演示：动态ACL的应用

第10章实施网络安全任务10.3.2演示：动态ACL的配置动态ACL是对基础ACL的一种应用扩展，动态ACL要求某些非安全区域的主机在访问受保护的网络资源之前，首先经过身份验证，然后它自动创建动态访问控制项来允许访问会话传入；基础的标准访问控制列表和扩展访问控制列表不能做到这一点。现在需要理解的是动态ACL的工作过程，如图10.19所示。图10.19动态ACL的工作过程任务10.3.2客户机如果需要访问服务器192.168.2.2，如果在路由器上实施了动态ACL的配置，那么客户机将首先尝试telnet到配置了动态ACL的路由器R1，此时，Telnet进程会要求客户端主机输入用户名与密码，事实上，动态ACL正是使用这个用户输入的用户名和密码完成对远程主机的身份验证，注意：这里的Telnet只是一种假象，其实真正的目的是在于身份验证。当完成身份验证后，如果用户合法，那么配置动态ACL的路由器会添加一条临时的允许访问内部网络某项服务器的ACL语句，这条语句的生效时间是有限制的，以用户配置的生效时间来作作为这条语句的生效时间。此时，切断Telnet会话，客户端开始正式访问服务器192.168.2.2上的相关服务，直到配置的超时时间到期前都成功的获得访问。当允许的最长连接时间到期时，被增加的临时ACL条目被删除。任务10.3.2在什么情况下使用动态ACL基础ACL的主要作用是控制访问行为，但是在很多情况下使用基础的ACL并不是最佳方案，比如：网络边界路由器面对广泛的安全来源时，基础的ACL就显得力不从心了。所谓广泛的安全来源发生在这样一种情况下：网络边界路由器只允许具有某些特点的访问来源进入安全区域访问服务器，但是访问来源可能是通过拨号形式连接Internet的，而通常拨号形式的Internet接入，每次所获得的IP地址都不同。在这种情况下，如果使用基础的ACL，那么可能你每次都要重新书写ACL语句，因为控制来源的IP地址随时都会变化，或者你需要书写相当冗长的ACL列表，当然你可以使用一条any语句来替代这些广泛来源的不同IP地址，但是，这无疑增大了安全隐患，为黑客提供了非法访问的机会。所以，在这种情况下动态ACL是一种可取的方案，因为在增加临时ACL语句（允许访问）之前，对访问来源进行了身份验证。任务10.3.2演示：动态ACL的配置演示目标：演示动态ACL的配置。演示动态ACL和Telnet同时使用的案例。演示环境：使用如图10.19所示的环境。演示背景：在路由器R1上配置动态ACL，对客户机访问服务器的行为进行身份验证，如果身份合法，则允许客户机访问服务器；反之，则不允许访问。为路由器R1配置动态ACL后，要求同时可以通过Telnet路由器R1执行网络管理，这就提出一个问题：动态ACL使用Telnet形式来完成身份验证，路由器R1需要被真正的Telnet执行远程管理时，怎么办？演示步骤：任务10.3.2在路由器R1上配置动态ACL，并将其应用到相关的接口上。具体配置如下。关于动态ACL的配置：R1(config)#usernameccnapasswordgood*配置要验证的用户名与密码R1(config)#usernameccnaautocommandaccess-enablehosttimeout10*为ccna用户配置动态ACL的空闲超时时间为10分钟，也就是指示动态ACL插入临时条目后，在10分钟没有匹配流量的情况下，该临时条目将被删除；host关键字指示动态ACL插入的临时条目只对激活身份验证的主机生效，如果没有host关键字，一旦某台主机验证成功激活后，其他主机不需要做验证就可以访问资源，这样是存在安全隐患的。R1(config)#access-list101permittcpanyhost192.168.3.1eqtelnet*配置扩展ACL允许任何源IP地址Telnet路由器R1（192.168.3.1），这是必需的，因为动态ACL依赖使用Telnet形式完成身份验证的，所以必须允许Telnet协议R1(config)#access-list101dynamicccnatimeout120permitipanyhost192.168.2.2*配置动态ACL的具体内容，动态ACL是在扩展ACL101的基础上构造起来的，所以它使用扩展ACL101所使用的ACL号码，以关键字dynamic声明这是一条名为“ccna”的动态ACL。该语句中的timeout指示动态ACL的绝对超时时间，所谓绝对超时时间是指当这个时间到期时，无论有无匹配的数据，临时条目都将被删除，用户必须重新进行验证；permitipanyhost192.168.2.2指示动态ACL对用户验证成功后，插入临时条目的具体内容，这里的内容是验证成功后允许任何源IP地址访问目标主机192.168.2.2R1(config)#linevty04*进入VTY0、1、2、3、4的线路配置模式R1(config-line)#loginlocal*使用本地安全数据库完成Telnet登录证R1(config)#interfacee1/0*进入路由器R1的外部接口E1/0模式R1(config-if)#ipaccess-group101in*在R1的E1/0接口的入方向上应用ACL101任务10.3.2当完成上述配置后，现在来体会动态ACL的效果，并验证动态ACL是否生效。首先到路由器R1上执行showaccess-lists查看现有的ACL条目，如图10.20所示，目前验证未被激活，所以在显示结果中只有一条先前所配置的基础的扩展ACL条目和动态ACL的声明语句，暂时没有被插入的临时ACL语句。图10.20激活验证前的ACL条目内容任务10.3.2此时，在主机192.168.3.2上执行对服务器192.168.2.2的ping，结果如图10.21所示，无法ping通服务器，显示为目标不可达，这是因为现在主机192.168.2.2还没有经过路由器R1的身份验证，动态ACL支持的临时条目暂时没有生效。图10.21在激活验证前客户机无法与服务器通信任务10.3.2现在，在主机192.168.3.2上Telnet路由器R1（192.168.3.1），在主机192.168.3.2的CMD提示符下执行Telnet192.168.3.1，显示如图10.22所示，在这个过程中完成身份验证，虽然这看上去是一个Telnet的验证过程，但事实上不是，因为完成身份验证后，会立即切断Telnet连接。然后，在主机192.168.3.2上再次发起对服务器192.168.2.2的ping，此时会出现如图10.23所示的结果，成功地ping通服务器。这是因为动态ACL对客户机进行了身份验证，并获得验证成功的结果，然后触发临时的ACL语句所致。图10.22进行动态ACL的身份验证图10.23成功完成身份验证后的通信效果在完成上述配置后，到路由器R1上再次使用showaccess-lists查看ACL语句，如图10.24所示，现在可以看到出现了临时ACL语句，并且有4个与该语句匹配的数据包，以及空闲倒计时。任务10.3.2在完成上述过程后，现在提出一个问题：路由器为了实现动态ACL的功能，使用Telnet形式来完成身份验证，如果动态ACL要集成正常的Telnet该怎么办？也就是说，在路由器R1上要同时使用动态ACL与正常Telnet的解决方案。具体的配置如下。配置动态ACL与正常Telnet的集成：R1(config)#linevty04R1(config-line)#nologinlocal*取消在VTY0～4线路模式下的验证配置R1(config)#linevty03*进入VTY0、1、2、3线路模式R1(config-line)#loginlocal*使用本地安全数据库完成身份验证图10.24临时条目生效后的状态任务10.3.2注意：在现在的配置中，没有完全使用VTY的所有线路，一般情况下路由器有5条VTY线路0、1、2、3、4；现在只使用了0～3号线路来用作动态ACL，余下的4号线路提供给正常的Telnet使用。R1(config)#linevty4 *进入VTY4号线路模式R1(config-line)#login *进行登录验证R1(config-line)#passwordccna *配置Telnet登录的密码R1(config-line)#rotary1 *将Telnet的端口移向端口3001R1(config)#enablepasswordccna *配置Enable的密码R1(config)#access-list101permittcpanyhost192.168.3.1eq3001*注意:此时必须在ACL列表101中增加一条允许telnet3001的语句;否则正常的Tel