IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 訪問控制列表和IP分段

訪問控制列表和IP分段

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  前言

  此白皮書解釋這不同的訪問控制表(ACL)條目并且什么發(fā)生當不同的種 類信息包遇到這些多種條目。用于ACLs阻攔IP信息包從被路 由器轉(zhuǎn)發(fā)。

  RFC 1858 報道IP段過濾的安 全注意事項并且突出顯示對介入TCP信息包、微小的碎片攻擊和交迭 的碎片攻擊的IP段的主機的二次攻擊。攔截這些攻擊是理想 的因為他們能攻陷主機,或者阻塞所有其內(nèi)部資源。

  RFC 1858 也描述二個方法保衛(wèi)這些攻 擊,直接和間接。在直接方法,最小長度小于的初始分段被 丟棄。如果開始8個字節(jié)原始IP數(shù)據(jù)報,間接方法介入丟棄片 段集的第二個片段。請參閱 RFC 1858 關(guān)于更詳細的細節(jié)。

  傳統(tǒng)上, 信息包過濾器類似ACLs被應用于不分片和IP信息包的初始分段因為 他們包含第三層和4 ACLs能匹配為允許或拒絕決策的信息。因為他們在信息包,可以被阻攔根據(jù)第三層信息非初始片段通過ACL 傳統(tǒng)上允許; 然而,因為這些信息包不包含第四層信息,他 們在ACL條目不匹配第四層信息,如果存在。因為收到片段的 主機不能重新召集原始IP數(shù)據(jù)報沒有初始分段,允許IP數(shù)據(jù)包的非 初始片段通過是可接受的。

  防火墻可 能也使用對阻攔信息包通過維護信息包碎片表源和目的地IP地址、 協(xié)議和IP標注的ID。Cisco PIX防火墻和 Cisco IOS防火墻能過濾特定數(shù)據(jù)流的所有片段通過 維護信息此表,但它是太消耗大的以至于不能執(zhí)行此在一個路由器 為基本的ACL功能。 防火墻的主要工作是對阻攔信息包,并 且其輔助角色是路由信息包; 路由器的主要工作是路由信息 包,并且其輔助角色是阻攔他們。

  二個變化做在Cisco IOS軟件版本上12.1(2) 和12.0(11)解決包圍TCP 片段的一些安全問題。 間接方法,如所描述在 RFC 1858 ,是被實施 作為標準TCP/IP輸入信息包充分檢查一部分。變動也做了對 ACL 功能關(guān)于非初始片段。

  ACL表項的類型

  有六不同種類的ACL線路 ,并且其中每一有一個后果如果信息包執(zhí)行或不配比。 在以 下列表,F(xiàn)O = 0指示不分片或一個初始分段在TCP流,F(xiàn)O > 0表明信 息包是一個非初始片段,L3意味著第三層,并且L4意味著第四層。

  注意: 當有時第 三層和第四層信息在ACL線路和 片段 關(guān)鍵字存在,ACL活動為許可證是保守的并且拒絕動作 。動作是保守的因為您不想要偶然地拒絕流的一個分段的部 分因為片段不包含充足的信息匹配所有過濾器屬性。 在拒絕 事例,而不是拒絕一個非初始片段,下ACL條目被處理。在許 可證事例,假設(shè)第四層信息在信息包,如果可用,在ACL 線路匹配 第四層信息。

  許可證ACL線路帶有L3僅信息

  如果信息包的L3信息在ACL線路匹配 L3 信息,允許。

  如果信息包的L3信 息在ACL線路不匹配L3信息,下ACL條目被處理。

  拒絕ACL線路帶有L3僅信息

  如果信息包的L3信息 在ACL線路匹配L3 信息,它否認。

  如果信息包的L3信息在ACL線路不匹配L3信息,下ACL條目被處理。

  允許ACL線 路帶有L3僅信息,并且片段關(guān)鍵字存在

  如果信息包的L3信息在ACL線路匹配L3 信息,信息 包碎片偏移被檢查。

  如果信息包的 FO > 0,信息包允許。

  如果信息包 的FO = 0,下ACL條目被處理。

  拒絕ACL線路帶有L3僅信息 ,并且片段關(guān)鍵字存在

  如果信息包的L3信息在ACL線路匹配L3 信息,信息包碎片偏移被檢 查。

  如果信息包的FO > 0,信息包被 丟棄。

  如果信息包的FO = 0,下條 ACL線路被處理。

  允許ACL線路帶有L3和L4信息

  如果信息包的L3和L4信息匹配ACL線 路和FO = 0,信息包允許。

  如果信息 包的L3信息匹配ACL線路和FO > 0,信息包允許。

  拒絕ACL線路帶有L3和L4信 息

  如果信息包的L3和 L4信息匹配ACL條目和FO = 0,信息包被丟棄。

  如果信息包的L3信息匹配ACL線路和FO > 0,下ACL 條目被處理。

  ACL規(guī)則流程圖

  當不分片、初始分段和非初始片段被檢查ACL時,以 下流程圖說明ACL規(guī)則。

  注意: 非初始片段包含僅第三層,從未第四層信息, 雖然ACL可能包含第三層和第四層信息。

  訪問控制列表和IP分段


  信息包如何能匹配 ACL

  示例 1

  以下五個可能的情況介 入遇到ACL 100的不同種類的信息包。參見表和流程圖您跟隨 什么在每個情況發(fā)生。網(wǎng)絡(luò)服務器的IP地址是171.16.23.1。

  access-list 100 permit tcp any host 171.16.23.1 eq 80

  access-list 100 deny ip any any

  信息包是為 服務器或不分片注定的初始分段在端口80:

  ACL的第一條線路包含第 三層和第四層信息,在信息包匹配第三層和第四層信息,因此信息 包允許。

  信 息包是為服務器或不分片注定的初始分段在端口21:

  ACL的第一條線路包含第 三層和第四層信息,但第四層信息在ACL不匹配信息包,因此下條 ACL線路被處理。

  ACL的第二條線路丟 棄所有信息包,因此信息包被丟棄。

  信息包是非初始片段到服務 器在端口80流:

  ACL的第 一條線路包含第三層和第四層信息,第三層信息在ACL匹配信息包, 并且ACL 活動是允許,因此信息包允許。

  信息包是非初始片段到服務 器在端口21流:

  ACL的 第一條線路包含第三層和第四層信息。第三層信息在ACL匹配 信息包,沒有第四層信息在信息包,并且ACL活動是允許,因此信息 包允許。

  信息包是初始分段、不分片或者非初始片段到另一臺主機在服務器 子網(wǎng):

  ACL的第一條 線路包含在信息包的第三層信息(目的地地址)不匹配第三層信息, 因此下條ACL線路被處理。

  ACL的第 二條線路丟棄所有信息包,因此信息包被丟棄。

  示例 2

  下列同樣五個可能的 情況介入遇到ACL 101的不同種類的信息包。再次,參見表 和流程圖您跟隨什么在每個情況發(fā)生。網(wǎng)絡(luò)服務器的IP地址 是171.16.23.1。

  access-list 101 deny ip any host 171.16.23.1 fragments

  access-list 101 permit tcp any host 171.16.23.1 eq 80

  access-list 101 deny ip any any

  信息包是為服務器或不分片注定的初始分段在端口 80:

  ACL的第一條線路 包含在信息包匹配第三層信息的第三層信息。ACL活動是拒絕 ,但因為 片段 關(guān)鍵字存 在,下ACL條目被處理。

  ACL的第二 條線路包含第三層和第四層信息,匹配信息包,因此信息包允許。

  信息包 是為服務器或不分片注定的初始分段在端口21:

  ACL的第一條線路包含 第三層信息,匹配信息包,但ACL條目也有 片 段 關(guān)鍵字,不匹配信息包因為FO = 0 ,因 此下ACL條目被處理。

  ACL的第二條 線路包含第三層和第四層信息。在這種情況下,第四層信息 不配比,因此下ACL條目被處理。

  ACL的第三條線路丟棄所有信息包,因此信息包被丟 棄

  信息包 是非初始片段到服務器在端口80流:

  ACL的第一條線路包含在信息包匹配第三層信息的第 三層信息。切記即使這是端口80流的一部分,沒有第四層信 息在非初始片段。因為第三層信息配比,信息包被丟棄。

  信息包是 非初始片段到服務器在端口21流:

  ACL的第一條線路包含僅第三層信息,并且匹配信息包,因此信息包被丟棄。

  信息包是初始分段、不分片或者非初始片段到另一 臺主機在服務器子網(wǎng):

  ACL的第一條線路包含僅第三層信息,并且不匹配信 息包,因此下條ACL線路被處理。

  ACL的第二條線路包含第三層和第四層信息。第四層信息在信息包不匹配那ACL,因此下條ACL線路被處理。

  ACL的第三條線路丟棄此信息包

  分段關(guān)鍵字情形

  方案1

  路由器B接通到網(wǎng)絡(luò)服務器,并且網(wǎng)絡(luò)管理員不想要 允許任何片段到達服務器。 此方案顯示發(fā)生了什么如果網(wǎng)絡(luò) 管理員實現(xiàn)ACL 100與ACL 101。ACL是應用Inbound在路由器 Serial0 (s0)接口并且應該允許僅不可成片斷的信息包到達網(wǎng)絡(luò)服 務器。參見 ACL規(guī)則流程圖 和 信息包如何能匹配 ACL部分當您跟隨方案。

  使用片段關(guān)鍵字的后果

  訪問控制列表和IP分段


  下列是 ACL 100:

  access-list 100 permit tcp any host 171.16.23.1 eq 80

  access-list 100 deny ip any any

  ACL 100的第一條線路允 許僅HTTP對服務器,但在服務器也允許非初始片段對所有TCP端口。 它允許這些信息包因為非初始片段不包含第四層信息,并且 ACL邏輯假設(shè)那如果第三層信息匹配,然后第四層信息也配比,如果 是可用的。第二條線路是含蓄的并且否決其他數(shù)據(jù)流。

  請注意,自Cisco IOS軟件版本 12.1(2)和12.0(11),新的ACL代碼投下在ACL不匹配其他線路的片段 。如果他們不匹配ACL的其他線路,更早版本通過允許非初始 片段。

  下列是ACL 101:

  access-list 101 deny ip any host 171.16.23.1 fr

關(guān)鍵詞標簽:IP分段,訪問控制列表

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務器工具軟件 站長裝備:十大網(wǎng)站管理員服務器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程 ADSL雙線負載均衡設(shè)置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量