返回
高级网络工程师 思科 cisco反射acl.pdf

高级网络工程师 思科 cisco反射acl.pdf

ID:52518405

大小:276.97 KB

页数:4页

时间:2020-03-28

高级网络工程师 思科 cisco反射acl.pdf_第1页
高级网络工程师 思科 cisco反射acl.pdf_第2页
高级网络工程师 思科 cisco反射acl.pdf_第3页
高级网络工程师 思科 cisco反射acl.pdf_第4页
资源描述:

《高级网络工程师 思科 cisco反射acl.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、反射ACL详解一、概述RACL可以过滤基于第3、4、5上进行过滤,克服了标准访问控制列表和扩展访问控制列表只能基于第3层和第4层的过滤,又因为其善于进行单向的过滤,但不善于进行双向过滤。如下图所示:上图所示,如果内网主机去访问外网的DNS服务,进行域名称晳,则需要在路由器的外口fa0/0上允许外网的DNS应答流量进行内网,所以需要在路由器上配置扩展访问控制列表允许其通过。Router(config)#ipacess-listextenddnsserviceRouter(config-ext-nacl)#permitudpan

2、yeq5310.1.1.00.0.0.255gt1023Router(config-ext-nacl)#denyipanyanyRouter(config-ext-nacl)#exitRouter(config)#interfacefa0/0Router(config-if)#ipacess-groupdnsservicein但是通过上面的配置可以看其存在很多问题:1、需要允许所有DNS服务器的应答可以回到网络中2、所有大于1023端口号都必须被允许,因为这是源设备任意选择的。通过上面的例子可以看到存在很大的安全漏洞,比如攻

3、击者可以使用制作:张选波fraggle工具,利用这个缺点来建立一个DOS攻击。二、RACL工作原理1、内部ACL检查输出会话的流量,这是一个命名的扩展ACL2、添加一条语句到临时命名的RACL中3、该RACL被插入到应用在路由器外口的第三个命名的ACL三、RACL删除RACL的条目是临时的,在以下两个条件下会被删除ò会话结束òRACL中的条目超时注意:所有会话的空闲定时器默认为300秒,但根据协议的不同需将其更改,如果超时时间过长会将设备暴露给DOS或其他类型的攻击的可能就更大了。四、RACL局限性其主要两个主要的局限性:ò

4、RACL不提供一个完整的有状态方案ò不是所有的应用程序都可以与RACL一起工作RACL适合于小型的网络,因为其会很耗费内存和处理器资源,如果对一个大型网络环境,就不要使用RACL,而使用CBAC,CBAC具有更高效率的内存使用。五、配置示例制作:张选波需求:允许internet访问web服务器并允许用户访问internet。Router(config)#ipacess-listextendednetRouter(config-ext-nacl)#permittcpanyanyreflecttpc1Router(config-

5、ext-nacl)#permitudpanyanyreflectudp1timeout30Router(config-ext-nacl)#permiticmpanyanyreflecticmp1timeout20Router(config-ext-nacl)#exitRouter(config)#ipacess-listextendednet1Router(config-ext-nacl)#evaluatetcp1Router(config-ext-nacl)#evaluateudp1Router(config-ext-na

6、cl)#evaluateicmp1Router(config-ext-nacl)#permittcpanyhost99.1.1.1eq80Router(config-ext-nacl)#denyipanyanyRouter(config)#interfacefa0/0Router(config-if)#ipacess-groupnetoutRouter(config-if)#ipacess-groupnet1in需求:òInternet可以访问SQL服务器、DNS服务器、web服务器òInternet不可以访问内网,ò内部的

7、SQL服务器只可以访问DMZ的SQL服务器,不可以访问其它设备。òDMZ的SQL服务器可以访问内部的SQL服务器来传输数据ò内部用户可以访问互联网,但不可访问DMZ的SQL服务器。Router(config)#ipacess-listextendednet1Router(config-ext-nacl)#permittcphost99.制作:张选波1.1.1host99.1.2.2eq1433reflectracl1Router(config-ext-nacl)#denytcpanyanyeq1433Router(confi

8、g-ext-nacl)#denyiphost99.1.1.1anyRouter(config-ext-nacl)#permittcpanyhost99.1.2.1eq80reflectracl1Router(config-ext-nacl)#permittcpanyhost99.1.2.2

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。