的建立需要经过三次握手的过程:1.建立发起者向目标计算机发送一个TCP SYN数据包。2.目标计算机收到这个TCP SYN数据包后,在内存中创建TCP连接控制块(TCB),然后向发送源回复一个TCP确认(ACK)数据包,等待发送源的响应。3.发送源收到TCP ACK数据包后,
5、再以一个TCP ACK数据包,TCP连接成功。TCP SYN洪水攻击的过程:1.攻击者向目标设备发送一个TCP SYN数据包。2.目标设备收到这个TCP SYN数据包后,建立TCB,并以一个TCP ACK数据包进行响应,等待发送源的响应。3.而发送源则不向目标设备回复TCP ACK数据包,这样导致目标设备一致处于等待状态。4.如果TCP半连接很多,会把目标设备的资源(TCB)耗尽,而不能响应正常的TCP连接请求。,从而完成拒绝服务的TCP SYN洪水攻击。TCP拦截特性可以防止TCP的SYN洪水攻击。TCP拦截特性的两种模式:1.拦截(intercept):软件将主动拦截每个进站的TCP连接请
6、求(TCP SYN),并以服务器的身份,以TCP ACK数据包进行回复,然后等待来自客户机的TCP ACK数据包。当再次收到客户机的TCP ACK数据包后,最初的TCP SYN数据包被移交给真正的服务器,软件进行TCP三次握手,建立TCP连接。2.监控(watch):进站的TCP连接请求(TCP SYN)允许路由器移交给服务器,但是路由器将对连接进行监控,直到TCP连接建立完成。如果30秒内TCP连接建立不成功,路由器将发送重置(Reset)信号给服务器,服务器将清除TCP半连接。Configuring TCP Intercepting 配置TCP拦截的步骤如下:1.定义IP扩展ACL:Bit
7、sCN(config)#access-list access-list-number dynamic dynamic-name timeout minutes deny|permit tcp source source-wildcard destination destination-wildcard2.启用TCP拦截:BitsCN(config)#ip tcp intercept list ACL3.定义TCP拦截模式,默认为拦截模式。BitsCN(config)#ip tcp intercept mode intercept|watch4.定义TCP拦截的切断模式,默认为切断最老的TCP连
8、接。BitsCN(config)#ip tcp intercept drop-mode oldest|random5.定义TCP拦截监控的超时时间,默认为30秒。BitsCN(config)#ip tcp intercept watch-timeout seconds6.定义即使TCP连接不再活动,系统管理TCP连接的时间长度。默认时间长度为24小时。BitsCN(config)#ip tcp intercept connection-timeout secondsMonitoring and Maintaining TCP Intercepting一些辅助性的命令:1.显示TCP连接信息:B
9、itsCN#show tcp intercept connections 2.显示TCP拦截的统计信息:BitsCN#show tcp intercept statistics 自反ACL可以基于上层信息过滤IP流量。可以使用自反ACL实现流量的单向穿越。自反ACL只能通过命名扩展ACL来定义。Configuring Reflexive ACL 配置自反ACL的步骤如下:1.定义命名扩展ACL:BitsCN(config)#ip access-list extended name2.定义自反ACL:BitsCN(config-ext-nacl)#permit protocol any any
10、reflect name timeout seconds3.嵌套自反ACL:BitsCN(config-ext-nacl)#evaluate name4.应用自反ACL:BitsCN(config-if)#ip access-group name in|out5.全局定义自反ACL的超时时间。BitsCN(config)#ip reflexive-list timeout secondsCase 2路由器B连接的网段 ,路由器B的串行接口所连的;允许到达外部区域的TCP和UDP信息;而不允许进入内部区域的TCP和UDP信息路由器B配置如下:ip access-list extended inb
11、oundpermit eigrp any anypermit icmp any anyevaluate BitsCNip access-list extended outboundpermit tcp any any reflect BitsCNpermit udp any any reflect BitsCNdescription this document is written by *ip access-group inbound inip access-group outbound out IP访问控制列表算是Cisco IOS一个内在的security feature,以下是对常用的
12、动态访问控制列表做了个总结。Pt.1 Lock-and-Key SecurityLock-and-Key Overviewlock-and-key动态ACL使用IP动态扩展ACL过滤IP流量。通过lock-and-key动态ACL获得访问目标设备权限的用户,首先要开启到路由器的telnet会话。Configuring Lock-and-Key配置lock-and-key动态ACL的步骤如下:1.设置动态ACL:BitsCN(config)#access-list access-list-number dynamic dynamic-name timeout minutes deny|permit telnet source source-wildcard destination destination-wildcard2.扩展动态ACL的绝对计时器。BitsCN(config)# access-list dynamic-extend3.定义需要应用ACL的接口:BitsCN(config)#interface interface4.应用ACL:BitsCN(config-if)#ip access-group ACL5.定义VTY线路:BitsCN(config)#line vty line-number ending-line-nu
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1