win7系統下載
當前位置: 首頁 > 網絡技術教程 > 詳細頁面

動態ACL設置詳解

發布時間:2022-05-03 文章來源:xp下載站 瀏覽: 59

網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。

IP訪問控制列表算是Cisco IOS一個內在的security feature,以下是對常用的動態訪問控制列表做了個總結。

Pt.1 Lock-and-Key Security

Lock-and-Key Overview

lock-and-key動態ACL使用IP動態擴展ACL過濾IP流量。當配置了lock-and-key動態ACL之后,臨時被拒絕掉的IP流量可以獲得暫時性的許可。 lock-and-key動態ACL臨時修改路由器接口下已經存在的ACL,來允許IP流量到達目標設備。之后lock-and-key動態ACL把接口狀態還原。

通過lock-and-key動態ACL獲得訪問目標設備權限的用戶,首先要開啟到路由器的telnet會話。接著lock-and-key動態ACL自動對用戶進行認證。如果認證通過,那么用戶就獲得了臨時性的訪問權限。

Configuring Lock-and-Key

配置lock-and-key動態ACL的步驟如下:

1.設置動態ACL:

BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}

2.擴展動態ACL的絕對計時器。可選:

BitsCN(config)# access-list dynamic-extend

3.定義需要應用ACL的接口:

BitsCN(config)#interface {interface}

4.應用ACL:

BitsCN(config-if)#ip access-group {ACL}

5.定義VTY線路:

BitsCN(config)#line vty {line-number [ending-line-number]}

6.對用戶進行認證:

BitsCN(config)#username {username} password {password}

7.采用TACACS認證或本地認證方式。可選:

BitsCN(config-line)#login {tacacs|local}

8.創建臨時性的訪問許可權限,如果沒有定義參數host,默認為所有主機:

BitsCN(config-line)#autocommand access-enable {host} [timeout minutes]

Case 1

在5分鐘內開啟到172.16.1.2的telnet會話,如果認證成功,對用戶給予120秒的訪問許可權:


Monitoring and Maintaining Lock-and-Key

查看ACL信息:

一般情況下,TCP連接的建立需要經過三次握手的過程:

1.建立發起者向目標計算機發送一個TCP SYN數據包。

2.目標計算機收到這個TCP SYN數據包后,在內存中創建TCP連接控制塊(TCB),然后向發送源回復一個TCP確認(ACK)數據包,等待發送源的響應。

3.發送源收到TCP ACK數據包后,再以一個TCP ACK數據包,TCP連接成功。

TCP SYN洪水攻擊的過程:

1.攻擊者向目標設備發送一個TCP SYN數據包。

2.目標設備收到這個TCP SYN數據包后,建立TCB,并以一個TCP ACK數據包進行響應,等待發送源的響應。

3.而發送源則不向目標設備回復TCP ACK數據包,這樣導致目標設備一致處于等待狀態。

4.如果TCP半連接很多,會把目標設備的資源(TCB)耗盡,而不能響應正常的TCP連接請求。,從而完成拒絕服務的TCP SYN洪水攻擊。

TCP攔截特性可以防止TCP的SYN洪水攻擊。TCP攔截特性的兩種模式:

1.攔截(intercept):軟件將主動攔截每個進站的TCP連接請求(TCP SYN),并以服務器的身份,以TCP ACK數據包進行回復,然后等待來自客戶機的TCP ACK數據包。當再次收到客戶機的TCP ACK數據包后,最初的TCP SYN數據包被移交給真正的服務器,軟件進行TCP三次握手,建立TCP連接。

2.監控(watch):進站的TCP連接請求(TCP SYN)允許路由器移交給服務器,但是路由器將對連接進行監控,直到TCP連接建立完成。如果30秒內TCP連接建立不成功,路由器將發送重置(Reset)信號給服務器,服務器將清除TCP半連接。


網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。

本文章關鍵詞: ACL 動態 配制 路由器 
返回網站下載首頁
0
主站蜘蛛池模板: 美国十次狠狠色综合| 91探花国产综合在线精品| 亚洲另类激情综合偷自拍| 亚洲国产综合精品中文第一区| 青青青国产色视频在线观看国产亚洲欧洲国产综合 | 色欲香天天天综合网站| 亚洲国产精品综合久久网络 | 一本色道久久综合狠狠躁篇 | 欧美一区二区三区综合| 色综合天天综合网国产国产人| 狠狠色狠狠色综合| 狠狠亚洲婷婷综合色香五月排名| 人人狠狠综合久久亚洲婷婷| 色婷婷色综合激情国产日韩 | 青青综合在线 | 狠狠的干综合网| 91在线亚洲综合在线| 国产成人精品综合久久久久| 欧美亚洲日韩国产综合网| 亚洲欧美综合网| 色综合天天综合中文网| 色噜噜狠狠成人中文综合| 国产成人综合在线观看网站| 亚洲国产成人久久综合区| 亚洲啪啪综合AV一区| 久久综合久久久| 综合色就爱涩涩涩综合婷婷| 欧美激情中文字幕综合一区| 亚洲国产精品成人AV无码久久综合影院 | 亚洲日本国产综合高清| 久久综合综合久久狠狠狠97色88| 色欲天天婬色婬香视频综合网| 丁香婷婷综合网| 在线综合+亚洲+欧美中文字幕| 激情五月婷婷综合网站| 国产精品无码久久综合网| 亚洲精品天天影视综合网| 国产成+人+综合+欧美亚洲| 亚洲国产天堂久久综合网站| 狠狠色综合网站久久久久久久高清| 综合五月激情五月开心婷婷|