项目16、扩展访问列表的应用.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * 项目16、扩展访问列表的应用 1.动态ACL的使用场合 （1）在要允许特定的远程用户或用户组从其远程主机通过internet访问您的网络内部的主机时，可使用动态ACL。Lock-and-key验证用户的身份，并允许他在限定的时间内通过防火墙路由器对主机进行有限的访问。 （2）在要允许本地网络中某个子网内的主机访问防火墙保护的远程网络中的主机时，可使用动态ACL。通过使用Lock-and-key，可以只允许特定的本地主机访问远程主机。Lock-and-key要求用户向TACACS＋服务器（或其它安全服务器）验证身份，然后才允许其主机访问远程主机。 16.6.1 动态ACL 项目16、扩展访问列表的应用 2.动态ACL的优点 与标准ACL和静态扩展ACL相比，动态ACL提供了如下安全方面的优点： （1）使用挑战机制验证每个用户的身份； （2）在大型互联网络中管理起来更简单。 （3）在很多情况下，可减少ACL占用的路由器处理能力； （4）降低了网络黑客攻破网络的机会； （5）在不破坏其它安全措施的情况下，动态地提供了用户通过防火墙访问网络的权限。 16.6.1 动态ACL 项目16、扩展访问列表的应用 16.6.1 动态ACL 图16.6 动态ACL 2.使用FTP、HTTP等连接到服务器 1.使用Telnet连接到路由器并验证身份 R2 R1 R3 S0/0/1 /30 /24 SW1 SW2 SW3 PC2 PC3 0/30 PC1 0/30 项目16、扩展访问列表的应用 3.动态ACL的配置 如图16.6所示。管理员在PC1计算机上，它要求通过后门访问与路由器R3相连的网络/24。在路由器R3上配置动态ACL，它允许FTP和HTTP在限定的时间内穿越路由器R3。 第1步：创建一个登录名和密码，以便用于身份验证。 R3(config)#username test password test 第2步：允许用户建立到路由器的Telnet连接。在锁和钥匙被触发前，将忽略动态ACL条目。窗口打开15分钟，然后将自动关闭，而不管用户是否在使用它。 让用户能够连接到路由器的Telnet连接以便验证身份，同时阻断其它所有数据流 R3(config)#access-list 110 permit tcp any host eq telnet R3(config)#access-list 110 dynamic testlist timeout 15 permit ip 55 55 16.6.1 动态ACL 项目16、扩展访问列表的应用 第3步：将ACL应用于接口s0/0/0 R3(config)#interface serial 0/0/0 R3(config-if)#ip address 52 R3(config-if)#ip access-group 110 in 第4步：用户使用telnet通过身份验证后，命令autocommand将执行，而Telnet会话将终止。现在，用户可访问网络。如果连续5分钟没有活动，窗口将关闭 R3(config)#line vty 0 4 R3(config-line)#login local R3(config-line)#autocommand access-enable host tomeout 5 R3(config-line)#end R3# 16.6.1 动态ACL 项目16、扩展访问列表的应用 1.自反ACL的概念 网络管理员使用自反ACL来允许从内部网络发起的会话的IP流量，同时拒绝外部网络发起的IP流量。如图16.7所示。此类ACL使路由器能动态管理会话流量。路由器检查出站流量，当发现新的连接时，便会在临时ACL中添加条目以允许应答流量进入。自反ACL仅包含临时条目。当新的IP会话开始时（例如，数据包出站），这些条目会自动创建，并在会话结束时自动删除。 16.6.2 自反ACL 项目16、扩展访问列表的应用 图16.7 自反ACL R2 R1 R3 S0/1/0 06/30 /24 SW1 SW3 s0/0/0 /30 ISP s0/0/1 /30 s0/0/1 /30 /24 s0/0/0 /30 不受信任的网络 外部发起的 内部发起的 保护受信任的网络 项目16、扩展访问列表的应用 2.自反ACL的优点 自反ACL具有以下优点： （1）帮助保护您的网络免遭网络黑客攻击，并可内嵌在防火墙防护中。 （2）提供一定级别的安全性，防御欺骗攻击和某些DoS攻击。自反ACL方式较难以欺骗，因为允许通过的数据包需要满足更多的过滤条件。例如，源和目的地址及端口号都会检查