动态ACL.doc

所在的单位有一台路由器将两个以太网段连到了internet上，路由器是通过串行端口0连 到internet上的，而以太网分别通过端口E 0和E 1连到路由器上。假设我们希望允许任 何用户都能通过I P访问1 9 8 . 7 8 . 4 6 . 1 2服务器，并允许2 0 5 . 1 3 1 . 1 7 5 . 0网络上的用户通过We b浏览（h t t p）和F T P访问I n t e r n e t。useranme test password cisco!int serial 0ip add ip access-group 100 in!access-list 100 permit tcp any host eq telnetaccess-list 100 permit udp any eq 53 55 gt 1023 establishedaccess-list 100 permit tcp any eq 21 55 gt 1023 establishedaccess-list 100 permit tcp any eq 20 55 gt 1023 access-list 100 dynamic test timeout 180 permit ip any host 2 log!logging buffered 64000!line vty 0 2login localautocommand access-enable host timeout 10line vty 3 4login localrotary 1 　　首先，我们注意到访问表被应用到了串行端口上。将扩展访问表应用到离过滤源最近的 地方，这是一种很好的方法。在本例中，我们的目的是要过滤I n t e r n e t上的主机 ，所以串行端口是路由器上离被过滤主机最近的端口。访问表应用的方向是向内的，因 为从路由器的角度看来， I n t e r n e t来的报文是流向路由器的。如果我们将访问 表应用成向外的访问，则过滤的报文将是离开串行接口而通往I n t e r n e t的报文， 而这并非我们所希望的。另外，我们还建立了一个用户名“ t e s t”，它可以用来访问路由器。在实际应用中，我们应该为每个用户建立一对用 户名和口令。现在，让我们再分析访问表的每一个表项。　　第一个表项允许从任何源I P地址来的报文到达主机1 7 5 . 1 0 . 1 . 1，如果其目标 端口为t e l n e t（2 3）的话。这样，我们实际上允许了向内的t e l n e t连接到路 由器的串行接口。我们可以允许向内的t e l n e t，连接到路由器的其他I P地址，但 只允许向内访问路由器的串行接口是一种最佳的选择。　　第二个表项允许从任何源I P地址来的报文，如果其源端口是域名系统（ domain namesystem, DNS）（UDP 53），且目标网络位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4， 目的端口大于1 0 2 3的话。这将允许D N S应答到达2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4网络。所有有效D N S请求的源端口应该为1 0 2 4或更大，因此有效D N S的应答就应 发送到此1 0 2 4或更高的端口。如果我们不指定目的端口大于1 0 2 3，则攻击者可以 从源端口5 3发送U D P报文到达我们的网络，从而导致对内部服务器的拒绝服务（denia l-of-service, DOS）攻击。大量的服务器端口都处于小于1 0 2 4的保留区间内，所以 我们应阻塞目的端口小于1 0 2 4的报文，以关闭潜在的安全漏洞。　　第三和第四个表项允许具有如下特征的报文进入：源端口为W W W（TCP 80 ）或F T P（ TCP 21），目标位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4网络，目标端口大于1 0 2 3， 且T C P头中设置了A C K和R S T位。这两个表项允许由内部主机发起的W W W和F T P会 话的返回报文。指定源端口和目的端口的原因与第二个表项相同。使用e s t a b l i s h e d意味着只有设置了应答位（ A C K）和复位位（R S T）的报文才能够匹配并允许通过访问表项。只有那些已经建立了T C P会话的报文才会设置这些位，这样增加了访 问表的安全层次。值得注意的是，攻击者很容易在向内的报文中手工设置这些位，所以 这种检测是十分简单的。但是，如果内部网络采用正确的T C P / I P协议栈， 它们就会忽略这些带A C K和R S T位的向内报文，因为它们不