|
自反访问表
自反访问表是 CISCO 提供给企业网络的一种较强的安全手段,利用自反访问表可以很
好的保护企业内部网络,免受外部非法用户的攻击。
自反访问表的基本的工作原理是:
只能由内部网络始发的,外部网络的响应流量可以进入,由外部网络始发的流量如果没
有明确的允许,是禁止进入的。也就是说做网络的单向访问其实实现的是防火墙的基本功能:
内网可以访问外网,但外网可以访问内网。
拓扑图(所有子网掩码均为255.255.255.0):如下:
PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]
现在假设RouterA的E0口所连网段为内网段,RouterA S0所连的网段为外网段,还假
设我想做的是内网的PC机能ping通外网RouterB的S1口,但RouterB却ping不进内网。
如果只是使用扩展访问列表准许PC的ICMP 的数据包出去,不允许RouterB的ICMP数据
包进来,并不能达到要求,用ACL来实现类似的单向访问控制需要用到一种特殊的ACL,
叫Reflexive ACL。Reflexive ACL的配置分为两个部分,一部分是outbound的配置,一部分
是inbound的配置。
1)Reflexive-ACL的工作流程:
a.由内网始发的流量到达配置了自反访问表的路由器,路由器根据此流量的第三层和第四层信息自动生成一个临时性的访问表,临时性访问表的创建依据下列原则:
protocol不变,source-IP 地址 , destination-IP 地址严格对调,source-port,destination-port严格
对调,对于ICMP这样的协议,会根据类型号进行匹配。
b.路由器将此流量传出,流量到达目标,然后响应流量从目标返回到配置了自反访问表的路
由器。
c.路由器对入站的响应流量进行评估,只有当返回流量的第三、四层信息与先前基于出站流
量创建的临时性访问表的第三、四层信息严格匹配时,路由器才会允许此流量进入内部网络。
2)自反访问表的超时:
对于TCP 流量,当下列三种情况中任何一种出现时,才会删除临时性的访问表:
a)两个连续的FIN标志被检测到,之后5秒钟删除。
b)RST 标志被检测到,立即删除。
c)配置的空闲超时值到期(缺省是300秒)。
对于 UDP,由于没有各种标志,所以只有当配置的空闲超时值(300 秒)到期才会删除临时
性的访问表。
允许由内部192.168.10.0/24始发的HTTP,SMTP,流量可以出去, 其余的流量全部拒绝。
RA:
!
ip access-list extended OUTBOUND
permit tcp 192.168.10.0 0.0.0.255 any eq www reflect CISCO
permit tcp 192.168.10.0 0.0.0.255 any eq smtp reflect CISCO
!
ip access-list extended INBOUND
evaluate CISCO
int serial 0
ip access-group OUBOUND out
ip access-group INBOUND in
|
