《Cisco访问表基础》由会员分享,可在线阅读,更多相关《Cisco访问表基础(14页珍藏版)》请在金锄头文库上搜索。
1、下载第 3章 们有着各不相同的经验。为了使得本书更具有实践性,我们考虑到读者的背景各不相同,有些读者可能很有经验,而另一些则经验相对不足,所以本章首先为使用和操作 C i s c 本章中,首先给出访问表的定义,然后提供足够的信息,以便读者能够理解对访问表的操作和使用。本章提供了各种类型的访问表的一个概述、其通常的格式、在访问表中如何使用不同的关键字,以及如何将访问表应用到接口等方面的知识。这样,本章的知识既可以作为学习C i s c 可以作为那些对访问表已经比较熟悉的读者的快速参考。因为熟练者有时候需要了解特定类型的访问表的使用情况,他们在阅读相应章节之前,可以首先在本章中找到操作和使用访问表
2、的基本情况。 概述访问表( 一个有序的语句集,它通过匹配报文中信息与访问表参数,来允许报文通过或拒绝报文通过某个接口。这样的定义并不意味着安全中任何问题都能够用访问表解决,也不意味着使用访问表根据报文中特定参数建立一种安全策略或者实现一个数据流。 目的虽然访问表可以执行前面所提到的一些功能,甚至还能支持其他功能,请读者一定要记住,访问表的主要作用是基于已经建立的标准来允许或拒绝报文流,这一点十分重要。这样,报文过滤标准将决定所实现的访问表类型,当然,一个访问表并不总是能代表一种策略。例如,读者可能就需要创建一个访问表,以防止某个 L A n t e r n e 样的访问表就需要使用特定的参数,
3、当该访问表应用到路由器的接口上时,就实现了该组织的一种访问策略。 应用对于路由器接口,一个访问表必须在创建之后应用到某个接口上,它才能产生作用。因为通过接口的数据流是双向的,所以访问表要应用到接口的特定方向上,向外的方向或者向内的方向。此处,术语“向内的( i n b o u n d) ”表示数据流流向路由器,而“向外的( o u t b o u n d) ”表示数据流从路由器流出。图 3 - 1展示了一个路由器,它有一个串行口和两个以太网口。我们将在本章中多次引用这个示例网络,它的串行口提供到 I n t e r n e 端口 E 0和 E 1则提供两个以太网的连接。注意,在图 3 - 1中
4、,每一个接口都有两个箭头。指向路由器的箭头表示接口上的向内方向流量,从路由器指出的箭头表示接口上的向外方向流量。第 3章 5下载图 3 将访问表应用到向外的(离开路由器的箭头)接口与将访问表应用到向内的(指向路由器的箭头)接口。 行接口 访问表类型C i s c 准访问表和扩展访问表。标准的访问表只允许过滤源地址,且功能十分有限。扩展的访问表允许过滤源地址、目的地址和上层应用数据。在本节中,将介绍这两种类型的访问表,将特别注重 I P( 际协议)访问表,因为 I n t e r n e 标准 意,在前面的列表中,两个项之间的竖线( |)表示应该选择竖线两边中的某一个项。我们需要对标准 I 先,
5、 a c c e s s - l i s 外, 9 9之间的一个数字,这表示它是一条普通的访问表。另外 1 9 9之间的任何号码告诉 I O 样,访问表号有两个功能,它定义了访问表操作的协议,并且告诉了 I O 实践中,不管是命名访问表,还是编号访问表, C I S C 3 - 1包含了命名访问表和编号访问表所支持的协议。因为本书的主要内容是针对 I 以书中大量引用的示例的编号都界于 1 9 9或 1 0 0 1 9 9之间。路由器以太网 以太局域网 i s c 载表 3 通过名称和号码指定的访问表所支持的协议通过名称指定的访问表所支持的协议I P 1 9 9扩展的 I P 1 0 0 1 9
6、 9以太网类型代码 2 0 0 2 9 9以太网地址 7 0 0 7 9 9透明桥(协议类型) 2 0 0 2 9 9透明桥(厂商代码) 7 0 0 7 9 9扩展的透明桥 11 0 0 11 9 9D E C N e E C N e t 3 0 0 3 9 9X N S 4 0 0 4 9 9扩展的 X N S 5 0 0 5 9 9A p p l e Ta l k 6 0 0 6 9 9源路由桥(协议类型) 2 0 0 2 9 9源路由桥(厂商代码) 7 0 0 7 9 9I P X 8 0 0 8 9 9扩展的 I P X 9 0 0 9 9 9 0 0 0 1 0 9 9标准的 V I
7、 N E S 1 1 0 0扩展的 V I N E S 1 0 1 2 0 0简单的 V I N E S 2 0 1 3 0 01. 关键字关键字 p e r m i t和 d e n 是要过滤掉。关键字 p e r m i 关键字 d e n . 源地址对于标准的 I 地址是主机或一组主机的点分十进制表示。在实际应用中,使用一组主机要基于对通配符屏蔽码的使用。这样,首先应该介绍一下通配符屏蔽码,并了解一下 I . 通配符屏蔽码C i s c 就是说,二进制的 0表示一个“匹配”条件,二进制的 1表示一个“不关心”条件。为了说明对通配屏蔽符的操作,假设组织机构拥有一个 9 8 . 7 8 .
8、4 6 . 0。假设不使用子网,则当配置网络中的每一个工作站时,使用子网屏蔽码 2 5 5 . 2 5 5 . 2 5 5 . 0。在这种情况下, 1表示一个“匹配” ,而 0表示一个“不关心”的条件。这样,如果在 4字节的子网屏蔽码的前 3个字节中指定其值为 2 5 5,则传输控制协议 /网际协议栈( T C P / I P)只匹配报文中的网络地址,第 3章 7下载而不匹配报文中的主机地址。因为 C i s c 以下面的标准 I 9 8 . 7 8 . 4 6 . 0中的所有报文。在上述访问表语句中,注意通配符屏蔽码 0 . 0 . 0 . 2 5 5与子网屏蔽码是兼容的。这样,指定访问表通
9、配符屏蔽码的另一方法是确定子网屏蔽码并将其取反。4. 其他关键字虽然访问表的许多关键字只适应于扩展访问表,但有三个关键字在标准访问表中是支持的,并且值得引起重视。这三个关键字为 h o s t、 a n y和 l o g。前两个关键字 h o s t和 a n 面还没有介绍过它们。5. o s 屏蔽码为 0 . 0 . 0 . 0。例如,假设我们希望允许从 1 9 8 . 7 8 . 4 6 . 8来的报文,则应该使用下面的访问表语句:因为关键字 h o s 以前面的访问语句也可以使用下面的语句代替:这样, h o s . 0 . 0 . 0通配符屏蔽码的简写。6. 键字 a n 目标地址 0
10、 . 0 . 0 . 0 / 2 5 5 . 2 5 5 . 2 5 5 . 2 5 5的简写。假设我们要拒绝从源地址 1 9 8 . 7 8 . 4 6 . 8来的报文,并且要允许从其他源地址来的报文。标准的 I 意,这两条语句的顺序。访问表语句的处理顺序是由上到下的。如果我们将两个语句顺序颠倒,将 p e r m i d e n 我们将不能过滤来自主机地址 1 9 8 . 7 8 . 4 6 . 8的报文,因为 p e r m i 不像在一个班级中如果顺序不好并不会造成多大的影响,访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞,或者使得用户不能很好地利用公司的网络
11、策略。7. o O 1 . 3中存在。如果该关键字用于访问表中,则对那些能够匹配访问表中的 p e r m i t和 d e n 样,访问表中包含有 l o 。当读者将一个带日志的访问表用于一个接口上时,激活访问表的第一个报文会立即引发一条日志信息。对于后继的报文,如果其检查时间超过 5分钟,则被显示到控制台上或记录到内存中,所记录的日志信息格式由 I O 志信息包含访问表号、报文的允许或拒绝、源 I 分钟间隔内的报文数目。例如,有如下的标准 I 8 C i s c 载现在假定访问表在 5分钟的周期里有 1 0个匹配报文。当第一个匹配出现时,显示如下的信息:而后, 5分钟后将显示如下的信息:使
12、用 l o 使控制台日志提供测试和报警两种功能。读者可以使用日志来观察不同活动下的报文匹配情况,从而可以测试不同访问表的设计情况。当其用于报警时,读者可以察看显示结果,以定位那些多次尝试活动被拒绝的访问表语句。执行一个访问表语句的多次尝试活动被拒绝,很可能表明有潜在的黑客攻击活动。 扩展的 展的 I 个扩展的 I 和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。一个扩展的 I . 字段综述在本节中将简要地介绍一下扩展的 I 读者使用每个字段提供一些总体的概念,并且还讨论了该访问表类型所支持的一些选项。2. 表号与标准 I 表号标识一个扩展的 I 号 1 0 0 1 9 9可用来定义 1 0 0个唯一的扩展的 I . 允许 /拒绝使用 p e r m i t或 d e n 然,该选项所提供的功能与标准 I . 协议协议表项定义了需要被过滤的协议,例如 I P、 T C P、 U D P、 I C M 议选项是很重要的,因为在 T C P / I , I C M P、T C P、 U D 而如果指定要过滤协议,所有其他字段所指定的匹配将会使报文被允许或拒绝,而不考虑报文是否表示一
