Cisco IOS 访问控制列表号码.doc

安全Cisco IOS 访问控制列表号码访问控制列表号码 描 述199 IP标准访问控制列表100199 IP扩展访问控制列表200299 协议类型代码访问控制列表300399 DECnet访问控制列表400499 XNS标准访问控制列表6500599 XNS扩展访问控制列表600699 AppleTalk访问控制列表700799 48比特MAC地址访问控制列表800899 IPX标准访问控制列表900999 IPX扩展访问控制列表10001099 IPS SAP 访问控制列表11001199 扩展48比特MAC地址访问控制列表12001299 IPX汇总地址访问控制列表13001999 IP标准访问控制列表(扩充范围)20002699 IP扩展访问控制列表(扩充范围)标准访问控制列表RTA(config)#access-list access-list-number permit|deny sourcesource-wildcard log扩展访问控制列表RTA(config)#access-list access-list-number permit|denyprotocol sourcesource-wildcard destination destination-wildcard precedenceprecedencetos tosestablished logtime-range time-range-name由名字索引的访问控制列表句法(112版本前不支持)标准1.RTA(config)#ip access-list standard name /用名字定义2.RTA(config-std-nacl)#permit|deny source source-wildcard|anylog/指定一个或多个允许或拒绝条件3.RTA(config-std-nacl)#exit /退出扩展(实例)RTA(config)#ip access-list extended WEBONLYRTA(config-ext-nacl)#permit tcp any 55 eq 80RTA(config-ext-nacl)#deny ip any 55RTA(config-ext-nacl)#permit ip any anyRTA(config-ext-nacl)#Z可以通过show access-lists 查看基于时间的扩展访问控制列表（12.0.1(T)开始支持）RTA(config)#time-range NO-HTTPRTA(config-time-range)#periodic weekdays 8:00 to 18:00RTA(config-time-range)#exitRTA(config)#time-range UDP-YESRTA(config-time-range)#periodic weekend 12:00 to 20:00RTA(config-time-range)#exitRTA(config)#ip access-list extended STRICTRTA(config-ext-nacl)#deny tcp any any eq http time-range NO-HTTPRTA(config-ext-nacl)#permit udp any any time-range UDP-YES7RTA(config-ext-nacl)#deny udp any any range netbios-ns netbios-ssRTA(config-ext-nacl)#permit ip any any可以使用remark 命令来描述访问控制列表（12.0.2之后）应用访问控制列表到接口RTA(config-if)#ip access-group access-list-number|access-list-name in|out对路由器的VTY 线路施加访问控制列表RTA(config)#access-list 5 permit 55RTA(config)#access-list 5 permit RTA(config)#line vty 0 4RTA(config-line)#access-class 5 in对路由器WEB端口施加访问控制列表RTA(config)#access-list 17 permit 55RTA(config)#ip http serverRTA(config)#ip http access-class 17动态访问控制列表：LOCK-and-KEYlock-and-key 使指定用户能获得对受保护资源的临时访问权操作步骤：1 用户向一台配置了lock-and-key特性的防火墙路由器发起一个Telnet 会话。2 Cisco 收到Telnet数据包，打开一个Telnet会话，提示输入密码认证3 用户通过防火墙中的临时通道交换数据4 当达到一个预先配置好的超时限制后，或管理员手工清除后，IOS将删除该临时性访问控制列表条目。RTA(config)#access-list access-list-number dynamic dynamic-nametimeoutminutesdeny|permitprotocol source-address source-wildcarddestination-address destination-wildcard配置一个动态访问控制列表RTA(config)#access-list 101 permit tcp any host eq telnetRTA(config)#access-list 101 dynamic UNLOCK timeout 120 permit ip any anyRTA(config)#int s0RTA(config)#ip access-group 101 inLock-and-Key 需要用到认证，因此需要配置一台安全服务器其中TACACS通过TCP 提供认证、授权和审计服务，而RADIUS 使用不太可靠的UDP 协议RTA(config)#tacacs-server host RTA(config)#tacacs-server host itsasecretRTA(config)#aaa new-modelRTA(config)#aaa authentication login default tacacs+ enable8配置路由器用本地数据库来认证VTY 用户RTA(config)#username ernie password bertRTA(config)#line vty 0 4RTA(config)#login local配置LOCK-AND-KEY 特性的最后步骤是在动态访问控制列表中创建一个临时性的访问控制列表条目：RTA#access-enable hosttime-out minutes使用HOST关键字将只为用户所用的单个IP 地址源创建。为了设置LOCK-AND-KEY特性，我们可以配置VTY 线路让路由器自动发布“access-enable”命令然后切断用户的TELNET 会话。RTA(config)#line vty 0 4RTA(config-line)#autocommand access-enable host timeout 20使用带“established”参数的扩展访问控制列表六个TCP 代码比特：URG（Urgent，紧急）、ACK（Acknowledgement，确认）、PSH(Push，推送)、RST(Reset，复位)、SYN（Synchronization，同步）和FIN（Finish，结束）三次握手过程所发送的第一个数据包的SYN比特被设置为1，ACK比特和RST比特被设置为0，从第二个数据包起，会话流中所有包的TCP 头标中的ACK或RST 比特都被设置为1，因此被邀请进入网络的数据流总会有其中一个比特被设置为1，这种数据流被认为是已建立（established）会话的一部分。使用Cisco IOS我们可以配置一个扩展访问控制列表根据数据包是否是一个已建立连接的一部分来匹配它。RTA(config)#access-list 101 permit tcp any 55 establishedRTA(config)#access-list 101 permit icmp any anyRTA(config)#access-list 101 deny ip any 55RTA(config)#access-list 101 permit ip any anyEstablished 参数仅限于TCP 数据流自反访问控制列表（Reflexive access list）我们可以利用自反访问控制列来允许发自网络内部会话的IP数据流，而拒绝发自网络外部会话的IP 数据流，因此它可以防止大多数地址欺骗攻击和拒绝服务攻击自反访问控制列表工作原理只含临时性条目，没有“拒绝一切”语句临时性条目的特点：1.总是允许语句；2.指定与最初的外出数据包相同的协议(TCP)；3.指定与最初外出数据包相同的源地址和目的地址，但这两个地址的位置被互换；4.指定与最初外出数据包相同的源和目的端口号码（对TCP/UDP），但这两个地址的位置被互换;5.对于不含端口号码的协议，如ICMP 和IGMP,它会指定其他准则；6.入数据流将根据自反条目被评判，直到该条目过期被删除；97.在会话最后一个数据包通过接口后，该条目过期；8如果在一个可配置的时间长度（超时限制）中没有属于该会话的数据包被检测到，该条目就会过期。如果应用程序使用变化端口，则自反访问控制列表不能运用。如FTP，发起FTP 会话时通常用TCP 端口21发送控制信息，包括三次握手和用户名/口令协商。连接建立后，通过20端口进行数据发送。配置步骤1.定义运用于外出接口上的由名字索引的扩展访问控制列表RTA(config)#ip access-list extended extended-list-name2.配置该由名字索引的扩展访问控制列表来包含一个反射数据流的条目RTA(config-ext-nacl)#permit ip-protocol any any reflect nametimeoutseconds3.将该外出方向的访问控制列表应用到外出接口上RTA(config-if)#ip access-group extended-list-name out4.定义将过滤入数据流的由名字索引的扩展访问控制列表RTA(config)#ip access-list extended extended-list-name5.配置该由名字索引的扩展访问控制列表，包含一个根据所命名的自反访问控制列表来评判入数据流的条目RTA(config-ext-nacl)#evaluate name配置一个外出方向的访问控制列表来反射数据流RTA(config)#ip access-list extended OUTBOUNDRTA(config-ext-nacl)#permit ip any any reflect INVITED-TRAFFICRTA(config-ext-nacl)#exitRTA(config)#interface s0RTA(config-if)#ip access-group OUTBOUND out将一个自反访问控制列表嵌套到一个扩展访问控制列表RTA(config)#ip access-list extended INBOUNDRTA(config-ext-nacl)#evaluate INVITED-TRAFFICRTA(config-ext-nacl)#exitRTA(config)#interface s0RTA(config-if)#ip access-group INBOUND in为自反访问控制列表条目配置全局超时值RTA(config)#ip reflexive-list timeout 200基于上下文的访问控制（CBAC）CBAC不仅仅是一个改进了的访问控制列表，它还是一个包括数据流过滤、JAVA 拦阻、数据流审查、告警和涉及跟踪以及入侵检测功能的安全工具集。入方向访问控制列表先于CBAC 应用，如果入访问控制列表拒绝了，则丢弃，CBAC不会被审查。只有控制信道才被审查和监视，数据信道不被审查。10配置CBAC1选择一个接口“内部”是指会话必须主动发起以让其数据流被允许通过防火墙的一侧；“外部”是指会话不能主动发起的一侧（从外部发起的会话被禁止）技术注释：基本防火墙配置技巧1)配置一个包含允许来自不受保护网络的某些ICMP 数据流条目的访问控制列表RTA(config)#access-list 101 permit icmp any any echo-replyRTA(config)#access-list 101 permit icmp any any time-exceededRTA(config)#access-list 101 permit icmp any any packet-too-bigRTA(config)#access-list 101 permit icmp any any tracerouteRTA(config)#access-list 101 permit icmp any any unreachable2)防欺骗保护，增加一条拒绝所有冒用受保护网络中地址的外来数据流条目3)防止广播攻击，增加一个拒绝源地址为广播地址(55)数据包的条目4)最好配置“enable secret”5)在控制台端口设置一个口令。至少应配置“login”和“password”命令6)对所有的虚拟终端端口应用访问控制列表及口令保护，用“access-list”命令来限制谁可以telnet 到我们的路由器上7)不要启用我们用不到的任何本地服务（如SNMP和NTP）还有CDP 和NTP 缺省打开，如果不用就关闭8)关闭低端口服务，对于IP，可以输入“No service tcp-small-servers”和“no serviceudp-small-servers”全局配置命令9)通过在任何异步telnet 端口上配置的访问控制列表来防止防火墙被用作中继跳板10)关闭对任何可应用协议的定向广播功能，对于IP，使用“no ip directed-broadcast”11)配置“no proxy-arp”来防止内部地址暴露12)将防火墙放在一个安全的(上锁)的屋子里配置外部接口的技巧1) 如果我们在外部接口有一个对外出方向的IP访问控制列表，该访问控制列表可以是一个标_准的或是扩展的访问控制列表。2) 在外部接口上的入方向访问控制列表必须是一个扩展的访问控制列表。配置内部接口的技巧1）如果内部接口有一个入方向的IP 访问控制列表，或在外部接口上有对外出方向的IP访问控制列表，则访问控制列表可以是标准的或扩展的；2）如果内部接口上的外出方向的IP访问控制列表和在外部接口上的入方向的访问控制列表必须是扩展的访问控制列表定义CBAC检查规则每个方向一个1）配置应用层协议检查RTA(config)#ip inspect name inspection-name protocol timeout seconds实例：RTA(config)#ip inspect name FIREWALL httpRTA(config)#ip inspect name FIREWALL ftp11RTA(config)#ip inspect name FIREWALL udpRTA(config)#interface s0RTA(config-if)#ip inspect FIREWALL out配置JAVA 过滤RTA(config)#access-list 24 deny 55RTA(config)#access-list 24 deny 55RTA(config)#access-list 24 permit anyRTA(confi