Cisco访问表配置指南-第3章 Cisco访问表基础


下载 第3章 Cisco访问表基础 本书的读者就像坐在一个班里的学生一样,你们有着各不相同的经验。为了使得本书更 具有实践性,我们考虑到读者的背景各不相同,有些读者可能很有经验,而另一些则经验相 对不足,所以本章首先为使用和操作 C i s c o访问表提供一些基础知识。在本章中,首先给出访 问表的定义,然后提供足够的信息,以便读者能够理解对访问表的操作和使用。 本章提供了各种类型的访问表的一个概述、其通常的格式、在访问表中如何使用不同的 关键字,以及如何将访问表应用到接口等方面的知识。这样,本章的知识既可以作为学习 C i s c o访问表的入门材料,又可以作为那些对访问表已经比较熟悉的读者的快速参考。因为熟 练者有时候需要了解特定类型的访问表的使用情况,他们在阅读相应章节之前,可以首先在 本章中找到操作和使用访问表的基本情况。 3.1 概述 访问表(access list)是一个有序的语句集,它通过匹配报文中信息与访问表参数,来允 许报文通过或拒绝报文通过某个接口。这样的定义并不意味着安全中任何问题都能够用访问 表解决,也不意味着使用访问表根据报文中特定参数建立一种安全策略或者实现一个数据流。 3.1.1 目的 虽然访问表可以执行前面所提到的一些功能,甚至还能支持其他功能,请读者一定要记 住,访问表的主要作用是基于已经建立的标准来允许或拒绝报文流,这一点十分重要。这样, 报文过滤标准将决定所实现的访问表类型,当然,一个访问表并不总是能代表一种策略。例 如,读者可能就需要创建一个访问表,以防止某个 L A N上雇员在上班时间访问 I n t e r n e t上的 We b页面。这样的访问表就需要使用特定的参数,当该访问表应用到路由器的接口上时,就 实现了该组织的一种访问策略。 3.1.2 应用 对于路由器接口,一个访问表必须在创建之后应用到某个接口上,它才能产生作用。因 为通过接口的数据流是双向的,所以访问表要应用到接口的特定方向上,向外的方向或者向 内的方向。此处,术语“向内的(i n b o u n d)”表示数据流流向路由器,而“向外的(o u t b o u n d)” 表示数据流从路由器流出。 图3 - 1展示了一个路由器,它有一个串行口和两个以太网口。我们将在本章中多次引用这 个示例网络,它的串行口提供到 I n t e r n e t的连接,而端口E 0和E 1则提供两个以太网的连接。 注意,在图3 - 1中,每一个接口都有两个箭头。指向路由器的箭头表示接口上的向内方向 流量,从路由器指出的箭头表示接口上的向外方向流量。 第 3章 Cisco访问表基础 25下载 图3-1 将访问表应用到向外的(离开路由器的箭头)接口与将访问表应用到向内的 (指向路由器的箭头)接口。E0=Ethernet0;E1=Ethernet1;S0=串行接口0 3.2 访问表类型 C i s c o支持两种类型的访问表:标准访问表和扩展访问表。标准的访问表只允许过滤源地 址,且功能十分有限。扩展的访问表允许过滤源地址、目的地址和上层应用数据。在本节中, 将介绍这两种类型的访问表,将特别注重 I P(Internet Protocol,网际协议)访问表,因为 I P 是I n t e r n e t上唯一支持的传输协议。 3.2.1 标准IP访问表 标准I P访问表的基本格式为: 注意,在前面的列表中,两个项之间的竖线( |)表示应该选择竖线两边中的某一个项。 我们需要对标准 I P访问表中的一些项进行解释。首先, a c c e s s - l i s t中的两个字需要使用连 字符。另外,list number是1 ~ 9 9之间的一个数字,这表示它是一条普通的访问表。另外 1 ~ 9 9 之间的任何号码告诉I O S该访问表是与I P协议联系在一起的。这样,访问表号有两个功能,它 定义了访问表操作的协议,并且告诉了 I O S将所有标识为同一号码的语句作为一个实体。 在实践中,不管是命名访问表,还是编号访问表, C I S C O都支持在访问表中引用协议。 表3 - 1包含了命名访问表和编号访问表所支持的协议。因为本书的主要内容是针对 I P相关的访 问表,所以书中大量引用的示例的编号都界于 1 ~ 9 9或1 0 0 ~ 1 9 9之间。 路由器 以太网 以太局域网 Internet S0 E1E0 26 C i s c o访问表配置指南 下载 表3-1 通过名称和号码指定的访问表所支持的协议 通过名称指定的访问表所支持的协议 Apollo Domain I P I P X ISO CLNS NetBIOS IPX Source-routing bridging NetBIOS 通过编号指定的访问表所支持的协议 I P 1 ~ 9 9 扩展的I P 1 0 0 ~ 1 9 9 以太网类型代码 2 0 0 ~ 2 9 9 以太网地址 7 0 0 ~ 7 9 9 透明桥(协议类型) 2 0 0 ~ 2 9 9 透明桥(厂商代码) 7 0 0 ~ 7 9 9 扩展的透明桥 11 0 0 ~ 11 9 9 D E C N e t和扩展的D E C N e t 3 0 0 ~ 3 9 9 X N S 4 0 0 ~ 4 9 9 扩展的X N S 5 0 0 ~ 5 9 9 A p p l e Ta l k 6 0 0 ~ 6 9 9 源路由桥(协议类型) 2 0 0 ~ 2 9 9 源路由桥(厂商代码) 7 0 0 ~ 7 9 9 I P X 8 0 0 ~ 8 9 9 扩展的I P X 9 0 0 ~ 9 9 9 IPX SAP 1 0 0 0 ~ 1 0 9 9 标准的V I N E S 1 ~ 1 0 0 扩展的V I N E S 1 0 1 ~ 2 0 0 简单的V I N E S 2 0 1 ~ 3 0 0 1. 关键字 关键字p e r m i t和d e n y用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。关键 字p e r m i t表示允许报文通过接口,而关键字 d e n y表示匹配标准I P访问表源地址的报文要被丢弃 掉。 2. 源地址 对于标准的I P访问表,源地址是主机或一组主机的点分十进制表示。在实际应用中,使 用一组主机要基于对通配符屏蔽码的使用。这样,首先应该介绍一下通配符屏蔽码,并了解 一下I P地址范围的几个实例。 3. 通配符屏蔽码 C i s c o访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是相反的。这就是说,二进 制的0表示一个“匹配”条件,二进制的 1表示一个“不关心”条件。 为了说明对通配屏蔽符的操作,假设组织机构拥有一个 C类网络1 9 8 . 7 8 . 4 6 . 0。假设不使用 子网,则当配置网络中的每一个工作站时,使用子网屏蔽码 2 5 5 . 2 5 5 . 2 5 5 . 0。在这种情况下,1 表示一个“匹配”,而0表示一个“不关心”的条件。这样,如果在 4字节的子网屏蔽码的前 3 个字节中指定其值为 2 5 5,则传输控制协议 /网际协议栈(T C P / I P)只匹配报文中的网络地址, 第 3章 Cisco访问表基础 27下载 而不匹配报文中的主机地址。因为 C i s c o通配符屏蔽码与子网屏蔽码是相反的,所以下面的标 准I P访问表语句能够匹配源网络地址 1 9 8 . 7 8 . 4 6 . 0中的所有报文。 在上述访问表语句中,注意通配符屏蔽码 0 . 0 . 0 . 2 5 5与子网屏蔽码是兼容的。这样,指定 访问表通配符屏蔽码的另一方法是确定子网屏蔽码并将其取反。 4. 其他关键字 虽然访问表的许多关键字只适应于扩展访问表,但有三个关键字在标准访问表中是支持 的,并且值得引起重视。这三个关键字为 h o s t、a n y和l o g。前两个关键字h o s t和a n y分别用于指 定单个主机和所有主机,前面还没有介绍过它们。 5. Host H o s t表示一种精确的匹配,其屏蔽码为 0 . 0 . 0 . 0。例如,假设我们希望允许从 1 9 8 . 7 8 . 4 6 . 8来 的报文,则应该使用下面的访问表语句: 因为关键字h o s t表示一种精确的匹配,所以前面的访问语句也可以使用下面的语句代替: 这样,h o s t是0 . 0 . 0 . 0通配符屏蔽码的简写。 6. Any 在标准访问表中,关键字 a n y是源地址/目标地址0 . 0 . 0 . 0 / 2 5 5 . 2 5 5 . 2 5 5 . 2 5 5的简写。假设我 们要拒绝从源地址 1 9 8 . 7 8 . 4 6 . 8来的报文,并且要允许从其他源地址来的报文。标准的 I P访问 表可以使用下面的语句达到这个目的: 注意,这两条语句的顺序。访问表语句的处理顺序是由上到下的。如果我们将两个语句 顺序颠倒,将p e r m i t语句放在d e n y语句的前面,则我们将不能过滤来自主机地址 1 9 8 . 7 8 . 4 6 . 8的 报文,因为p e r m i t语句将允许所有的报文。这不像在一个班级中如果顺序不好并不会造成多大 的影响,访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞, 或者使得用户不能很好地利用公司的网络策略。 7. Log l o g关键字只在I O S版本11 . 3中存在。如果该关键字用于访问表中,则对那些能够匹配访问 表中的p e r m i t和d e n y语句的报文作日志。这样,访问表中包含有 l o g关键字的访问表也可称为 带日志的访问表(logged access list)。 当读者将一个带日志的访问表用于一个接口上时,激活访问表的第一个报文会立即引发 一条日志信息。对于后继的报文,如果其检查时间超过 5分钟,则被显示到控制台上或记录到 内存中,所记录的日志信息格式由 I O S命令logging console来控制。 日志信息包含访问表号、报文的允许或拒绝、源 I P地址以及在显示了第一个匹配以来每 5 分钟间隔内的报文数目。例如,有如下的标准 I P访问表: 28 C i s c o访问表配置指南 下载 现在假定访问表在5分钟的周期里有1 0个匹配报文。当第一个匹配出现时,显示如下的信 息: 而后,5分钟后将显示如下的信息: 使用l o g关键字,会使控制台日志提供测试和报警两种功能。读者可以使用日志来观察不 同活动下的报文匹配情况,从而可以测试不同访问表的设计情况。当其用于报警时,读者可 以察看显示结果,以定位那些多次尝试活动被拒绝的访问表语句。执行一个访问表语句的多 次尝试活动被拒绝,很可能表明有潜在的黑客攻击活动。 3.2.2 扩展的IP访问表 顾名思义,扩展的 I P访问表用于扩展报文过滤能力。一个扩展的 I P访问表允许用户根据 如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特 殊位比较的各种选项。一个扩展的 I P访问表的一般语法格式如下所示: 1. 字段综述 在本节中将简要地介绍一下扩展的 I P访问表中的每个字段,为读者使用每个字段提供一 些总体的概念,并且还讨论了该访问表类型所支持的一些选项。 2. 表号 与标准I P访问表类似,该表号标识一个扩展的 I P访问表。表号1 0 0 ~ 1 9 9可用来定义1 0 0个 唯一的扩展的I P访问表。 3. 允许/拒绝 使用p e r m i t或d e n y关键字可以指定那些匹配访问表语句的报文是否允许通过一个接口或者 被过滤掉。显然,该选项所提供的功能与标准 I P访问表相同。 4. 协议 协议表项定义了需要被过滤的协议,例如 I P、T C P、U D P、I C M P等等。协议选项是很重 要的,因为在 T C P / I P协议栈中的各种协议之间有很密切的关系。即, I P头标用于传输I C M P、 T C P、U D P以及各种路由协议,从而如果指定要过滤协议,所有其他字段所指定的匹配将会 使报文被允许或拒绝,而不考虑报文是否表示一个由 T C P、U D P或I C M P消息所承载的应用。 这样,如果读者希望根据特殊协议进行报文过滤,就要指定该协议。另外,读者应该将更具 体的表项放在靠前的位置。例如,如果读者编写的语句中,允许 I P地址的语句放在拒绝 T C P 地址的语句前面,则后一个语句根本不起作用。但是如果将这两条语句换一下位置,则在允 许该地址上的其他协议的同时,拒绝了 T C P协议。 5. 源地址和通配符屏蔽码 源地址和通配符屏蔽码的功能与标准 I P访问表中的相同。这样,读者可以在 h o s t后面跟上 一个指定的 I P地址来指定一台特定的主机;术语 a n y用于表示一个源地址和通配符屏蔽码 0.0.0.0 255.255.255.255,或者使用I P地址加上通配符屏蔽码来指定一个网络范围。注意 C i s c o 访问表功能支持通配符屏蔽码的方式与支持子网屏蔽码的方式相反。在通配符屏蔽码方式下, 二进制位0表示匹配,而二进制位1则表示“不关心”(d o n ’t care)状态。 当读者配置访问表后使用I O S的s h o w命令察看列表时,很容易被前面的表项所迷惑,这是 由于当通配符屏蔽码位被置为 1(无关)时,I O S将该访问表表项的 I P地址部分的该位设置为 二进制0。例如,考虑如下的 I O S命令,用于创建一个扩展的 I P访问表,并将其列表内容显示 出来: 在本例中,由于 C类地址的通配符屏蔽码的主机子段被设置为全 1(2 5 5),所以网络 1 9 8 . 7 8 . 4 6 . 0上的站地址2 0被自动转换为网络地址。 尽管我们没有指出在每个列表的下面应该使用“ deny all”,但在每个访问表中隐含地将 “deny all”嵌入到列表的末尾是很重要的。因此,在前面所构造的访问表末尾应添加如下的 语句: 6. 源端口号 源端口号可以用几种不同的方法来指定。它可以显式地指定,使用一个数字或者使用一 个可识别的助记符。例如,我们可以使用 8 0或者h t t p来指定We b的超文本传输协议。对于 T C P 和U D P,读者可以使用操作符<(小于)、>(大于)、=(等于)以及≠(不等于)。 7. 目的地址和通配符屏蔽码 目的地址和通配符屏蔽码的结构与源地址和通配符屏蔽码的结构相同。这也意味着读者 可以使用诸如a n y和h o s t关键字指定任何目的地址以及一个特定的地址,而不需要指定特定的 屏蔽码。 8. 目的端口号 目的端口号的指定方法与源端口号的指定方法相同。读者可以使用数字、助记符或者使 用操作符与数字或助记符相结合的格式来指定一个端口范围。下面的实例说明了访问表中操 作符的使用方法: 只要报文包含 S M T P数据,第一个语句允许来自任何主机的 T C P报文到达特定主机 1 9 8 . 7 8 . 4 6 . 8。只要报文的目的端口We b报文端口,第二个语句允许任何来自任何主机的 T C P报 文到达指定的主机1 9 8 . 7 8 . 4 6 . 3。在本例中,助记符w w w与h t t p等价,都等于数字8 0。 9. 选项 扩展的I P访问表支持很多选项。其中一个常用的选项有 l o g,它已在前面讨论标准访问表 第 3章 Cisco访问表基础 29下载 30 C i s c o访问表配置指南 下载 时介绍过了。另一个常用的选项是 e s t a b l i s h e d。该选项只用于T C P协议并且只在T C P通信流的 一个方向上来响应由另一端发起的会话。为了实现该功能,使用 e s t a b l i s h e d选项的访问表语句 检查每个T C P报文,以确定报文的 A C K或R S T位是否已设置。例如,考虑如下扩展的 I P访问 表语句: 只要报文的A C K和R S T位被设置,该访问表语句允许来自任何源地址的 T C P报文流到指 定的主机1 9 8 . 7 8 . 4 6 . 8。这意味着主机1 9 8 . 7 8 . 4 6 . 8此前必须发起了T C P会话。随后查看各种表项 的使用,包括按服务类型( type of service, TO S)的过滤以及 I P数据报中的 I P优先级 (p r e c e d e n c e)字段。 10. 关键字 表3 - 2列出了常用的访问表关键字,并给出了关键字使用方法的简短描述。诸如 a n y、 e s t a b l i s h e d、h o s t、p r e c e d e n c e、r e m a r k以及h o s t关键字都直接在访问表中使用。其他的关键字 则表示访问表中应该使用数字或助记符将其替换的字段。尽管本书中考察了每个关键字的使 用情况,但在这里值得一提的是关键字 r e m a r k,它用于在访问表中对表项进行注解。 表3-2 访问表关键字 关 键 字 使 用 方 法 a n y 对0.0.0.0 255.255.255.255的地址和通配符屏蔽码的缩写,用于源和目的地 址字段 e s t a b l i s h e d 用于过滤A C K或R S T位是否被置位(只用于T C P) h o s t 对0.0.0.0 通配符屏蔽码的缩写,用于源和目的地址 i c m p - t y p e 用于过滤I C M P消息类型。用户也可以指定I C M P消息码(0 ~ 2 5 5) p o r t 用于定义一个 T C P或U D P端口的十进制号码或者名称 p r o t o c o l 用于定义要过滤的协议,可以包含如下的关键字之一: e i g r p、g r e、i c m p、 i g m p、i g r p、i p。i p i n i p、n o s、o s p f、t c p或者u d p。也可以包含0 ~ 2 5 5之间的 一个整数,以表示一个I P协议 p r e c e d e n c e / p r e c e d e n c e 用于按优先级名称或数字( 0 ~ 7)来过滤 r e m a r k 用于在访问表中添加文本注解 TO S / t o s 用于按数字( 0 1 ~ 5)或名字指定的服务优先级来过滤 3.3 IP访问表的表项注解 从版本1 2 . 0开始,r e m a r k关键字用于标准的和扩展的 I P访问表中。关键字r e m a r k放在单个 访问表语句中的访问表号码之后,并在其后使用注解或标记。带有 r e m a r k的语句可以放在 p r e m i t或d e n y语句的前面或后面来描述;但为了清晰,应该使 r e m a r k的位置对齐。下面的实例 中显示了两个常用访问表中所使用的 r e m a r k语句: 第 3章 Cisco访问表基础 31下载 3.4 创建和使用访问表 读者可以直接在控制台上创建访问表,也可以使用字处理器或文本编辑器来编写访问表 并将其先保存在A S C I I文本文件中。为了存储A S C I I文件,保存文件的P C是服务器,需要在该 计算机上安装一个 t f t p程序,如前面所讨论过的那样。此后路由器就作为一个客户机来检索此 文件。 开始先创建相对较小的访问表,其中的语句并不很多,因此可以将各条语句显示在控制 台上。但是,当访问表越来越复杂时,则更希望将语句直接输入到文件中;在本书后面将说 明如何使用t f t p。 在一个接口上应用访问表需要三个步骤: (1) 定义访问表;(2) 定义访问表所应用的接口, 以及(3) 定义访问表用于接口上的方向。我们已经讨论了标准的和扩展的 I P访问表,下面将讨 论访问表所用的接口和接口方向。 3.4.1 指定接口 i n t e r f a c e命令用于指定一个接口。例如,为了将访问表应用于串行端口 0,读者首先必须 使用如下命令定义此接口: 类似地,为将访问表应用于连接到一个以太网 L A N的路由器端口上,假定端口为 E t h e r n e t 0,则首先应使用如下命令定义此端口: 读者可以在命令中使用许多关键字的缩写形式,如可以指定如下的命令: 3.4.2 使用IP访问组命令 在上述三个步骤中的第三步是定义访问表所应用的接口方向,可以使用 ip access-group命 令来定义,其格式如下所示: 列表号标识访问表,而关键字 i n或o u t则指明访问表所使用的方向。方向用于指出是在报 文进入或离开路由器接口时对其进行检查。 如下的实例将这三个步骤综合在一起: 在本例中,先使用 i n t e r f a c e命令定义串行端口 0,并使用ip access-group命令来将访问表 1 0 7中的语句应用于串行接口的向内方向上。最后,输入 6个访问表语句,其中三条访问表语 句使用关键字 r e m a r k,以提供关于列表中后继语句的注解说明。注意访问表中的最后一条语 句,它表示了每个访问表相关的隐含 deny all设置,并且如果不显式地列出是不会看到该语句 的。如果读者希望从路由器的控制台端口相连的终端上直接输入这些命令和语句,则应该先 使用E X E C特权命令。这个终端会话过程的实例如下所示: 3.5 命名的访问表 在企业路由器上使用编号的访问表时,有可能出现号码不够用的情况。使用编号的访问 表的另一个限制在于:尽管编号可以给出访问表的类型,但需要用户从列表语句中读出编号 并且也很难区分各个列表的一般功能。 C i s c o在I O S版本11 . 2中引入了命名的访问表来解决这些 问题。 3.5.1 概述 对于命名的访问表,它是通过一个名称而不是一个号码来引用的。命名的访问表可用于 标准的和扩展的访问表中。名称的使用是区分大小写的,并且必须以字母开头。在名称的中 间可以包含任何字母数字混合使用的字符,也可以在其中包含 [,]、{,}、_、-、+、/、 \、.、&、$、#、@、!以及?等。尽管笔者曾经创建过包含 1 0 0个字母的名字,并且成功了,但 是一般情况下,2 0 ~2 5个字母就足够表示所创建的访问表的含义了。 3.5.2 标准的命名IP访问表 下面是标准的命名I P访问表的格式: 其中n a m e表示用户分配给标准命名 I P访问表的名字。该语句后面可以带上一个或多个 p e r m i t和d e n y语句。如下面的实例所示,报文允许来自三个指定的主机,这些主机可能在会计 部门,因为访问表的名字就是这一名称: 3.5.3 标准的命名IP访问表应用 我们还没有将命名的访问表用于一个接口,所以在前面的实例中,还不知道路由器是否 32 C i s c o访问表配置指南 下载 允许报文从实例中所列的三个 I P地址主机中进来或出去。为使用命名的访问表,需要指定一 个接口,并且使用 ip access-group命令指定路由器接口过滤报文的方向。 ip access-group命令 可以与标准的或扩展的命名 I P访问表一起使用,其格式如下: 其中 n a m e表示命名的访问表的名字。假定我们希望将前面所创建的会计访问表用于 s e r i a l 0接口,以过滤输出的报文,则使用如下的语句: 至此,我们了解了标准的命名 I P访问表,下面介绍扩展的命名 I P访问表。 3.5.4 扩展的命名IP访问表 与标准的命名I P访问表类似,扩展的命名 I P访问表使用e x t e n d e d关键字,并且其后跟以用 于标识访问表的名字。扩展的 ip access-list命令格式如下所示: 其中n a m e表示扩展的命名I P访问表的名字。 3.5.5 扩展的命名IP访问表应用 扩展的命名I P访问表的使用方法与标准的命名 I P访问表相同。即,必须先使用 i n t e r f a c e命 令定义接口,而后使用带访问表名称的 ip access-group命令,最后还要指定应用到访问表过滤 报文的方向。 下面的实例将扩展的命名 I P访问表s e r v e r- s e c u r i t y应用于路由器E 1端口的向外方向上。在 本例中假定服务器位于C类网络1 9 8 . 7 8 . 4 6 . 0上并且其主机地址为. 2 0。另外假定由于We b服务器 支持公共访问,因此公司将服务器单独放在一个网段中,如图 3 - 2所示。 图3-2 使用路由器对公司的公共和专用网络进行访问控制。WS=地址为 198.78.46.20的Web服务器;CS=公司服务器 第 3章 Cisco访问表基础 33下载 路由器 专用网 公共访问 Internet 基于以上应用,扩展的I P访问表如下所示: 在本例中使用一个扩展的命名 I P访问表来限制从以太网 1的端口流出的报文到主机地址为 1 9 8 . 7 8 . 4 6 . 2 0的传输We b流量的主机。注意,我们并不将访问表应用于串行接口,因为如果这 样做,它将会禁止所有 I n t e r n e t报文流到路由器中,从而也禁止了流向特定服务器 I P地址的 We b报文。再注意到我们使用的访问表方向是输出,因为需要过滤从路由器流出到 1 9 8 . 7 8 . 4 6 . 0 网络的报文。最后,注意到标准的命名 I P访问表和扩展的命名 I P访问表遵循相同的命名访问 表构造规则,即使用访问表名称来替换 a c c e s s - l i s t和ip access-group命令中的号码。 3.5.6 编辑 至此,已介绍了命名访问表的格式和构造方法,并且简要地提到了一些使用这种访问表 的原因。但是,当读者编辑访问表时,命名的访问表还有另外一个好处。这种好处是可以删 除访问表中的指定表项。相比而言,我们不能删除编号的访问表中的指定表项。虽然读者可 以在编号的访问表的末尾添加表项,但如果需要修改多个表项,就必须创建一个新访问表, 并且删除已有的访问表,而后使用一个新的访问表。如果使用命名的访问表,则该过程就很 简单,可以通过在访问表语句中输入 n o关键字来删除表项。但是,命名的访问表和编号的访 问表都不支持语句的选择添加。为了将语句添加到访问表中,必须删除已有的访问表,并且 将合适的表项重新用于该新的或修改过的访问表上。 下面的控制台操作说明了从命名的访问表中有选择地删除一些表项的过程,其中首先使 用s h o w命令显示出称为 s e r v e r- s e c u r i t y的命名的扩展I P访问表。注意在列举了扩展的 I P访问表 之后,我们使用configure terminal命令来定义要修改的命名访问表,而后再输入 n o命令将表项 从访问表中删除。 在前面的清单中,注意在第二个 p e r m i t语句中使用n o命令,会将该语句从 s e r v e r- s e c u r i t y 访问表中删除。被删除的语句是 permit icmp any host 198.78.46.20 echo-reply,该语句在访问 表中能够响应从服务器出来并且流回到服务器的 p i n g报文。I n t e r n e t控制消息协议( I n t e r n e t Control Message Protocol,I C M P)可以使用数字或助记符来指定 I C M P消息类型。表3 - 3给出 了I C M P消息类型号与相应的消息名称的对照表。 许多公司都在路由器上阻止 p i n g,因为没有经验的黑客经常在周五晚上使用程序连续不 断地发起p i n g操作来攻击目标。为阻止这些黑客的尝试,就必须使用一个 d e n y语句,专门用 34 C i s c o访问表配置指南 下载 来禁止ICMP echo-request消息,如下面语句所示: 表3-3 ICMP类型码 类 型 名 称 0 回应应答(Echo Reply) 1 未定义(U n a s s i g n e d) 2 未定义(U n a s s i g n e d) 3 目标不可达(Destination Unreachable) 4 源抑制(Source Quench) 5 重定向(R e d i r e c t) 6 修改主机地址( Alternate Host Address) 7 未定义(U n a s s i g n e d) 8 回应(E c h o) 9 路由器告知(Router Advertisement) 1 0 路由器选择(Router Selection) 11 超时(Time Exceeded) 1 2 参数问题(Parameter Problem) 1 3 时戳(Ti m e s t a m p) 1 4 时戳应答(Timestamp Reply) 1 5 信息请求(Information Request) 1 6 信息应答(Information Reply) 1 7 地址屏蔽码请求(Address Mask Request) 1 8 地址屏蔽码应答(Address Mask Reply) 1 9 为安全保留(Reserved for Security) 2 0 ~ 2 9 为稳定性实验保留(Reserved for Robustness Experiment) 3 0 路由跟踪(Tr a c e r o u t e) 3 1 数据报转换错( Datagram Conversion Error) 3 2 移动主机重定向(Mobile Host Redirect) 3 3 I P v 6位置请求(IPv6 Where-Are-Yo u) 3 4 I P v 6位置应答(IPv6 I-Am-Here) 3 5 移动的注册请求(Mobile Registration Request) 3 6 移动的注册应答(Mobile Registration Reply) 3 7 域名请求(Domain Name Request) 3 8 域名应答(Domain Name Reply) 3 9 略(S k i p) 4 0 P h o t u r i s 4 1 ~ 2 5 5 保留(R e s e r v e d) 第一个d e n y语句使用I C M P消息的名称,而第二个语句则使用消息类型码。在访问表中包 含一个指定的deny icmp语句是因为I C M P报文是通过I P传输的。这样,如果读者希望允许 I P报 文,但不允许e c h o - r e q u e s t报文,则可以在允许I P报文之前先使用deny icmp echo-request报文。 3.5.7 编辑处理过程 C i s c o路由器支持t f t p协议,并且作为协议的客户端,从而使用户可以在 P C上操作t f t p服务 器来创建配置文件,并且将合适的文件装载到路由器中。如前所述,读者需要先使用一种字 第 3章 Cisco访问表基础 35下载 处理器或文本编辑器将配置文件保存为 A S C I I文本文件。 为说明如何使用t f t p将配置文件装载到一台路由器中,需要一个配置文件。这样,假定已 创建了如下所示的简短配置文件,可以将其命名为 a c l . t x t。 访问表中的第一个语句允许 We b报文进入指定的主机。第二个语句允许那些 R S T或A C K 位被置位的T C P报文进入,这意味着报文是用于响应由路由器可信方发起的会话。最后,第 三个语句允许来自任何外部网络主机并且流向内部网络上任何主机的 ICMP echo-reply报文。 为了装载前面所创建的文件,假设该文件存放在于主机 1 9 8 . 7 8 . 4 6 . 2上。则路由器控制台 上的通信过程如下: 3.6 需要考虑的规则 在本章最后将讨论一些规则。这些规则由一些事实和建议组成。规则的事实部分是基于 访问表处理过程中所出现的情况,而规则的建议部分则是作者根据访问表的处理过程所提出 的。 3.6.1 自上而下的处理过程 访问表表项的检测按自上而下的顺序进行的,并且从第一个表项开始。这意味着读者必 须特别谨慎地考虑在访问表中放入语句的次序。 3.6.2 添加表项 新的表项被添加到访问表的末尾,这意味着不可能改变已有访问表的功能。如果要改变, 就必须创建一个新访问表、删除已存在的访问表,并且将新访问表用于接口上。 3.6.3 标准的访问表过滤 标准的I P访问表只限于过滤源地址,所以需要使用扩展的 I P访问表来满足公司的特殊需 求。 3.6.4 访问表位置 考虑将扩展的访问表尽量放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影 36 C i s c o访问表配置指南 下载 响其他接口上的数据流。另外,考虑将标准的访问表尽量靠近目的。由于标准访问表只使用 源地址,因此将其靠近源会阻止报文流向其他 端口。 3.6.5 语句的位置 由于I P协议包含I C M P、T C P和U D P,所以应将更为具体的表项放在不太具体的表项前面, 以保证位于另一个语句前面的语句不会否定表中后面语句的作用效果。 3.6.6 访问表应用 使用a c c e s s - g r o u p命令来应用访问表。记住,只有访问表用于接口上时,才执行过滤。 3.6.7 过滤方向 过滤方向定义了所检查的报文是流入的还是流出的报文。要多次检查一下过滤的方向, 因为过滤方向指定了要检查的报文。 3.6.8 路由器产生的报文 路由器产生的报文,如路由表更新报文,不应该由向外的访问表来检查。这样,读者就 只能使用向内的访问表来检查路由表更新报文以及路由器产生的其他报文。 第 3章 Cisco访问表基础 37下载
还剩13页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 20 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

张胜军12345

贡献于2011-06-14

下载需要 20 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf