自反ACL訪問控制列表的應用~
路由器根據路由錶轉發數據,有時需要對數據進行控制,比如出於安全的目的需要過濾那些對網絡進行惡意***的數據包。訪問控制列表就是能夠在路由器上檢查並過濾數據包的技術之一。
ACL由一組有序的條件語句構成,每個條件語句中的關鍵詞permit或deny決定了匹配該條件語句的數據是被允許還是被禁止通過路由器的接口。條件中的匹配參數可以是上層協議、源或目的地址、端口號及其他的一些選項。ACL應用在接口上,對通過該接口的數據包進行檢查和過濾。
ACL不檢查使用該列表的路由器自身產生的數據包。ACL對進入路由器(IN方向)和從路由器發出的數據(OUT方向)分別進行控制。
ACL是基於協議生成並有效的。每種協議都有自己的ACL,它們可以共存於同一臺路由器上,分別對各自的協議的數據包進行檢查過濾。現在Internet只使用Ip協議,因此下述的內容均討論IP 協議集。
自反(reflexive)訪問列表基於上層會話(session)信息過濾數據包,它允許起源於內網(受保護網絡)的數據流通過路由器,外網(非信任網絡)響應起源於內網的會話的數據流也可以通過路由器,但禁止起源於外網的數據通過路由器進入內網。
自反ACL只使用擴展命名IP訪問列表定義,不能使用代碼或標準命名訪問列表定義。
自反ACL是保護網絡安全的重要組成部分,它可以防範網絡***,應對身份欺騙和DOS***。
自反ACL和其他ACL相似:包含一系列條件語句,並安裝條件語句的順序逐一檢查,一旦某個條件匹配,就不再檢查後面的條件。
不同:自反ACL只包含臨時的條件語句,當一個IP會話發起時,這些臨時條件自動建立;當會話結束,這些臨時條件將被路由器刪除。自反ACL不能直接應用在接口上,需要由另一個擴展命名IP訪問列表調用,稱爲nest。 另外,自反ACL不包含系統隱含的deny all 語句。
1、定義自反ACL
Router(config)#ip access-list extended acl-name
Router(config-ext-nacl)#permit protocol source-address-and-wildcard-mask destination-address-and-wildcard-mask rellect reflexive-name [timeout seconds]
Acl-name 訪問列表名稱
Reflect reflexive-name 反射列表名字
Timeout seconds 臨時條目生存時間
2 應用於接口
如果應用在外部接口: ip access-group acl-name out
內部接口上 ip access- group acl-name in
3安置反射列表
反向ACL需要安置nest在另外一個擴展列表中,相當於另一個ACL調用他,讓它在另一個ACL中生成臨時條件。
Ip access-list extended acl-name2
Evaluate reflexive-name
然後把這個擴展ACL應用在接口上,如果應用在外部接口
Ip access-group acl-name2 in
應用在內部
Ip access-group acl-nam2 out
4定義全局超越時間
Ip reflex –list timeout acl seconds 默認300s
ACL由一組有序的條件語句構成,每個條件語句中的關鍵詞permit或deny決定了匹配該條件語句的數據是被允許還是被禁止通過路由器的接口。條件中的匹配參數可以是上層協議、源或目的地址、端口號及其他的一些選項。ACL應用在接口上,對通過該接口的數據包進行檢查和過濾。
ACL不檢查使用該列表的路由器自身產生的數據包。ACL對進入路由器(IN方向)和從路由器發出的數據(OUT方向)分別進行控制。
ACL是基於協議生成並有效的。每種協議都有自己的ACL,它們可以共存於同一臺路由器上,分別對各自的協議的數據包進行檢查過濾。現在Internet只使用Ip協議,因此下述的內容均討論IP 協議集。
自反(reflexive)訪問列表基於上層會話(session)信息過濾數據包,它允許起源於內網(受保護網絡)的數據流通過路由器,外網(非信任網絡)響應起源於內網的會話的數據流也可以通過路由器,但禁止起源於外網的數據通過路由器進入內網。
自反ACL只使用擴展命名IP訪問列表定義,不能使用代碼或標準命名訪問列表定義。
自反ACL是保護網絡安全的重要組成部分,它可以防範網絡***,應對身份欺騙和DOS***。
自反ACL和其他ACL相似:包含一系列條件語句,並安裝條件語句的順序逐一檢查,一旦某個條件匹配,就不再檢查後面的條件。
不同:自反ACL只包含臨時的條件語句,當一個IP會話發起時,這些臨時條件自動建立;當會話結束,這些臨時條件將被路由器刪除。自反ACL不能直接應用在接口上,需要由另一個擴展命名IP訪問列表調用,稱爲nest。 另外,自反ACL不包含系統隱含的deny all 語句。
1、定義自反ACL
Router(config)#ip access-list extended acl-name
Router(config-ext-nacl)#permit protocol source-address-and-wildcard-mask destination-address-and-wildcard-mask rellect reflexive-name [timeout seconds]
Acl-name 訪問列表名稱
Reflect reflexive-name 反射列表名字
Timeout seconds 臨時條目生存時間
2 應用於接口
如果應用在外部接口: ip access-group acl-name out
內部接口上 ip access- group acl-name in
3安置反射列表
反向ACL需要安置nest在另外一個擴展列表中,相當於另一個ACL調用他,讓它在另一個ACL中生成臨時條件。
Ip access-list extended acl-name2
Evaluate reflexive-name
然後把這個擴展ACL應用在接口上,如果應用在外部接口
Ip access-group acl-name2 in
應用在內部
Ip access-group acl-nam2 out
4定義全局超越時間
Ip reflex –list timeout acl seconds 默認300s