IT猫扑网:您身边最放心的安全下载站! 最新更新|软件分类|软件专题|手机版|论坛转贴|软件发布

您当前所在位置:首页系统集成网络管理 → 访问控制列表和IP分段

访问控制列表和IP分段

时间:2015/6/28来源:IT猫扑网作者:网管联盟我要评论(0)

  前言

  此白皮书解释这不同的访问控制表(ACL)条目并且什么发生当不同的种 类信息包遇到这些多种条目。用于ACLs阻拦IP信息包从被路 由器转发。

  RFC 1858 报道IP段过滤的安 全注意事项并且突出显示对介入TCP信息包、微小的碎片攻击和交迭 的碎片攻击的IP段的主机的二次攻击。拦截这些攻击是理想 的因为他们能攻陷主机,或者阻塞所有其内部资源。

  RFC 1858 也描述二个方法保卫这些攻 击,直接和间接。在直接方法,最小长度小于的初始分段被 丢弃。如果开始8个字节原始IP数据报,间接方法介入丢弃片 段集的第二个片段。请参阅 RFC 1858 关于更详细的细节。

  传统上, 信息包过滤器类似ACLs被应用于不分片和IP信息包的初始分段因为 他们包含第三层和4 ACLs能匹配为允许或拒绝决策的信息。因为他们在信息包,可以被阻拦根据第三层信息非初始片段通过ACL 传统上允许; 然而,因为这些信息包不包含第四层信息,他 们在ACL条目不匹配第四层信息,如果存在。因为收到片段的 主机不能重新召集原始IP数据报没有初始分段,允许IP数据包的非 初始片段通过是可接受的。

  防火墙可 能也使用对阻拦信息包通过维护信息包碎片表源和目的地IP地址、 协议和IP标注的ID。Cisco PIX防火墙和 Cisco IOS防火墙能过滤特定数据流的所有片段通过 维护信息此表,但它是太消耗大的以至于不能执行此在一个路由器 为基本的ACL功能。 防火墙的主要工作是对阻拦信息包,并 且其辅助角色是路由信息包; 路由器的主要工作是路由信息 包,并且其辅助角色是阻拦他们。

  二个变化做在Cisco IOS软件版本上12.1(2) 和12.0(11)解决包围TCP 片段的一些安全问题。 间接方法,如所描述在 RFC 1858 ,是被实施 作为标准TCP/IP输入信息包充分检查一部分。变动也做了对 ACL 功能关于非初始片段。

  ACL表项的类型

  有六不同种类的ACL线路 ,并且其中每一有一个后果如果信息包执行或不配比。 在以 下列表,FO = 0指示不分片或一个初始分段在TCP流,FO > 0表明信 息包是一个非初始片段,L3意味着第三层,并且L4意味着第四层。

  注意: 当有时第 三层和第四层信息在ACL线路和 片段 关键字存在,ACL活动为许可证是保守的并且拒绝动作 。动作是保守的因为您不想要偶然地拒绝流的一个分段的部 分因为片段不包含充足的信息匹配所有过滤器属性。 在拒绝 事例,而不是拒绝一个非初始片段,下ACL条目被处理。在许 可证事例,假设第四层信息在信息包,如果可用,在ACL 线路匹配 第四层信息。

  许可证ACL线路带有L3仅信息

  如果信息包的L3信息在ACL线路匹配 L3 信息,允许。

  如果信息包的L3信 息在ACL线路不匹配L3信息,下ACL条目被处理。

  拒绝ACL线路带有L3仅信息

  如果信息包的L3信息 在ACL线路匹配L3 信息,它否认。

  如果信息包的L3信息在ACL线路不匹配L3信息,下ACL条目被处理。

  允许ACL线 路带有L3仅信息,并且片段关键字存在

  如果信息包的L3信息在ACL线路匹配L3 信息,信息 包碎片偏移被检查。

  如果信息包的 FO > 0,信息包允许。

  如果信息包 的FO = 0,下ACL条目被处理。

  拒绝ACL线路带有L3仅信息 ,并且片段关键字存在

  如果信息包的L3信息在ACL线路匹配L3 信息,信息包碎片偏移被检 查。

  如果信息包的FO > 0,信息包被 丢弃。

  如果信息包的FO = 0,下条 ACL线路被处理。

  允许ACL线路带有L3和L4信息

  如果信息包的L3和L4信息匹配ACL线 路和FO = 0,信息包允许。

  如果信息 包的L3信息匹配ACL线路和FO > 0,信息包允许。

  拒绝ACL线路带有L3和L4信 息

  如果信息包的L3和 L4信息匹配ACL条目和FO = 0,信息包被丢弃。

  如果信息包的L3信息匹配ACL线路和FO > 0,下ACL 条目被处理。

  ACL规则流程图

  当不分片、初始分段和非初始片段被检查ACL时,以 下流程图说明ACL规则。

  注意: 非初始片段包含仅第三层,从未第四层信息, 虽然ACL可能包含第三层和第四层信息。

  访问控制列表和IP分段


  信息包如何能匹配 ACL

  示例 1

  以下五个可能的情况介 入遇到ACL 100的不同种类的信息包。参见表和流程图您跟随 什么在每个情况发生。网络服务器的IP地址是171.16.23.1。

  access-list 100 permit tcp any host 171.16.23.1 eq 80

  access-list 100 deny ip any any

  信息包是为 服务器或不分片注定的初始分段在端口80:

  ACL的第一条线路包含第 三层和第四层信息,在信息包匹配第三层和第四层信息,因此信息 包允许。

  信 息包是为服务器或不分片注定的初始分段在端口21:

  ACL的第一条线路包含第 三层和第四层信息,但第四层信息在ACL不匹配信息包,因此下条 ACL线路被处理。

  ACL的第二条线路丢 弃所有信息包,因此信息包被丢弃。

  信息包是非初始片段到服务 器在端口80流:

  ACL的第 一条线路包含第三层和第四层信息,第三层信息在ACL匹配信息包, 并且ACL 活动是允许,因此信息包允许。

  信息包是非初始片段到服务 器在端口21流:

  ACL的 第一条线路包含第三层和第四层信息。第三层信息在ACL匹配 信息包,没有第四层信息在信息包,并且ACL活动是允许,因此信息 包允许。

  信息包是初始分段、不分片或者非初始片段到另一台主机在服务器 子网:

  ACL的第一条 线路包含在信息包的第三层信息(目的地地址)不匹配第三层信息, 因此下条ACL线路被处理。

  ACL的第 二条线路丢弃所有信息包,因此信息包被丢弃。

  示例 2

  下列同样五个可能的 情况介入遇到ACL 101的不同种类的信息包。再次,参见表 和流程图您跟随什么在每个情况发生。网络服务器的IP地址 是171.16.23.1。

  access-list 101 deny ip any host 171.16.23.1 fragments

  access-list 101 permit tcp any host 171.16.23.1 eq 80

  access-list 101 deny ip any any

  信息包是为服务器或不分片注定的初始分段在端口 80:

  ACL的第一条线路 包含在信息包匹配第三层信息的第三层信息。ACL活动是拒绝 ,但因为 片段 关键字存 在,下ACL条目被处理。

  ACL的第二 条线路包含第三层和第四层信息,匹配信息包,因此信息包允许。

  信息包 是为服务器或不分片注定的初始分段在端口21:

  ACL的第一条线路包含 第三层信息,匹配信息包,但ACL条目也有 片 段 关键字,不匹配信息包因为FO = 0 ,因 此下ACL条目被处理。

  ACL的第二条 线路包含第三层和第四层信息。在这种情况下,第四层信息 不配比,因此下ACL条目被处理。

  ACL的第三条线路丢弃所有信息包,因此信息包被丢 弃

  信息包 是非初始片段到服务器在端口80流:

  ACL的第一条线路包含在信息包匹配第三层信息的第 三层信息。切记即使这是端口80流的一部分,没有第四层信 息在非初始片段。因为第三层信息配比,信息包被丢弃。

  信息包是 非初始片段到服务器在端口21流:

  ACL的第一条线路包含仅第三层信息,并且匹配信息包,因此信息包被丢弃。

  信息包是初始分段、不分片或者非初始片段到另一 台主机在服务器子网:

  ACL的第一条线路包含仅第三层信息,并且不匹配信 息包,因此下条ACL线路被处理。

  ACL的第二条线路包含第三层和第四层信息。第四层信息在信息包不匹配那ACL,因此下条ACL线路被处理。

  ACL的第三条线路丢弃此信息包

  分段关键字情形

  方案1

  路由器B接通到网络服务器,并且网络管理员不想要 允许任何片段到达服务器。 此方案显示发生了什么如果网络 管理员实现ACL 100与ACL 101。ACL是应用Inbound在路由器 Serial0 (s0)接口并且应该允许仅不可成片断的信息包到达网络服 务器。参见 ACL规则流程图 和 信息包如何能匹配 ACL部分当您跟随方案。

  使用片段关键字的后果

  访问控制列表和IP分段


  下列是 ACL 100:

  access-list 100 permit tcp any host 171.16.23.1 eq 80

  access-list 100 deny ip any any

  ACL 100的第一条线路允 许仅HTTP对服务器,但在服务器也允许非初始片段对所有TCP端口。 它允许这些信息包因为非初始片段不包含第四层信息,并且 ACL逻辑假设那如果第三层信息匹配,然后第四层信息也配比,如果 是可用的。第二条线路是含蓄的并且否决其他数据流。

  请注意,自Cisco IOS软件版本 12.1(2)和12.0(11),新的ACL代码投下在ACL不匹配其他线路的片段 。如果他们不匹配ACL的其他线路,更早版本通过允许非初始 片段。

  下列是ACL 101:

  access-list 101 deny ip any host 171.16.23.1 fr

关键词标签:IP分段,访问控制列表

相关阅读

文章评论
发表评论

热门文章 路由器地址大全-各品牌路由设置地址路由器地址大全-各品牌路由设置地址各品牌的ADSL与路由器出厂默认IP、帐号、密各品牌的ADSL与路由器出厂默认IP、帐号、密Nslookup命令详解-域名DNS诊断Nslookup命令详解-域名DNS诊断站长装备:十大网站管理员服务器工具软件站长装备:十大网站管理员服务器工具软件

相关下载

人气排行 各品牌的ADSL与路由器出厂默认IP、帐号、密码路由器地址大全-各品牌路由设置地址腾达路由器怎么设置?腾达路由器设置教程ADSL双线负载均衡设置详细图文教程路由表说明(详解route print)网管员实际工作的一天用此方法让2M带宽下载速度达到250K/S左右网管必会!了解交换机控制端口流量