Cisco网络技术论坛

返回   Cisco网络技术论坛 > Cisco专区 > Cisco技术高级讨论区

Cisco技术高级讨论区 讨论Cisco较深和较全面的问题,此栏目帖子是从cisco技术区选出,由斑竹移到此区,不能发贴,可以跟贴

发表新主题 回复
推荐为精华主题  
主题工具
旧 2003-04-20, 17:13   #1
yanghui
注册用户
级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时级别:22 | 在线时长:617小时 | 升级还需:4小时
 
yanghui 的头像
 
注册日期: Apr 2003
住址: 山东济南
帖子: 1,949
积分:-1
精华:-1
现金:3753金币
资产:3753金币
声望力: 17
声望: 10 yanghui 向着好的方向发展
声望力: 17
yanghui 向着好的方向发展
一个动态ACL的案例:

所在的单位有一台路由器将两个以太网段连到了internet上,路由器是通过串行端口0连
到internet上的,而以太网分别通过端口E 0和E 1连到路由器上。假设我们希望允许任
何用户都能通过I P访问1 9 8 . 7 8 . 4 6 . 1 2服务器,并允许2 0 5 . 1 3 1 . 1
7 5 . 0网络上的用户通过We b浏览(h t t p)和F T P访问I n t e r n e t。

useranme test password cisco
!
int serial 0
ip add 175.10.1.1 255.255.255.0
ip access-group 100 in
!
access-list 100 permit tcp any host 175.10.1.1 eq telnet
access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
established
access-list 100 permit tcp any eq 21 205.131.175.0 0.0.0.255 gt 1023
established
access-list 100 permit tcp any eq 20 205.131.175.0 0.0.0.255 gt 1023
access-list 100 dynamic test timeout 180 permit ip any host 198.76.46.12 log
!
logging buffered 64000
!
line vty 0 2
login local
autocommand access-enable host timeout 10
line vty 3 4
login local
rotary 1

首先,我们注意到访问表被应用到了串行端口上。将扩展访问表应用到离过滤源最近的
地方,这是一种很好的方法。在本例中,我们的目的是要过滤I n t e r n e t上的主机
,所以串行端口是路由器上离被过滤主机最近的端口。访问表应用的方向是向内的,因
为从路由器的角度看来, I n t e r n e t来的报文是流向路由器的。如果我们将访问
表应用成向外的访问,则过滤的报文将是离开串行接口而通往I n t e r n e t的报文,
而这并非我们所希望的。另外,我们还建立了一个用户名“ t e s t”,它可以用来访
问路由器。在实际应用中,我们应该为每个用户建立一对用
户名和口令。现在,让我们再分析访问表的每一个表项。

第一个表项允许从任何源I P地址来的报文到达主机1 7 5 . 1 0 . 1 . 1,如果其目标
端口为t e l n e t(2 3)的话。这样,我们实际上允许了向内的t e l n e t连接到路
由器的串行接口。我们可以允许向内的t e l n e t,连接到路由器的其他I P地址,但
只允许向内访问路由器的串行接口是一种最佳的选择。

第二个表项允许从任何源I P地址来的报文,如果其源端口是域名系统( domain
namesystem, DNS)(UDP 53),且目标网络位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4,
目的端口大于1 0 2 3的话。这将允许D N S应答到达2 0 5 . 1 3 1 . 1 7 5 . 0 / 2
4网络。所有有效D N S请求的源端口应该为1 0 2 4或更大,因此有效D N S的应答就应
发送到此1 0 2 4或更高的端口。如果我们不指定目的端口大于1 0 2 3,则攻击者可以
从源端口5 3发送U D P报文到达我们的网络,从而导致对内部服务器的拒绝服务(denia
l-of-service, DOS)攻击。大量的服务器端口都处于小于1 0 2 4的保留区间内,所以
我们应阻塞目的端口小于1 0 2 4的报文,以关闭潜在的安全漏洞。

第三和第四个表项允许具有如下特征的报文进入:源端口为W W W(TCP 80 )或F T P(
TCP 21),目标位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4网络,目标端口大于1 0 2 3,
且T C P头中设置了A C K和R S T位。这两个表项允许由内部主机发起的W W W和F T P会
话的返回报文。指定源端口和目的端口的原因与第二个表项相同。使用e s t a b l i
s h e d意味着只有设置了应答位( A C K)和复位位(R S T)的报文才能够匹配并允
许通过访问表项。只有那些已经建立了T C P会话的报文才会设置这些位,这样增加了访
问表的安全层次。值得注意的是,攻击者很容易在向内的报文中手工设置这些位,所以
这种检测是十分简单的。但是,如果内部网络采用正确的T C P / I P协议栈,
它们就会忽略这些带A C K和R S T位的向内报文,因为它们不是主机上合法的T C P会话
的一部分,这就是为什么e s t a b l i s h e d关键字仍然十分重要的原因。注意,这
种检验对U D P报文是无用的,这就是为什么在第二个访问表项中没有该关键字的原因。


第五个表项允许那些从源端口为2 0的任何主机向内报文到达网络2 0 5 . 1 3 1 . 1
7 5 . 0 / 2 4的主机,
如果其目的端口大于1 0 2 3的话,允许了那些由内部主机发起的F T P部分数据的报文
连接到内部主机。F T P协议实现的标准实现需要F T P服务器发回一个到源F T P客户机
连接。该连接的初始报文没有设置A C K或R S T位,所以我们在表项中不能使用e s t
a b l i s h e d关键字。有一种版本的F T P称为被动模式( passive mode)的F T P
,或称为PA S C,它不需要服务器发起一个向源F T P客户机的连接。在这种模式的F
T P中,客户机需要发起到F T P服务器非2 0端口的另一个连接。该端口是大于1 0 2 3
的一种随机选择。我们允许所有大于1023 TCP端口的报文通过,是因为我们不能进一步
确定F T P服务器会选择哪一个端口(被动模式F T P服务器的数据端口不为2 0,这与普
通模式F T P是不同的)。尽管我们不能让该表项如我们所希望的那样确切, e s t a
b l i s h e d关键字仍能使该表项比允许外部发起向内部网络的会话要安全一些。

第六个表项(也是最后一个表项)为动态访问表项,它允许来自被认证主机的报文到达
服务器1 9 8 . 7 8 . 4 6 . 1 2。我们定义的绝对超时时间为3小时( 1 8 0分钟),
并对该表项进行了日志记录(我们还开启了路由器缓冲区的日志)。通过将匹配动态表
项的报文进行记录,我们可以跟踪用户的行为,并建立一个普通的基线。这样,我们可
以发现不正常的行为,并由此判断这是否是由攻击者产生的。我们还将动态访问表项的
空闲时间设置成了1 0分钟,这是在v t y线配置中通过a u t o c o m m a n d设置的。
最好是将这两个值都设上,这样我们能减少动态表项处于
活跃状态的时间,因此也减少了攻击者冲破动态表项的可能性。

空闲计时器在每有一个报文匹配动态访问表项时进行复位。而绝对计时器是不复位的。
即使一个会话仍然处于活跃状态,如果绝对超时达到,动态表项就会被删除,从而用户
需要再经过一个认证过程。如果他们有经过路由器的活跃会话,这些会话将被终止。正
因如此,我们建议将绝对超时设置得相对大一些,一般为一个小时或更长一些的时间。
但我们应该将空闲时间设置得小一些,一般为1 0分钟或更短的时间。我们认为,不应将
空闲时间的设置大于3 0钟。

[color=royal blue]没有做不到的,只有想不到的。[/color]
http://bbs.net130.com/attachment.php?s=&postid=11090
yanghui 当前离线  
回复时引用此帖
旧 2004-05-08, 20:46   #2
j7h
注册用户
级别:8 | 在线时长:96小时 | 升级还需:21小时级别:8 | 在线时长:96小时 | 升级还需:21小时级别:8 | 在线时长:96小时 | 升级还需:21小时级别:8 | 在线时长:96小时 | 升级还需:21小时
 
注册日期: Jan 2004
住址: china
帖子: 18
现金:36金币
资产:36金币
声望力: 0
声望: 10 j7h 向着好的方向发展
声望力: 0
j7h 向着好的方向发展
抢一
j7h 当前离线  
回复时引用此帖
旧 2004-05-14, 20:45   #3
lxw2016
注册用户
级别:10 | 在线时长:161小时 | 升级还需:4小时级别:10 | 在线时长:161小时 | 升级还需:4小时
 
注册日期: Jun 2003
住址: 四川
帖子: 163
现金:330金币
资产:330金币
声望力: 16
声望: 10 lxw2016 向着好的方向发展
声望力: 16
lxw2016 向着好的方向发展
好!
lxw2016 当前离线  
回复时引用此帖
旧 2004-06-01, 10:04   #4
bigliuhai
注册用户
级别:3 | 在线时长:25小时 | 升级还需:7小时级别:3 | 在线时长:25小时 | 升级还需:7小时级别:3 | 在线时长:25小时 | 升级还需:7小时
 
bigliuhai 的头像
 
注册日期: Jun 2004
住址: 成都
帖子: 52
现金:106金币
资产:106金币
声望力: 15
声望: 10 bigliuhai 向着好的方向发展
声望力: 15
bigliuhai 向着好的方向发展
谢谢
bigliuhai 当前离线  
回复时引用此帖
旧 2004-06-20, 22:02   #5
bigzhu
注册用户
级别:6 | 在线时长:66小时 | 升级还需:11小时级别:6 | 在线时长:66小时 | 升级还需:11小时
 
bigzhu 的头像
 
注册日期: May 2004
住址: cs
帖子: 180
现金:357金币
资产:357金币
声望力: 15
声望: 10 bigzhu 向着好的方向发展
声望力: 15
bigzhu 向着好的方向发展
不错 支持!!!
bigzhu 当前离线  
回复时引用此帖
旧 2004-06-21, 17:35   #6
robinly
注册用户
级别:4 | 在线时长:34小时 | 升级还需:11小时级别:4 | 在线时长:34小时 | 升级还需:11小时级别:4 | 在线时长:34小时 | 升级还需:11小时级别:4 | 在线时长:34小时 | 升级还需:11小时
 
注册日期: Jun 2004
住址: 北京
帖子: 14
现金:28金币
资产:28金币
声望力: 0
声望: 10 robinly 向着好的方向发展
声望力: 0
robinly 向着好的方向发展
写的不错。。。顶一下,
robinly 当前离线  
回复时引用此帖
旧 2004-06-23, 11:17   #7
filedata
注册用户
级别:11 | 在线时长:166小时 | 升级还需:26小时级别:11 | 在线时长:166小时 | 升级还需:26小时级别:11 | 在线时长:166小时 | 升级还需:26小时
 
filedata 的头像
 
注册日期: Sep 2003
住址: 山上密林中
帖子: 465
现金:933金币
资产:933金币
声望力: 16
声望: 10 filedata 向着好的方向发展
声望力: 16
filedata 向着好的方向发展
有道理------------------------------------------------

-------------------------------
共同学习,共同进步!
msn/mail:filedata@263.net
qq: 27794611
========================================
filedata 当前离线  
回复时引用此帖
旧 2004-06-23, 13:59   #8
天空物语
注册用户
级别:4 | 在线时长:42小时 | 升级还需:3小时级别:4 | 在线时长:42小时 | 升级还需:3小时级别:4 | 在线时长:42小时 | 升级还需:3小时级别:4 | 在线时长:42小时 | 升级还需:3小时
 
天空物语 的头像
 
注册日期: Jun 2004
住址: 成都
帖子: 23
现金:46金币
资产:46金币
声望力: 0
声望: 10 天空物语 向着好的方向发展
声望力: 0
天空物语 向着好的方向发展
加油

生命=迷茫-目标-迷茫-目标。。。
天空物语 当前离线  
回复时引用此帖
旧 2004-07-01, 10:30   #9
iori_hg
注册用户
级别:0 | 在线时长:0小时 | 升级还需:5小时
 
iori_hg 的头像
 
注册日期: Jun 2004
住址: 上海
帖子: 1
现金:2金币
资产:2金币
声望力: 0
声望: 10 iori_hg 向着好的方向发展
声望力: 0
iori_hg 向着好的方向发展
顶啊
iori_hg 当前离线  
回复时引用此帖
旧 2004-07-01, 17:19   #10
yezhqi
注册用户
级别:3 | 在线时长:31小时 | 升级还需:1小时级别:3 | 在线时长:31小时 | 升级还需:1小时级别:3 | 在线时长:31小时 | 升级还需:1小时
 
注册日期: Jun 2004
住址: 南京
帖子: 19
现金:38金币
资产:38金币
声望力: 0
声望: 10 yezhqi 向着好的方向发展
声望力: 0
yezhqi 向着好的方向发展
Re: 一个动态ACL的案例:

引用:
最初由 yanghui 发布
所在的单位有一台路由器将两个以太网段连到了internet上,路由器是通过串行端口0连
到internet上的,而以太网分别通过端口E 0和E 1连到路由器上。假设我们希望允许任
何用户都能通过I P访问1 9 8 . 7 8 . 4 6 . 1 2服务器,并允许2 0 5 . 1 3 1 . 1
7 5 . 0网络上的用户通过We b浏览(h t t p)和F T P访问I n t e r n e t。

useranme test password cisco
!
int serial 0
ip add 175.10.1.1 255.255.255.0
ip access-group 100 in
!
access-list 100 permit tcp any host 175.10.1.1 eq telnet
access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
established
access-list 100 permit tcp any eq 21 205.131.175.0 0.0.0.255 gt 1023
established
access-list 100 permit tcp any eq 20 205.131.175.0 0.0.0.255 gt 1023
access-list 100 dynamic test timeout 180 permit ip any host 198.76.46.12 log
!
logging buffered 64000
!
line vty 0 2
login local
autocommand access-enable host timeout 10
line vty 3 4
login local
rotary 1

首先,我们注意到访问表被应用到了串行端口上。将扩展访问表应用到离过滤源最近的
地方,这是一种很好的方法。在本例中,我们的目的是要过滤I n t e r n e t上的主机
,所以串行端口是路由器上离被过滤主机最近的端口。访问表应用的方向是向内的,因
为从路由器的角度看来, I n t e r n e t来的报文是流向路由器的。如果我们将访问
表应用成向外的访问,则过滤的报文将是离开串行接口而通往I n t e r n e t的报文,
而这并非我们所希望的。另外,我们还建立了一个用户名“ t e s t”,它可以用来访
问路由器。在实际应用中,我们应该为每个用户建立一对用
户名和口令。现在,让我们再分析访问表的每一个表项。

第一个表项允许从任何源I P地址来的报文到达主机1 7 5 . 1 0 . 1 . 1,如果其目标
端口为t e l n e t(2 3)的话。这样,我们实际上允许了向内的t e l n e t连接到路
由器的串行接口。我们可以允许向内的t e l n e t,连接到路由器的其他I P地址,但
只允许向内访问路由器的串行接口是一种最佳的选择。

第二个表项允许从任何源I P地址来的报文,如果其源端口是域名系统( domain
namesystem, DNS)(UDP 53),且目标网络位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4,
目的端口大于1 0 2 3的话。这将允许D N S应答到达2 0 5 . 1 3 1 . 1 7 5 . 0 / 2
4网络。所有有效D N S请求的源端口应该为1 0 2 4或更大,因此有效D N S的应答就应
发送到此1 0 2 4或更高的端口。如果我们不指定目的端口大于1 0 2 3,则攻击者可以
从源端口5 3发送U D P报文到达我们的网络,从而导致对内部服务器的拒绝服务(denia
l-of-service, DOS)攻击。大量的服务器端口都处于小于1 0 2 4的保留区间内,所以
我们应阻塞目的端口小于1 0 2 4的报文,以关闭潜在的安全漏洞。

第三和第四个表项允许具有如下特征的报文进入:源端口为W W W(TCP 80 )或F T P(
TCP 21),目标位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4网络,目标端口大于1 0 2 3,
且T C P头中设置了A C K和R S T位。这两个表项允许由内部主机发起的W W W和F T P会
话的返回报文。指定源端口和目的端口的原因与第二个表项相同。使用e s t a b l i
s h e d意味着只有设置了应答位( A C K)和复位位(R S T)的报文才能够匹配并允
许通过访问表项。只有那些已经建立了T C P会话的报文才会设置这些位,这样增加了访
问表的安全层次。值得注意的是,攻击者很容易在向内的报文中手工设置这些位,所以
这种检测是十分简单的。但是,如果内部网络采用正确的T C P / I P协议栈,
它们就会忽略这些带A C K和R S T位的向内报文,因为它们不是主机上合法的T C P会话
的一部分,这就是为什么e s t a b l i s h e d关键字仍然十分重要的原因。注意,这
种检验对U D P报文是无用的,这就是为什么在第二个访问表项中没有该关键字的原因。


第五个表项允许那些从源端口为2 0的任何主机向内报文到达网络2 0 5 . 1 3 1 . 1
7 5 . 0 / 2 4的主机,
如果其目的端口大于1 0 2 3的话,允许了那些由内部主机发起的F T P部分数据的报文
连接到内部主机。F T P协议实现的标准实现需要F T P服务器发回一个到源F T P客户机
连接。该连接的初始报文没有设置A C K或R S T位,所以我们在表项中不能使用e s t
a b l i s h e d关键字。有一种版本的F T P称为被动模式( passive mode)的F T P
,或称为PA S C,它不需要服务器发起一个向源F T P客户机的连接。在这种模式的F
T P中,客户机需要发起到F T P服务器非2 0端口的另一个连接。该端口是大于1 0 2 3
的一种随机选择。我们允许所有大于1023 TCP端口的报文通过,是因为我们不能进一步
确定F T P服务器会选择哪一个端口(被动模式F T P服务器的数据端口不为2 0,这与普
通模式F T P是不同的)。尽管我们不能让该表项如我们所希望的那样确切, e s t a
b l i s h e d关键字仍能使该表项比允许外部发起向内部网络的会话要安全一些。

第六个表项(也是最后一个表项)为动态访问表项,它允许来自被认证主机的报文到达
服务器1 9 8 . 7 8 . 4 6 . 1 2。我们定义的绝对超时时间为3小时( 1 8 0分钟),
并对该表项进行了日志记录(我们还开启了路由器缓冲区的日志)。通过将匹配动态表
项的报文进行记录,我们可以跟踪用户的行为,并建立一个普通的基线。这样,我们可
以发现不正常的行为,并由此判断这是否是由攻击者产生的。我们还将动态访问表项的
空闲时间设置成了1 0分钟,这是在v t y线配置中通过a u t o c o m m a n d设置的。
最好是将这两个值都设上,这样我们能减少动态表项处于
活跃状态的时间,因此也减少了攻击者冲破动态表项的可能性。

空闲计时器在每有一个报文匹配动态访问表项时进行复位。而绝对计时器是不复位的。
即使一个会话仍然处于活跃状态,如果绝对超时达到,动态表项就会被删除,从而用户
需要再经过一个认证过程。如果他们有经过路由器的活跃会话,这些会话将被终止。正
因如此,我们建议将绝对超时设置得相对大一些,一般为一个小时或更长一些的时间。
但我们应该将空闲时间设置得小一些,一般为1 0分钟或更短的时间。我们认为,不应将
空闲时间的设置大于3 0钟。

理解的很好哦。
yezhqi 当前离线  
回复时引用此帖
旧 2004-09-15, 12:49   #11
斤啁忘の小亻
猪头猪脑猪尾巴
级别:1 | 在线时长:11小时 | 升级还需:1小时
 
注册日期: Jul 2004
住址: 青岛
帖子: 17
现金:36金币
资产:36金币
声望力: 0
声望: 10 斤啁忘の小亻 向着好的方向发展
声望力: 0
斤啁忘の小亻 向着好的方向发展
写的不错。。。高手

想考ie的小男孩..现在在积极的学习cisco的

我的QQ:36200567
email.xiaoningkuku@163.com
斤啁忘の小亻 当前离线  
回复时引用此帖
旧 2004-09-15, 22:25   #12
cyborzhou
注册用户
级别:2 | 在线时长:19小时 | 升级还需:2小时级别:2 | 在线时长:19小时 | 升级还需:2小时
 
注册日期: May 2004
住址: 北京
帖子: 7
现金:14金币
资产:14金币
声望力: 0
声望: 10 cyborzhou 向着好的方向发展
声望力: 0
cyborzhou 向着好的方向发展
pix515的问题

我最近配置了一个pix515,可是用户反映他们的邮件服务器出了问题,主要是内网用户访问处于内网中的mail服务器没有问题,可以使用outlook或foxmail等,外网用户可登陆邮箱,并可以接受、发送邮件。但外网用户不能使用outlook或foxmail,请问斑竹这是为什么?
cyborzhou 当前离线  
回复时引用此帖
旧 2004-09-17, 11:45   #13
chanche
注册用户
级别:7 | 在线时长:95小时 | 升级还需:1小时级别:7 | 在线时长:95小时 | 升级还需:1小时级别:7 | 在线时长:95小时 | 升级还需:1小时
 
chanche 的头像
 
注册日期: Sep 2003
住址: sz
帖子: 139
现金:278金币
资产:278金币
声望力: 16
声望: 10 chanche 向着好的方向发展
声望力: 16
chanche 向着好的方向发展
佩服。


to be natural!
chanche 当前离线  
回复时引用此帖
旧 2004-09-18, 14:43   #14
ttlxr
注册用户
级别:4 | 在线时长:37小时 | 升级还需:8小时级别:4 | 在线时长:37小时 | 升级还需:8小时级别:4 | 在线时长:37小时 | 升级还需:8小时级别:4 | 在线时长:37小时 | 升级还需:8小时
 
ttlxr 的头像
 
注册日期: Sep 2004
住址: china
帖子: 53
现金:106金币
资产:106金币
声望力: 15
声望: 10 ttlxr 向着好的方向发展
声望力: 15
ttlxr 向着好的方向发展
应该是笔误!

access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
established
access-list 100 permit tcp any eq 21 205.131.175.0 0.0.0.255 gt 1023
established
access-list 100 permit tcp any eq 20 205.131.175.0 0.0.0.255 gt 1023

上面是引用!
有笔误吧,在第一条上,应该把ESTABLISHED 放在第三条最后才对!
我在用UDP时是没有ESTABLISHED这个选项的,楼主自己的说法好像也证明了这一点!
ttlxr 当前离线  
回复时引用此帖
旧 2004-10-11, 15:24   #15
风暴一族
注册用户
级别:0 | 在线时长:0小时 | 升级还需:5小时
 
风暴一族 的头像
 
注册日期: Oct 2004
住址: BeiJing
帖子: 1
现金:2金币
资产:2金币
声望力: 0
声望: 10 风暴一族 向着好的方向发展
声望力: 0
风暴一族 向着好的方向发展
高手啊
风暴一族 当前离线  
回复时引用此帖
发表新主题 回复

主题工具

发帖规则
不可以发表新主题
不可以发表回复
不可以上传附件
不可以编辑自己的帖子

启用 BB 代码
论坛启用 表情符号
论坛启用 [IMG] 代码
论坛禁用 HTML 代码

论坛跳转


所有时间均为北京时间。现在的时间是 12:17


Powered by vBulletin® 版本 3.8.3
版权所有 ©2000 - 2018,Jelsoft Enterprises Ltd.
增强包 [3.4] 制作: PHP源动力   官方中文站: vBulletin 中文
Copyright © 2003 - 2013 Net130.com, All Rights Reserved 备案号:皖ICP备11007528号