CiscoIOS访问控制列表号码.docx

安全Cisco IOS访问掌握列表号码访问掌握列表号码描述199 IP标准访问掌握列表100199 IP扩展访问掌握列表20()299协议类型代码访问掌握列表300399 DECnet访问掌握列表400499 XNS标准访问掌握列表6500599 XNS扩展访问掌握列表6(X)699ApplcTak访问掌握列表700799 48比特MAC地址访问掌握列表800899 IPX标准访问掌握列表900999 IPX扩展访问掌握列表 1000-1099 IPS SAP访问掌握列表 11001199扩展48比特MAC地址访问掌握列表 12(X)-1299 IPX汇总地址访问掌握列表 13001999 IP标准访问掌握列表(扩大范围)20222699 IP扩展访问掌握列表(扩大范围) 标准访问掌握列表RTA(config)#acccss-list access-1 ist-number pcrmit|dcny source source-wildcard log 扩展访问掌握列表RTA(conflg)#access-list access-1 ist-number permit|denyprotocol source source-wildcard destination destination-wildcard |precedence precedencetos tosjcstablishcd logtime-range timc-rangc-namc 由名字索引的访问掌握列表句法(11. 2版本前不支持) 标准.RTA(config)#ip access-list standard name 用名字定义1 .RTA(config-std-nacl)#permit|deny source source-wildcard|anylog/才旨 定一个或多个允许或拒绝条件.RTA(config-sid-nacl)#exit 退出 扩展(实例)RTA(config)#ip access-list extended WEBONLYRTA(conllg-exl-nacl)#permit tep any 10.0.0.0 0.255.255.255 eq 80RTA(config-ext-nacl)#deny ip any 10.0.0.0 0.255.255.255 RTA(config-ext-nacl)#pcrmit ip any anyRT A(con fig-exl-nacl )#AZ 可以通过show access-lists查看 基于时间的扩展访问掌握列表(1201 (T)开头支持) RTA(config)#time-range NO-RTA(config-time-range)#periodic weekdays 8:00 to 18:00 RTA(config-time-range)#exitRTA(config)#timc-rangc UDP-YESRTA(config-time-range)#periodic weekend 12:00 to 20:00RTA(config-time-range)#exitRTA(conflg)#ip access-list extended STRICTRTA(config-ext-nacl)#deny tcp any any eq time-range NO-RTA(config-ext-nacl)#pcnnit udp any any time-range UDP-YES7RTA(config-ext-nacl)#dcny udp any any range nctbios-ns nctbios-ssRTA(config-ext-nacl)#permit ip any any可以使用remark命令来描述访问掌握列表(1202之后)应用访问掌握列表到接口RTA(config-it)#ip access-group access-list-number|access-list-name in|out对路由器的VTY线路施加访问掌握列表RTA(config)#access-list 5 permit 200.1RTA(config)#acccss-list 5 RTA(config)#line vty 0 4RTA(config-line)#access-class 5 in对路由器WEB端口施加访问掌握列表RTA(config)#acccss-list 17 RTA(config)#ip serverRTA(config)#ip access-class 17动态访问掌握列表：LOCK-and-KEYiock-and-key使指定用户能获得对受保护资源的临时访问权操作步骤：1 .用户向一台配置了lock-and-key特性的防火墙路由器发起一个Telnet会话。2 . Cisco收到Telnet数据包，翻开个Telnet会话，提示输入密码认证.用户通过防火墙中的临时通道交换数据3 .当到达一个预先配置好的超时限制后，或治理员手工去除后，IOS将删除该临时性 访问掌握列表条目。RTA(config)#access-list access-list-number dynamic dynamic-nametimeoutminutes denylpcnnit protocol source-address source-wildcarddestination-address destination-wildcard配置一个动态访问掌握列表RTA(config)#acccss-list 101 permit tcp any host 192.168.1.1 cq telnetRTA(config)#access-list 101 dynamic UNLOCK timeout 120 permit ip any anyRTA(config)#int sORTA(conflg)#ip access-group 101 inLock-and-Key需要用到认证，因此需要配置一台安全效劳器其中TACACS +通过TCP供给认证、授权和审计效劳，而RADIUS使用不太牢靠的UDP协议RTA(config)#tacacs-server host itsasecretRTA(config)#aaa new-modelRTA(config)#aaa authentication login default tacacs+ enable8配置路由器用本地数据库来认证VTY用户RTA(config)#uscrnamc crnic password bertRTA(config)#line vty 0 4RTA(config)#login local配置LOCK-AND-KEY特性的最终步骤是在动态访问掌握列表中创立一个临时性的访问控 制列表条目:RTA#access-enable hosttime-out minutes使用HOST关键字将只为用户所用的单个IP地址源创立。为了设置LOCK-AND-KEY特性，我们可以配置,VTY线路让路由器自动公布“access-enable” 命令然后切断用户的TELNET会话。RTA(conflg)#line vty 0 4RTA(config-line)#autocomniand access-enable host timeout 20 使用带“established”参数的扩展访问掌握列表六个TCP 代码比特：URG (Urgent,紧急)、ACK (Acknowledgement,确认)、PSH(Push, 推送)、RST(Reset,复位)、SYN (Synchronization,同步)和 FIN (Finish,完毕)三次握手过程所发送的第一个数据包的SYN比特被设置为1.ACK比特和RST比特被设置 为0，从其次个数据包起，会话流中全部包的TCP头标中的ACK或RST比特都被设置为1,因此被邀请进入网络的数据流总会有其中一个比特被设置为1,这种数据流被认为是已建立 (established)会话的一局部。使用Cisco IOS我们可以配置一个扩展访问掌握列表依据数岫包必碘)制命改建康遮腋阿rm局部匹例168.0 0.0.0.255 establishedRTA(config)#access-list 101 permit iemp any anyRTA(config)#acccss-list 101 permit ip any anyEstablished参数仅限于TCP数据流自反访问掌握列表(Reflexive access list)我们可以利用自反访问掌握列来允许发自网络内部会话的IP数据流，而拒绝发自网络外部 会话的IP数据流，因此它可以防止大多数地址哄骗攻击和拒绝效劳攻击 自反访问掌握列表工作原理只含临时性条目，没有“拒绝一切”语句临时性条目的特点：1 .总是允许语句；.指定与最初的外出数据包一样的协议(TCP)；2 .指定与最初外出数据包一样的源地址和目的地址，但这两个地址的位置被互换：3 .指定与最初外出数据包一样的源和目的端口号码(对TCP/UDP),但这两个地址的位置被 互换；.对于不含端口号码的协议，如ICMP和IGMP、它会指定其他准则；4 .入数据流将依据自反条目被评判，直到该条R过期被删除；5 .在会话最终一个数据包通过接口后，该条目过期；.假设在一个可配置的时间长度(超时限制)中没有属于该会话的数据包被检测到，该条 目就会过期。假设应用程序使用变化端口，则自反访问掌握列表不能运用。如FTP,发起FTP会话时通 常用TCP端口 21发送掌握信息，包括三次握手和用户名/口令协商。连接建立后，通过20 端口进展数据发送。配置步骤.定义运用于外出接口上的由名字索引的扩展访问掌握列表RTA(conflg)#ip access-list extended extended-list-name.配置该由名字索引的扩展访问掌握列表来包含一个反射数据流的条目RTA(conflg-exl-nacl)#permit ip-protocol any any reflect nametimeoutseconds1 .将该外出方向的访问掌握列表应用到外出接口上RTA(config-if)#ip acccss-group cxtcndcd-list-namc out2 .定义将过滤入数据流的由名字索引的扩展访问掌握列表RTA(config)#ip access-list extended extended-list-name3 .配置该由名字索引的扩展访问掌握列表，包含一个依据所命名的自反访问掌握列表来评判入 数据流的条目RTA(config-ext-nacldevaluate name配置一个外出方向的访问掌握列表来反射数据流RTA(config)#ip access-list extended OUTBOUNDRTA(config-ext-nacl)#pcrmit ip any any reflect INVITED-TRAFFICRT A(conilg-ext-nacl )#exitRTA(config)#intcrfacc sORTA(conllg-if)#ip access-group OUTBOUND out将一个自反访问掌握列表嵌套到一个扩展访问掌握列表RTA(config)#ip access-list extended INBOUNDRTA(config-ext-nacl)#evaluate INVITED-TRAFFICRTA(contlg-ext-nacl)#exitRTA(config)#interface sORTA(contlg-if)#ip access-group INBOUND in为自反访问掌握列表条目配置全局超时值RTA(config)#ip rcflcxivc-list timeout 20()基于上下文的访问掌握(CBACJCBAC不仅仅是一个改进了的访问掌握列表，它还是一个包括数据流过滤、JAVA拦阻、数 据流审查、告警和涉及跟踪以及入侵检测功能的安全工具集。入方向访问掌握列表先于CBAC应用，假设入访问掌握列表拒绝了，则丢弃，CBAC不会被审查。只有掌握信道才被审查和监视，数据信道不被审查。10配置CBACI .选择一个接口“内部”是指会话必需主动发起以让其数据流被允许通过防火墙的一侧；“外部”是指会话 不能主动发起的一侧(从外部发起的会话被制止)技术注释：根本防火墙配置技巧1)配置一个包含允许来自不受保护网络的某些ICMP数据流条目的访问掌握列表RTA(conflg)#access-list 101 permit icmp any any echo-replyRTA(config)#access-list 101 permit icmp any any time-exceededRTA(config)#access-list 101 permit icmp any any packet-too-bigRTA(config)#access-list 101 permit icmp any any tracerouteRTA(config)#access-list 101 permit icmp any any unreachable2)防哄编保护，增加一条拒绝全部冒用受保护网络中地址的外来数据流条目3)防止播送攻击，增加一个拒绝源地址为播送地址(255.255.255.255)数据包的条目4)最好配置 “enable secret”5)在掌握台端口设置一个口令。至少应配置“login”和“password”命令6)对全部的虚拟终端端口应用访问掌握列表及口令保护，用"access-lisl”命令来限制谁可 以同net到我们的路由器上7)不要启用我们用不到的任何本地效劳(如SNMP和NTP)还有CDP和NTP缺省翻开， 如果不用就关闭8)关闭低端口效劳，对于IP,可以输入 “No service tcp-smalLservers" 和"no service udp-small-servers"全局配置命令9)通过在任何异步telnet端口上配置的访问掌握列表来防止防火墙被用作中继跳板10)关闭对任何可应用协议的定向播送功能，对于IP，使用4<no ip dircctcd-broadcast"11)配置“noproxy-arp”来防止内部地址暴露12)将防火墙放在一个安全的(上锁)的屋子里配置外部接口的技巧1)假设我们在外部接【I有一个对外出方向的IP访问掌握列表，该访问掌握列表可以是一个标 准的或是扩展的访问掌握列表。2)在外部接口上的入方向访问掌握列表必需是一个扩展的访问掌握列表。配置内部接口的技巧1)假设内部接口有一个入方向的IP访问掌握列表，或在外部接口上有对外出方向的IP访 问掌握列表，则访问掌握列表可以是标准的或扩展的；2)假设内部接口上的外出方向的IP访问掌握列表和在外部接口上的入方向的访问掌握列表 必需是扩展的访问掌握列表定义CBAC检查规章每个方向一个 1)配置应用层协议检查RTA(config)#ip inspect name inspcction-namc protocol (timeout seconds实例：RTA(config)#ip inspect name FIREWALLRTA(config)#ip inspect name FIREWALL ftpRTA(config)#ip inspect name FIREWALL udpRTA(con fig)#interface sORTA(config-if)#ip inspect FIREWALL out配置JAVA过滤RTA(config)#access-list 24 RTA(config)#access-list 24 permit anyRTA(config)#ip inspect name FIREWALL java-list 24RTA(conHg)#ip inspect name FIREWALL tepRTA(config)#interface sORTA(config-if)#ip inspect FIREWALL out配置一般性的TCP和UDP审查RTA(conflg)#ip inspect name FIREWALL tepRTA(config)#ip inspect name FIREWALL udp在接口应用检查规章要将一条检查规章应用于某个接口，可以使用下面的接口配置命令：ip inspect inspcction-namc in|out)实例：RTA(config)#in eORTA(config-if)#ip inspect FIREWALL out配置全局超时值CBAC使用超时值和门限来确定为会话治理多长时间的状态信息，并确定何时切断还没有完 全建立起来的会话。核验CBAC命令目的Show ip inspect name inspection-name 显示一个已配置 了的检查规章Show ip inspect config显示完整的CBAC审行配置Show ip inspect interfaces显示与所应用的检查规章和访问掌握列表有关的接口配置Show ip inspect session显示当前被CBAC跟踪和审杳的现存会话Show ip inspect all显示全部的CBAC配置和全部当前被CBAC跟踪和审查的现存会话访问掌握列表的替代选择通过配置一条到空接口 “null。”的静态路由，限制到某个目的地的全部数据流RTA(config)#ip route 10.0,0.0 0.0.0.255 nullO