演示：自反ACL的配置和应用

第10章实施网络安全任务10.3.3演示：自反ACL的配置自反ACL的定义自反ACL（reflexiveACL），它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址，这样ACL就能基于一种访问的状态来过滤外部回到企业内部的流量，可以更加严格地控制哪些流量能进入企业的内部网络（安全网络），并且提升了扩展访问列表的实战应用能力。比如，企业网络管理员希望企业内部的用户能访问Internet，但是不希望Internet上的主机主动访问企业内部网络时，自反ACL将是一种理想的选择。自反ACL的工作过程如图10.25所示，自反ACL能够根据上层会话信息来过滤IP数据包，它可以使自己网络所发起的会话中的数据返回到自己的网络，但是不允许外部网络的主机主动访问内部网络，当然，被ACL明确声明允许访问的流量除外。自反ACL的工作原理示意图如图10.25所示。任务10.3.3图10.25自反ACL的工作原理示意图任务10.3.3出站流量在穿越路由器R1时，自动建立流量审计规则，至于哪些流量需要建立审计规则由自反ACL语句所规定。当流量从外部返回到内部时，路由器R1将使用第一步中建立的审计规则来审计流量是否可以到达内部网络，它审计的条目有状态标记，比如：TCP连接返回数据的SYN=1;ACK=1表示从外部返回给内部网络的TCP协商状态；如果收到的是SYN=1;ACK=0，那么该状态就会被拒绝，因为这是某个外部主机TCP的初始状态。除了关心相关状态信息外，自反ACL还关心目标地址和源地址，这些都是在第一步中内部主机访问外部时所创建的临时条目，只是源和目标做个调换而已。如果有外部主机发向内部网络的连接，它将被拒绝。任务10.3.3关于自反ACL应用的注意事项自反ACL只能由带编号或者命名的扩展ACL实现，带编号或者命名的标准ACL无法实现自反ACL的功能。自反ACL的访问语句是临时的，它从会话的开始而开始，当会话结束时，临时的访问条目也将自动删除。自反ACL并不可以直接应用到某个接口上，它被嵌入到某个具体的扩展ACL中，然后将这个扩展ACL应用到某个接口上，所以自反ACL不存在隐式拒绝语句denyipanyany，但是承载它嵌入的扩展ACL存在隐式拒绝语句denyipanyany。自反ACL不能应用在会话过程中改变端口的服务，比如：主动FTP，因为主动FTP在会话过程中端口号会发生改变，它使用了两个端口号，其中21用于FTP控制消息；20用于FTP数据传输。假设内部主机主动发送一个FTP的控制会话，目标端口为21，这个状态通常会被自反ACL所识别，并允许数据返回到内部网络，但是，当外部主机进行数据传输时，使用20号端口，主动连接内部网络的主机，这会被自反ACL所拒绝。解决方案有两种，其中一种方案是使用被动FTP，被动FTP的数据控制与数据传输使用同一个端口，并且都是由客户端发起的，所以能被自反ACL所理解；另一种方案就是使用比自反ACL更高级的控制方案CBAC（基于上下文访问控制）的ACL，也叫作基于IOS的防火墙。关于主动FTP与被动FTP的更多信息，请参看本书第4章“详解并取证网络协议的工作原理”。任务10.3.3演示：自反ACL的配置演示目标：配置自反ACL。演示环境：使用如图10.25所示的环境。演示背景：在路由器R1上完成自反ACL的配置，然后由外部主机主动与内部主机通信，观察通信的结果，并理解出现这种通信结果的依据；再由内部主机主动访问外部主机，观察通信的结果，并理解出现这种通信结果的依据。演示步骤：在路由器R1上配置自反ACL，具体配置如下：R1(config)#ipaccess-listextendedin-to-out*建立一个叫作“in-to-out”的命名扩展ACLR1(config-ext-nacl)#permitipanyanyreflectccnatimeout60*建立一个名为“ccna”的自反ACL，permitipanyany指示审计任意源地址和目标地址的IP流量，或者叫作声明要审计的条件，临时列表将根据这个审计条件来建立；reflect是建立自反ACL的关键字；ccna是所建立的自反ACL的名称，你可以根据自身需求，命名为任何具有标识性意义的名称；timeout60指示自反ACL的空闲超时值任务10.3.3注意：上述所定义的ACL实际上是定义了自反ACL的一个审计条件，并不是真实阻挡外部流量的语句。R1(config)#ipaccess-listextendedout-to-in*建立一个叫作“out-to-in”的命名扩展ACLR1(config-ext-nacl)#evaluateccna*根据一个名为“ccna”的自反ACL所建立的临时审计条目来过滤从外部到内部的数据流量注意：上述所定义的ACL才是真正阻挡从外部进入到内部流量的数据包，具体允许哪些数据通过，需要ccna这个自反ACL的临时条目来确定，默认将拒绝一切从外到内的主动访问。虽然ccna这个自反ACL没有默认拒绝，但是out-to-in这个命名的扩展ACL是具备隐式拒绝语句的，如果你需要明确允许外部网络可以主动访问内部的某些服务，那么就使用基础的ACL在evaluateccna语句前进行显式声明。R1(config)#interfacee1/1R1(config-if)#ipaccess-groupin-to-outout*应用审计流量的ACLR1(config-if)#ipaccess-groupout-to-inin*应用过滤数据包的ACL任务10.3.3注意：在使用自反ACL时通常会存在两个基础的扩展ACL，其中一个用于声明流量审计的条件，比如：上述演示环境中的in-to-out；另一个用于根据自反的临时条目来过滤进入内部的数据流量，比如：上述演示环境中的out-to-in。关于声明流量审计的ACL可以应用到路由器的内部接口的in方向上，也可以应用到外部接口的out方向上，而真正的过滤ACL需要应用到外部接口的in方向上。任务10.3.3检查自反ACL的效果与生效状态。首先在外部主机上发起对内部主机的ping，结果如图10.26所示，外部主机无法主动与内部主机通信。现在通过在路由器R1上执行showipaccess-lists来查看ACL的状态，如图10.27所示，除了声明的审计条件外，暂时没有任何自反的临时条目形成，所以外部主机不能访问内部主机。图10.26外部主机无法主动与内部主机通信图10.27没有自反临时条目的ACL状态任务10.3.3现在在内部主机上去ping外部主机，并且去访问外部主机上的一