4.1ACL概述4.2標(biāo)準(zhǔn)ACL4.3擴(kuò)展ACL4.4RACL4.5防火墻概述4.6PIX防火墻的基本配置4.7PIX防火墻的NAT與PAT配置4.8PIX防火墻的管理配置4.9PIX防火墻的ACL配置4.10PIX防火墻的對(duì)象分組配置4.11PIX防火墻的DHCP服務(wù)器配置4.12PIX防火墻的DHCP中斷代理配置

ACL可以為流過網(wǎng)絡(luò)的流量提供一個(gè)基本級(jí)別的安全保護(hù)。默認(rèn)情況下，路由器不過濾任何流量，可以通過為路由器配置和應(yīng)用ACL來過濾通過路由器的流量。ACL通常用來阻止不同設(shè)備訪問特定的服務(wù)、特定的設(shè)備或者特定的網(wǎng)絡(luò)部分。ACL是應(yīng)用于路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以進(jìn)入或離開、哪些數(shù)據(jù)包要被拒絕。所以，ACL往往被看做是一種流量過濾工具。4.1ACL概述4.1.1ACL的工作原理

要實(shí)現(xiàn)流量過濾，必須通過ACL語句，在路由器上定義條件，根據(jù)這些條件來決定是否允許流量通過。ACL語句有兩個(gè)組件：條件和操作。條件基本上是一組規(guī)則，用于匹配數(shù)據(jù)包內(nèi)容，如在數(shù)據(jù)包源地址中查找匹配，或者在源地址、目的地址、協(xié)議類型和協(xié)議信息中查找匹配。當(dāng)ACL語句條件與比較的數(shù)據(jù)包內(nèi)容相匹配時(shí)，則會(huì)采取一個(gè)操作：允許或拒絕數(shù)據(jù)包。每條ACL語句只能列出一個(gè)條件和一個(gè)操作，如果需要多個(gè)條件或多個(gè)操作，則必須設(shè)置多條ACL語句。ACL語句組合在一起形成一個(gè)列表或策略，一個(gè)列表中包含的語句數(shù)量是沒有限制的，零條、一條或多條都是允許的，當(dāng)然列表越長(zhǎng)，管理越復(fù)雜。ACL的基本工作過程是：路由器自上而下地處理列表，從第一條語句開始，如果數(shù)據(jù)包內(nèi)容與當(dāng)前語句條件不匹配，則處理列表中的下一條語句，以此類推；如果數(shù)據(jù)包內(nèi)容與當(dāng)前語句條件匹配，則不再處理后面的語句；如果數(shù)據(jù)包內(nèi)容與列表中任何顯式語句條件都不匹配，則丟棄該數(shù)據(jù)包，這是因?yàn)樵诿總€(gè)訪問控制列表的最后都跟隨著一條看不見的語句，稱為“隱式的拒絕”語句，致使所有沒有找到顯式匹配的數(shù)據(jù)包都被拒絕。所以，在ACL中應(yīng)至少包含一條允許操作的語句，否則數(shù)據(jù)包即使沒有與帶有拒絕操作的語句條件匹配，也會(huì)因隱式的拒絕語句而被丟棄。但是，如果路由器激活了一個(gè)不包含任何語句的ACL，即空的ACL，它將允許所有的數(shù)據(jù)包通過，這意味著一個(gè)空的ACL是不包含隱式拒絕語句的，隱式拒絕語句只在非空的ACL(至少包含一條允許或拒絕語句)中起作用。

ACL語句的排列順序很重要，下面舉例說明語句的順序可能帶來的問題。如圖4-1所示，路由器分隔了兩個(gè)網(wǎng)段，一個(gè)網(wǎng)段由用戶使用，另一個(gè)網(wǎng)段放置服務(wù)器，過濾流量的目的是允許所有用戶到達(dá)Web服務(wù)器，但只允許用戶C到達(dá)FTP服務(wù)器。假設(shè)按照以下順序?qū)CL過濾規(guī)則配置在路由器上：

①允許所有用戶訪問服務(wù)器網(wǎng)段；

②拒絕用戶A訪問FTP服務(wù)器；

③拒絕用戶B訪問FTP服務(wù)器。圖4-1ACL語句的排列順序語句是自上而下處理的，當(dāng)某一時(shí)刻用戶A試圖訪問FTP服務(wù)器時(shí)，會(huì)因與第一條語句匹配而得到允許。因此，這樣的排列順序會(huì)造成每個(gè)用戶都可以訪問FTP服務(wù)器。

為達(dá)到過濾流量的目的，ACL應(yīng)該按照以下順序配置：

①拒絕用戶A訪問FTP服務(wù)器；

②拒絕用戶B訪問FTP服務(wù)器；

③允許所有用戶訪問服務(wù)器網(wǎng)段。當(dāng)新的ACL語句被添加到列表中時(shí)，默認(rèn)會(huì)被添加到列表的最后，所以設(shè)置ACL前應(yīng)先理清ACL語句順序，一般規(guī)則是：按照條件約束由強(qiáng)到弱的順序排列語句，將“條件約束最強(qiáng)的語句”放在列表的頂部，“條件約束最弱的語句”放在列表的底部。兩種常用的配置方式是：如果想允許每個(gè)用戶都能夠訪問大多數(shù)服務(wù)，只拒絕少數(shù)特定用戶，則在設(shè)置ACL時(shí)，首先拒絕特定的連接，然后允許所有其他連接；反之，如果只允許少數(shù)用戶的訪問，而拒絕所有其他的訪問，則在設(shè)置ACL時(shí)，首先指定允許語句，而隱式拒絕所有其他訪問。4.1.2ACL的類型

路由器接口可能支持多種網(wǎng)絡(luò)層協(xié)議(如IP、IPX、AppleTalk)，則對(duì)每種協(xié)議必須定義單獨(dú)的ACL，如IPACL用于匹配IP數(shù)據(jù)報(bào)內(nèi)容，過濾IP數(shù)據(jù)流；而IPXACL用于匹配IPX數(shù)據(jù)包內(nèi)容，過濾IPX數(shù)據(jù)流。實(shí)際應(yīng)用時(shí)，只能在每個(gè)接口、每個(gè)協(xié)議、每個(gè)方向上應(yīng)用一個(gè)ACL。例如，在某個(gè)接口的輸入方向，不能有兩個(gè)IPACL，但是可以在該接口的輸入和輸出方向分別應(yīng)用一個(gè)IPACL，或者將一個(gè)IPACL和IPXACL同時(shí)應(yīng)用到該接口的輸入方向上。以下只討論IPACL的類型。依據(jù)過濾方式的差異，ACL大致可分為4種類型：標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、反射ACL(ReflexiveACL，RACL)和基于上下文的訪問控制(Context-BasedAccessControl，CBAC)。其中，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL可以實(shí)現(xiàn)包過濾功能，RACL和CBAC可以實(shí)現(xiàn)有狀態(tài)的過濾功能。

標(biāo)準(zhǔn)ACL基于數(shù)據(jù)包的源地址過濾數(shù)據(jù)包，只能過濾網(wǎng)絡(luò)層信息。標(biāo)準(zhǔn)ACL通常和VTY(VirtualTeletYpe)、HTTP一起使用，限制到路由器本身的訪問。擴(kuò)展ACL基于源IP地址和目的IP地址、協(xié)議類型(如ICMP、IP、OSPF、TCP、UDP等)及協(xié)議信息(如ICMP消息類型、TCP或UDP端口號(hào)、TCP標(biāo)志代碼)來過濾流量，可以過濾網(wǎng)絡(luò)層和傳輸層信息。擴(kuò)展ACL通常過濾通過路由器的流量。

標(biāo)準(zhǔn)ACL和擴(kuò)展ACL不跟蹤連接的狀態(tài)，當(dāng)內(nèi)部網(wǎng)絡(luò)中有用戶向外部網(wǎng)絡(luò)發(fā)送流量時(shí)，對(duì)于返回流量的處理將是個(gè)問題?！霸试S某返回流量通過”的過濾條目必須預(yù)先靜態(tài)設(shè)置好，否則相應(yīng)的返回流量會(huì)被路由器阻擋。但這種靜態(tài)指定的過濾條目往往會(huì)在邊界路由器構(gòu)成一個(gè)很大的安全漏洞。所以標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的局限性在于它們只善于過濾單向的流量，而不善于過濾雙向的流量。

RACL可以過濾網(wǎng)絡(luò)層、傳輸層、會(huì)話層的信息。在路由器上使用RACL可以實(shí)現(xiàn)基本的有狀態(tài)的過濾功能。在允許返回流量進(jìn)入內(nèi)部網(wǎng)絡(luò)時(shí)，RACL會(huì)在路由器輸入方向的ACL中建立一個(gè)臨時(shí)入口，當(dāng)會(huì)話完成或者超時(shí)之后，這個(gè)臨時(shí)入口對(duì)應(yīng)的過濾條目被自動(dòng)刪除。RACL在雙向流量的過濾方面表現(xiàn)良好，但是RACL不提供一個(gè)完整的有狀態(tài)的過濾解決方案，尤其在需要過濾多于兩個(gè)路由器接口間的流量時(shí)，配置過程會(huì)變得復(fù)雜。另外，RACL對(duì)內(nèi)存和處理器資源的使用效率也不高，多適用于小型網(wǎng)絡(luò)環(huán)境。

CBAC可以實(shí)現(xiàn)有狀態(tài)的應(yīng)用層過濾。CBAC提供了比RACL更好的有狀態(tài)的過濾功能，實(shí)現(xiàn)多方向流量的過濾配置更簡(jiǎn)易，具有更多增強(qiáng)的安全特性(如流量審查)，對(duì)內(nèi)存和處理器資源的使用效率較高，局限性較少，多適用于大型網(wǎng)絡(luò)環(huán)境。

一般情況下，在一臺(tái)路由器上使用相同類型的ACL來實(shí)施安全策略。標(biāo)準(zhǔn)ACL通常被用來限制通過VTY線路對(duì)路由器的訪問(Telnet和SSH)；限制通過HTTP或HTTPS對(duì)路由器的訪問；限制從路由器本身發(fā)出的流量(如過濾路由選擇更新)。

可以通過兩種形式來為標(biāo)準(zhǔn)ACL語句分組：編號(hào)和命名。4.2標(biāo)準(zhǔn)ACL4.2.1命令格式與說明

1.編號(hào)的標(biāo)準(zhǔn)ACL

1)建立編號(hào)的標(biāo)準(zhǔn)ACL

命令格式如下：

Router(config)#access-list

ACL_num{permit?|?deny}{source_IP_address[wildcard_mask]?|

any}

其中，ACL_num是ACL編號(hào)，用于組合同一列表中的語句，范圍可以是1～99，或者是1300～1999。ACL編號(hào)后面的permit?|?deny是語句條件匹配時(shí)所要采取的操作，只有兩種：允許或者拒絕。permit?|?deny后面跟著的是條件，使用標(biāo)準(zhǔn)ACL時(shí)，只能指定source_IP_address(源地址)和wildcard_mask(通配符掩碼)。wildcard_mask是可選項(xiàng)，如果忽略不寫，則默認(rèn)是，即精確匹配。如果想要匹配所有地址，可以用關(guān)鍵字any來替換源地址和通配符掩碼兩項(xiàng)。

2)激活編號(hào)的標(biāo)準(zhǔn)ACL

如果想在流量進(jìn)入或者離開路由器接口時(shí)過濾它們，則命令格式如下：

Router(config)#interface

type[slot_num/]port_num

Router(config-if)#ipaccess-group

ACL_num{in?|?out}

其中，ACL_num是要激活的ACL編號(hào)。in?|?out指定路由器過濾信息的方向：過濾進(jìn)入路由器接口的流量時(shí)，使用參數(shù)in；過濾離開路由器接口的流量時(shí)，使用參數(shù)out。如果想要限制到路由器的Telnet或SSH連接，則使用以下命令激活A(yù)CL：

Router(config)#linevtybeginning_numending_num

Router(config-if)#access-class

ACL_num{in?|?out}

VTY實(shí)質(zhì)上是邏輯線路，而CiscoIOS從配置和操作的角度將它們作為物理線路來對(duì)待。CiscoIOSVTY允許很多類型的遠(yuǎn)程訪問，如Telnet、Rlogin、SSH等。允許各種遠(yuǎn)程訪問方式會(huì)給攻擊者留下可乘之機(jī)，所以應(yīng)該在VTY上配置某種限制，CiscoIOS通過標(biāo)準(zhǔn)ACL完成這種限制。為了在VTY上激活A(yù)CL，不能使用ipaccess-group命令，而要使用access-class命令。一臺(tái)路由器有5個(gè)VTY線路，要將access-class應(yīng)用到所有的VTY上，則beginning_num(開始編號(hào))和ending_num(結(jié)束編號(hào))分別為0和4。in?|?out用于指定限制方向：限制輸入的VTY會(huì)話時(shí)，使用參數(shù)in；限制輸出的VTY會(huì)話時(shí)，使用參數(shù)out。

3)刪除編號(hào)的標(biāo)準(zhǔn)ACL

刪除某個(gè)編號(hào)ACL的命令格式如下：

Router(config)#noaccess-listACL_num

值得注意的是，不能刪除編號(hào)ACL中的一個(gè)特定條目，如果想要通過no參數(shù)來刪除一個(gè)特定條目，將會(huì)刪除整個(gè)ACL，即與命令noaccess-listACL_num的效果等同。編號(hào)的標(biāo)準(zhǔn)ACL和編號(hào)的擴(kuò)展ACL都是如此。

2.命名的標(biāo)準(zhǔn)ACL

與編號(hào)的標(biāo)準(zhǔn)ACL相比，命名的標(biāo)準(zhǔn)ACL的主要優(yōu)點(diǎn)有：允許管理員給ACL指定一個(gè)描述性的名稱；建立的ACL的數(shù)量不受數(shù)字編號(hào)最大值的限制；允許刪除ACL中的特定條目。

1)建立命名的標(biāo)準(zhǔn)ACL

命令格式如下：

Router(config)#ipaccess-liststandard

ACL_name

Router(config-std-nacl)#deny{source_IP_address

[wildcard_mask]?|?any}

Router(config-std-nacl)#permit{source_IP_address[wildcard_mask]?|?any}

Router(config-std-nacl)#exit使用ipaccess-list命令指定命名ACL。standard表示命名ACL的類型為標(biāo)準(zhǔn)。ACL_name指明ACL的名稱，名稱可以是描述性字符，也可以是一個(gè)號(hào)碼(數(shù)字)。執(zhí)行ipaccess-list命令后，將進(jìn)入子配置模式，在這里輸入permit和deny命令語句，基本語法與編號(hào)的標(biāo)準(zhǔn)ACL中的access-list命令相同。

2)激活命名的標(biāo)準(zhǔn)ACL

激活命名的標(biāo)準(zhǔn)ACL的命令格式與編號(hào)的標(biāo)準(zhǔn)ACL相同，如果想在流量進(jìn)入或者離開路由器接口時(shí)過濾它們，則使用ipaccess-group命令在路由器接口上激活A(yù)CL；如果想要限制到路由器的Telnet或SSH連接，則使用access-class命令。唯一不同的是，要將命令中的ACL_num替換為ACL_name。

3)刪除命名的標(biāo)準(zhǔn)ACL

要?jiǎng)h除某個(gè)命名的標(biāo)準(zhǔn)ACL，命令格式如下：

Router(config)#noipaccess-liststandardACL_name

命名的標(biāo)準(zhǔn)ACL允許刪除ACL中的某個(gè)特定條目，而不會(huì)影響其他條目的存在。過程是：首先通過ipaccess-liststandardACL_name進(jìn)入該ACL的子配置模式中，然后使用no參數(shù)刪除想要?jiǎng)h除的某個(gè)特定條目。4.2.2實(shí)驗(yàn)——標(biāo)準(zhǔn)ACL的配置

【實(shí)驗(yàn)?zāi)康摹?/p>

(1)掌握使用標(biāo)準(zhǔn)ACL過濾流量的基本配置。

(2)掌握使用標(biāo)準(zhǔn)ACL限制VTY訪問的基本配置。

(3)掌握編號(hào)ACL和命名ACL的配置差異。

【實(shí)驗(yàn)環(huán)境】

路由器1臺(tái)，交換機(jī)2臺(tái)，計(jì)算機(jī)至少3臺(tái)，連接成如圖4-2所示網(wǎng)絡(luò)。圖4-2標(biāo)準(zhǔn)ACL的配置實(shí)驗(yàn)環(huán)境【實(shí)驗(yàn)過程】

1.搭建基本網(wǎng)絡(luò)環(huán)境

參考圖4-2連接設(shè)備，并參照表4-1配置主機(jī)和路由器的基本參數(shù)，配置過程不再敘述。條件允許的話，可以在外部網(wǎng)絡(luò)添加主機(jī)數(shù)量。應(yīng)確保此時(shí)PC2和PC3均可以ping通外部網(wǎng)絡(luò)中的主機(jī)PC1。表4-1實(shí)驗(yàn)設(shè)備的基本配置參數(shù)2.配置編號(hào)的標(biāo)準(zhǔn)ACL以禁止內(nèi)部網(wǎng)絡(luò)中的PC2訪問外部網(wǎng)絡(luò)

(1)在路由器建立編號(hào)為1的標(biāo)準(zhǔn)ACL，拒絕PC2對(duì)外的訪問，允許其他主機(jī)訪問外網(wǎng)：或者選擇在f0/0的輸入方向上激活A(yù)CL，配置如下：

(5)如果要禁止內(nèi)部網(wǎng)絡(luò)中所有用戶訪問外部網(wǎng)絡(luò)，需要將拒絕操作的語句改為：Router(config)#access-list1deny55，其他各步同上。測(cè)試結(jié)果將顯示PC2和PC3都無法ping通PC1。

(6)為不影響后續(xù)實(shí)驗(yàn)結(jié)果，刪除編號(hào)的標(biāo)準(zhǔn)ACL：圖4-3遠(yuǎn)程登錄路由器成功

(3)在路由器上配置ACL，僅允許地址為的主機(jī)可以遠(yuǎn)程登錄到路由器：

(4)在主機(jī)和上嘗試遠(yuǎn)程登錄路由器，均失敗，如圖4-4。圖4-4遠(yuǎn)程登錄路由器失敗4.3.1命令格式與說明

1.編號(hào)的擴(kuò)展ACL

建立編號(hào)的擴(kuò)展ACL命令的基本語法如下：

Router(config)#access-list

ACL_num{permit?|?deny}protocolsource_IP_addresssource_wildcard_mask

destination_IP_addressdestination_wildcard_mask

[protocol_options][precedence

precedence][dscp

value][tos

tos][log?|?loginput][fragments][established]4.3擴(kuò)展ACL使用access-list命令來建立擴(kuò)展ACL。ACL_num是ACL的編號(hào)，用來對(duì)ACL語句分組，擴(kuò)展ACL的編號(hào)范圍是100～199，以及2000～2699。permit?|?deny是語句條件匹配時(shí)所要采取的操作(允許或者拒絕)，后面緊跟著的是條件。

protocol是TCP/IP協(xié)議的名稱或者編號(hào)，CiscoIOS支持的協(xié)議名稱有：ahp(認(rèn)證頭協(xié)議)、eigrp(CiscoEIGRP路由選擇協(xié)議)、esp(封裝安全有效載荷)、gre(CiscoGRE隧道)、icmp(Internet控制報(bào)文協(xié)議)、igmp(Internet組管理協(xié)議)、ip(網(wǎng)際協(xié)議)、ipinip(IP隧道中的IP)、nos(兼容IP之上的IP隧道)、ospf(OSPF路由選擇協(xié)議)、psp(有效載荷壓縮協(xié)議)、pim(協(xié)議獨(dú)立組播)、tcp(傳輸控制協(xié)議)、udp(用戶數(shù)據(jù)報(bào)協(xié)議)。如果想要過濾的協(xié)議名稱在以上的羅列中沒有出現(xiàn)，可以使用協(xié)議編號(hào)，范圍是0～255。與標(biāo)準(zhǔn)ACL不同，擴(kuò)展ACL必須同時(shí)指定源地址和目的地址，以及它們相應(yīng)的通配符掩碼，分別對(duì)應(yīng)source_IP_address、source_wildcard_mask、destination_IP_address、destination_wildcard_mask四個(gè)參數(shù)。當(dāng)通配符掩碼是時(shí)，路由器將它轉(zhuǎn)換為hostIP_address，如輸入“

”，則等同于輸入“host”。

其余的參數(shù)是可選的。對(duì)于特定的協(xié)議(如TCP、UDP、ICMP及其他協(xié)議)，可以應(yīng)用protocol_options來優(yōu)化條件?？蛇x參數(shù)precedenceprecedence能使數(shù)據(jù)包基于優(yōu)先級(jí)的級(jí)別來過濾，范圍是0～7。

可選參數(shù)dscpvalue通過IP數(shù)據(jù)報(bào)頭部的區(qū)分服務(wù)代碼點(diǎn)(DifferentiatedServicesCodePoint，DSCP)的值來進(jìn)行過濾。DSCP用于通過區(qū)分流量的優(yōu)先次序來實(shí)施QoS(服務(wù)質(zhì)量)，可以為它指定一個(gè)0～63的值或者DSCP代碼名稱。

可選參數(shù)tostos能使數(shù)據(jù)包基于服務(wù)類型的級(jí)別來過濾，范圍是1～15。它們可用于QoS機(jī)制。

可選參數(shù)log使得CiscoIOS可以將符合條件的匹配記錄到已經(jīng)打開的日志記錄設(shè)備中?？蛇x參數(shù)loginput記錄的信息包括接收到數(shù)據(jù)包的輸入接口和數(shù)據(jù)包中的第2層源地址。

可選參數(shù)fragments用于過濾分片?？蛇x參數(shù)established是只針對(duì)TCP連接的參數(shù)，其功能詳見下文TCP部分的描述。

擴(kuò)展ACL對(duì)于所使用的不同協(xié)議提供了不同的參數(shù)選項(xiàng)，根據(jù)protocol參數(shù)所指定的協(xié)議的不同，語法也有所不同。

以下分別描述基于TCP、UDP、ICMP協(xié)議的語法格式。

1)過濾TCP流量

要過濾TCP流量，protocol參數(shù)使用tcp關(guān)鍵字，建立ACL的命令格式如下：

Router(config)#access-list

ACL_num{permit?|?deny}tcpsource_IP_addresssource_wildcard_mask[operatorsrc_port]destination_IP_addressdestination_wildcard_mask[operatordest_port][precedence

precedence][dscp

value][tos

tos][log?|?loginput][fragments][established][ack][fin][psh][rst][syn][urg]

operatorsrc_port和operatordest_port是可選的，其中src_port和dest_port分別代表源端口和目的端口，輸入端口號(hào)或者端口名稱都是有效的，端口號(hào)范圍是0～65535，0代表所有TCP端口。operator處需要指定一個(gè)操作符，可以是eq、lt、gt、neq、range五種操作符，含義分別為等于、小于、大于、不等于、一個(gè)端口范圍。例如“eq25”表示必須精確匹配25號(hào)端口。又如“range2123”表示必須匹配21～23號(hào)范圍內(nèi)的端口(包含邊界值)。指定一個(gè)操作符，后面跟著一個(gè)基于TCP的端口名稱或端口號(hào)，便可用于匹配TCP流量中的端口信息。

established是一個(gè)用于TCP連接的參數(shù)。當(dāng)內(nèi)部網(wǎng)絡(luò)的用戶向外部網(wǎng)絡(luò)發(fā)起TCP連接時(shí)，應(yīng)允許其返回流量進(jìn)入內(nèi)部網(wǎng)絡(luò)，而拒絕其他外來流量，這時(shí)可以使用established參數(shù)。設(shè)置了該參數(shù)后，路由器將檢查由外入內(nèi)的流量是否設(shè)置了ACK、FIN、PSH、RST、SYN、URG這些TCP協(xié)議標(biāo)記，如果已經(jīng)設(shè)置好，則允許該TCP流量進(jìn)入，如果未設(shè)置，則路由器會(huì)認(rèn)為這是新的TCP連接，拒絕該流量進(jìn)入。另外，利用可選參數(shù)ack、fin、psh、rst、syn、urg可以更具體地過濾單一的TCP協(xié)議標(biāo)志。established參數(shù)實(shí)現(xiàn)的功能與有狀態(tài)的過濾功能有點(diǎn)類似，但是不能認(rèn)為使用了該參數(shù)的擴(kuò)展ACL就可以完成有狀態(tài)的過濾功能，因?yàn)闊o論是標(biāo)準(zhǔn)ACL還是擴(kuò)展ACL都不維護(hù)狀態(tài)信息。使用established參數(shù)后，路由器并不是基于狀態(tài)來查看要進(jìn)入的流量是否是內(nèi)部網(wǎng)絡(luò)發(fā)起的連接的返回流量，而只是查看那些TCP協(xié)議標(biāo)記是否設(shè)置，而黑客往往會(huì)利用這一點(diǎn)，如使用數(shù)據(jù)包生成器，將TCP報(bào)文的相應(yīng)標(biāo)記設(shè)置為適當(dāng)?shù)闹怠Ｋ?，如果使用了established參數(shù)允許返回流量進(jìn)入網(wǎng)絡(luò)，將在路由器上構(gòu)成一個(gè)大的漏洞。

2)過濾UDP流量

要過濾UDP流量，protocol參數(shù)使用udp關(guān)鍵字，建立ACL的命令格式如下：

Router(config)#access-list

ACL_num{permit?|?deny}udpsource_IP_addresssource_wildcard_mask[operatorsrc_port]destination_IP_addressdestination_wildcard_mask[operatordest_port][precedence

precedence][dscp

value][tos

tos][log?|?loginput][fragments]

也可以選擇使用匹配源和目的端口，且必須指定操作符、端口名稱或端口號(hào)。操作符和TCP所使用的一樣。如果指定了一個(gè)操作符，則后面必須跟著基于UDP的端口名稱或端口號(hào)(0～65535)。注意，這里0代表所有UDP端口。UDP不同于TCP，它是無連接的協(xié)議，所以參數(shù)established和ack、fin、psh、rst、syn、urg對(duì)過濾UDP流量是無效的。

3)過濾ICMP流量

要過濾ICMP流量，protocol參數(shù)使用icmp關(guān)鍵字，建立ACL的命令格式如下：

Router(config)#access-listACL_num{permit?|?deny}icmpsource_IP_addresssource_wildcard_maskdestination_IP_addressdestination_wildcard_mask[ICMP_type][precedence

precedence][dscp

value][tos

tos][log?|?loginput][fragments]與TCP、UDP不同，該命令中沒有通過操作符和端口來指定一個(gè)匹配條件，而是增添可選項(xiàng)ICMP_type用于匹配ICMP消息類型。可以輸入ICMP消息類型的名稱，如echo(詢問請(qǐng)求)、echo-reply(詢問響應(yīng))、host-redirect(主機(jī)重定向)、host-unknown(未知主機(jī))、host-unreachable(主機(jī)不可達(dá))、net-unknown(未知網(wǎng)絡(luò))、net-unreachable(網(wǎng)絡(luò)不可達(dá))等，也可以輸入ICMP消息類型的編號(hào)，范圍是0～255，0代表所有的ICMP消息。如果沒有指定ICMP_type，則默認(rèn)匹配任何ICMP消息類型。

建立ACL后，必須在路由器上激活A(yù)CL，過濾規(guī)則才能生效。編號(hào)的擴(kuò)展ACL的激活或刪除命令與編號(hào)的標(biāo)準(zhǔn)ACL類似，請(qǐng)參考4.2.1節(jié)相關(guān)內(nèi)容。

2.命名的擴(kuò)展ACL

建立命名的擴(kuò)展ACL的命令格式如下：

Router(config)#ipaccess-listextended

ACL_name

Router(config-ext-nacl)#{permit?|?deny}protocol

source_IP_addresssource_wildcard_maskdestination_IP_addressdestination_wildcard_mask[protocol_options][precedence

precedence][dscp

value][tos

tos][log?|?loginput][fragments][established]使用ipaccess-list建立命名ACL。extended表示命名ACL的類型為擴(kuò)展，ACL_name指明ACL的名稱，名稱可以是描述性字符，也可以是個(gè)號(hào)碼(數(shù)字)。執(zhí)行ipaccess-listextended命令后，將進(jìn)入擴(kuò)展ACL子配置模式，在這里輸入permit或deny命令語句，其基本語法與編號(hào)的擴(kuò)展ACL中的access-list命令相同，并且支持相同的選項(xiàng)。

命名的擴(kuò)展ACL的激活或刪除命令與命名的標(biāo)準(zhǔn)ACL類似，請(qǐng)參考4.2.1節(jié)相關(guān)內(nèi)容。4.3.2實(shí)驗(yàn)——擴(kuò)展ACL的基本配置

【實(shí)驗(yàn)?zāi)康摹?/p>

(1)掌握使用編號(hào)的擴(kuò)展ACL過濾流量的基本配置；

(2)掌握使用命名的擴(kuò)展ACL過濾流量的基本配置。

【實(shí)驗(yàn)環(huán)境】

實(shí)驗(yàn)環(huán)境請(qǐng)參考4.2.2節(jié)圖4-2。【實(shí)驗(yàn)過程】

1.搭建基本網(wǎng)絡(luò)環(huán)境

參考圖4-2連接設(shè)備，并參照表4-1完成主機(jī)和路由器的基本參數(shù)配置。條件允許的話，可以在外部網(wǎng)絡(luò)添加主機(jī)數(shù)量。

首先，在PC1上開啟FTP服務(wù)和Web服務(wù)，測(cè)試正常，如圖4-5所示。

然后測(cè)試連通性和服務(wù)訪問情況，PC2和PC3均可以ping通外部網(wǎng)絡(luò)中的主機(jī)PC1，而且均可以正常訪問PC1的FTP和Web服務(wù)。圖4-5PC1的服務(wù)訪問測(cè)試

2.配置編號(hào)的擴(kuò)展ACL以禁止內(nèi)部網(wǎng)絡(luò)中的PC2訪問PC1的FTP服務(wù)

(1)在路由器建立編號(hào)為100的擴(kuò)展ACL，禁止PC2訪問PC1的FTP服務(wù)器，不限制其他主機(jī)對(duì)PC1的服務(wù)訪問。然后在f0/0的輸入方向上激活編號(hào)為100的ACL。不要忘記“IP_address”的形式等同于“hostIP_address”，所以第一條語句也可以寫為：access-list100denytcphosthosteqftp。

配置后，可以在特權(quán)模式下用“showaccess-list”和“showipinterfacef0/0”命令來查看已建立的ACL條目，以及該ACL是否已在接口上應(yīng)用。

(2)在路由器接口上激活A(yù)CL后，測(cè)試結(jié)果為：

PC2和PC3均可以ping通PC1；

PC2無法訪問PC1的FTP服務(wù)，而依然可以訪問PC1的Web服務(wù)；

PC3可以正常訪問PC1的FTP服務(wù)和Web服務(wù)。

(3)如果要禁止內(nèi)部網(wǎng)絡(luò)中所有用戶訪問PC1的FTP服務(wù)，需要將第一條拒絕操作的語句改為：access-list100denytcp55eqftp，其他各步同上。測(cè)試結(jié)果為：PC2和PC3均可ping通PC1，PC2和PC3均無法訪問PC1的FTP服務(wù)，而依然都能訪問PC1的Web服務(wù)。

(4)為不影響后續(xù)實(shí)驗(yàn)結(jié)果，刪除編號(hào)的擴(kuò)展ACL：

3.配置命名的擴(kuò)展ACL以禁止內(nèi)部網(wǎng)絡(luò)中的PC2訪問PC1的FTP服務(wù)

(1)在路由器上做如下配置，建立名稱為“deny_ftp”的擴(kuò)展ACL，禁止PC2訪問PC1的FTP服務(wù)器，不限制其他主機(jī)對(duì)PC1的服務(wù)訪問。然后在f0/0的輸入方向上激活名稱為“deny_ftp”的ACL，并查看建立的ACL。

(2)在路由器接口上激活A(yù)CL后，測(cè)試結(jié)果同樣為：

PC2和PC3均可以ping通PC1；

PC2無法訪問PC1的FTP服務(wù)，而依然可以訪問PC1的Web服務(wù)；

PC3可以正常訪問PC1的FTP服務(wù)和Web服務(wù)。

4.配置擴(kuò)展的ACL以限制內(nèi)外網(wǎng)絡(luò)間的ping操作

(1)配置ACL，拒絕任何主機(jī)向內(nèi)部網(wǎng)絡(luò)發(fā)起ping請(qǐng)求，允許任何主機(jī)向內(nèi)部網(wǎng)絡(luò)返回ping響應(yīng)：(2)?PC2和PC3可以ping通PC1，但PC1不能ping通PC2和PC3。(3)查看ACL配置以及匹配統(tǒng)計(jì)：注意這樣的配置仍然存在不安全因素，因?yàn)闊o法知道內(nèi)部主機(jī)正在ping外部網(wǎng)絡(luò)中的哪臺(tái)主機(jī)。(4)為了不影響后續(xù)實(shí)驗(yàn)結(jié)果，刪除編號(hào)的擴(kuò)展ACL：4.3.3實(shí)驗(yàn)——限制返回流量的擴(kuò)展ACL的配置

【實(shí)驗(yàn)?zāi)康摹?/p>

(1)鞏固擴(kuò)展ACL的配置；

(2)理解established參數(shù)的作用及其局限性。

【實(shí)驗(yàn)環(huán)境】

實(shí)驗(yàn)環(huán)境請(qǐng)參考4.2.2節(jié)圖4-2。

【實(shí)驗(yàn)過程】

1.搭建基本網(wǎng)絡(luò)環(huán)境

參考圖4-2連接設(shè)備，并參照表4-1完成主機(jī)和路由器的基本參數(shù)配置。條件允許的話，可以在外部網(wǎng)絡(luò)添加主機(jī)數(shù)量。

在PC1和PC2上均開啟Web服務(wù)，并確保PC2和PC1可以相互訪問對(duì)方的Web服務(wù)。

2.建立和激活A(yù)CL

建立兩個(gè)編號(hào)的擴(kuò)展ACL，編號(hào)分別為100和101。然后激活A(yù)CL，方法有兩種：一種是在路由器的外側(cè)接口f0/1上激活A(yù)CL，一個(gè)應(yīng)用到f0/1的輸出方向，另一個(gè)應(yīng)用到f0/1的輸入方向；另一種是在路由器的內(nèi)側(cè)接口f0/0上激活A(yù)CL，一個(gè)應(yīng)用到f0/0的輸入方向，另一個(gè)應(yīng)用到f0/0的輸出方向。這里選擇第一種方法。請(qǐng)讀者自行嘗試第2種方法，實(shí)驗(yàn)結(jié)果將是一致的。注意，如果在路由器外側(cè)接口f0/1的輸入方向沒有配置編號(hào)為101的ACL，即輸入方向沒有限制，則內(nèi)網(wǎng)主機(jī)PC2可以正常訪問外網(wǎng)主機(jī)PC1的Web服務(wù)，但是當(dāng)外網(wǎng)主機(jī)向內(nèi)網(wǎng)主機(jī)發(fā)起新的TCP連接時(shí)，該流量也會(huì)被路由器放行，這就構(gòu)成了一個(gè)很大的漏洞。而當(dāng)使用established后，外網(wǎng)主機(jī)向內(nèi)網(wǎng)主機(jī)發(fā)起的新的TCP連接會(huì)被拒絕進(jìn)入內(nèi)網(wǎng)，因?yàn)槁酚善髦辉试S設(shè)置了TCP協(xié)議標(biāo)記的返回流量進(jìn)入內(nèi)網(wǎng)。3.查看ACL(1)使用showaccess-list命令查看已配置的ACL：

(2)當(dāng)PC2訪問過PC1的Web服務(wù)后，再查看ACL，可以看到PC2向PC1發(fā)起的TCP流量匹配數(shù)目以及PC1返回的流量匹配數(shù)目：

1.?RACL處理流量的步驟

RACL執(zhí)行的功能和真實(shí)的有狀態(tài)的過濾特性很類似：當(dāng)內(nèi)部網(wǎng)絡(luò)發(fā)起一個(gè)會(huì)話，并且將數(shù)據(jù)發(fā)送給外部網(wǎng)絡(luò)時(shí)，RACL就被觸發(fā)，生成一個(gè)新的臨時(shí)條目，并將其插入到應(yīng)用于路由器外側(cè)接口輸入方向的擴(kuò)展ACL中。如果從外部網(wǎng)絡(luò)過來的數(shù)據(jù)流符合臨時(shí)條目，則允許其進(jìn)入內(nèi)部網(wǎng)絡(luò)，否則禁止其進(jìn)入內(nèi)部網(wǎng)絡(luò)。當(dāng)會(huì)話結(jié)束或者臨時(shí)條目超時(shí)時(shí)，先前插入的臨時(shí)條目將被刪除。4.4RACL這樣就實(shí)現(xiàn)了只有當(dāng)會(huì)話在網(wǎng)絡(luò)內(nèi)部發(fā)起時(shí)，才允許其返回流量。例如：如圖4-6(a)所示，當(dāng)主機(jī)訪問上的Web服務(wù)時(shí)，RACL被觸發(fā)，生成一個(gè)新的臨時(shí)條目“允許從到的Web流量返回”，并將臨時(shí)條目插入到應(yīng)用于路由器外側(cè)接口輸入方向的擴(kuò)展ACL中。如圖4-6(b)所示，當(dāng)外部主機(jī)的返回流量到達(dá)路由器時(shí)，必須在外側(cè)接口的輸入ACL中尋找匹配，找到后進(jìn)入內(nèi)部網(wǎng)絡(luò)，而如果是外部某個(gè)主機(jī)發(fā)起的新連接，則外側(cè)接口的輸入ACL中是沒有相應(yīng)匹配的，那么該流量將被拒絕。完整的RACL配置涉及到以下三個(gè)ACL：

(1)內(nèi)部ACL：是一個(gè)命名的擴(kuò)展ACL，應(yīng)用在路由器外側(cè)接口的輸出方向上。它用來檢查內(nèi)部網(wǎng)絡(luò)發(fā)起的新的會(huì)話流量，并建立臨時(shí)的RACL。具體而言，在內(nèi)部ACL中放置了帶有reflect參數(shù)的permit語句，該語句指定了一個(gè)RACL名稱。當(dāng)內(nèi)部網(wǎng)絡(luò)用戶向外發(fā)起新的會(huì)話時(shí)，如果流量與帶有reflect參數(shù)的permit語句相匹配，則一個(gè)臨時(shí)條目將被添加到該語句指定的RACL中。該臨時(shí)條目是一個(gè)反轉(zhuǎn)的條目，即源和目的信息被交換了，以允許該會(huì)話的返回流量進(jìn)入內(nèi)部網(wǎng)絡(luò)。針對(duì)每個(gè)帶有reflect參數(shù)的permit語句，路由器會(huì)建立一個(gè)單獨(dú)的RACL。

(2)RACL：是一個(gè)命名的擴(kuò)展ACL，由內(nèi)部ACL建立，其中的條目是臨時(shí)存在的。

(3)外部ACL：是一個(gè)命名的擴(kuò)展ACL，應(yīng)用在路由器外側(cè)接口的輸入方向上。它用來引用RACL中的臨時(shí)條目來過濾返回流量。?RACL條目的生成圖4-6RACL工作過程(b)?RACL條目的使用圖4-6RACL工作過程

2.建立RACL

臨時(shí)條目被插入到應(yīng)用于路由器外側(cè)接口的擴(kuò)展ACL中，在外側(cè)接口上應(yīng)用RACL時(shí)，首先要在外側(cè)接口的輸出方向的擴(kuò)展ACL中定義RACL，然后在外側(cè)接口的輸入方向上定義一個(gè)擴(kuò)展ACL來加載RACL。

建立“內(nèi)部”ACL時(shí)，在這個(gè)ACL中放置帶有reflect參數(shù)的permit語句，該語句可以控制為哪個(gè)連接建立RACL臨時(shí)條目。如果不配置帶有reflect參數(shù)的permit語句，默認(rèn)地，返回流量將被拒絕。

CiscoIOS只支持使用命名的擴(kuò)展ACL定義RACL，而不支持編號(hào)的擴(kuò)展ACL、編號(hào)的標(biāo)準(zhǔn)ACL和命名的標(biāo)準(zhǔn)ACL定義RACL。而且，只有TCP/IP協(xié)議支持RACL，其他協(xié)議(例如IPX)不支持該特性。4.4.1命令格式與說明

配置路由器使用RACL的基本步驟是：

首先需要配置兩個(gè)命名的擴(kuò)展ACL：一個(gè)是內(nèi)部ACL，用于建立一個(gè)或多個(gè)RACL；另一個(gè)是外部ACL，用于引用RACL來允許返回流量。然后需要在路由器的一個(gè)接口或幾個(gè)接口上激活它們?？蛇x地，還可以配置其他參數(shù)選項(xiàng)，例如空閑RACL條目的超時(shí)。

1.建立RACL

建立命名的擴(kuò)展ACL來作為內(nèi)部ACL，以限制允許什么流量輸出。其中對(duì)于那些允許輸出且也允許返回的流量，必須在permit語句中加上reflect參數(shù)，以便CiscoIOS為它們建立允許返回的臨時(shí)RACL條目，命令格式如下：

Router(config)#ipaccess-listextended

internal_ACL_name

Router(config-ext-nacl)#permit

protocol

source_IP_addresssource_wildcard_mask[protocol_information]destination_IP_addressdestination_wildcard_mask[protocol_information]reflect

RACL_name[timeout

seconds]首先用ipaccess-listextended命令來建立命名的擴(kuò)展ACL，并在internal_ACL_name處指定這個(gè)內(nèi)部ACL的名稱。然后在子配置模式下，配置一個(gè)或多個(gè)帶有reflect參數(shù)的permit語句，這些語句將匹配要為它們建立RACL臨時(shí)條目的流量(當(dāng)然，在這些語句的前后還可以配置其他常規(guī)的permit和deny語句)。permit和relfect關(guān)鍵字之間的參數(shù)含義請(qǐng)參考4.3.1節(jié)，這些參數(shù)在這里指明了哪些流量將來被允許返回。RACL_name緊跟在reflect關(guān)鍵字之后，用于指定放置臨時(shí)條目的RACL的名稱，建議使用一個(gè)描述清晰的名稱，如“web_only_RACL”、“dns_only_RACL”、“tcp_RACL”等?？梢詾槎鄠€(gè)permit語句設(shè)置相同的名稱，這樣的話，以后產(chǎn)生的多個(gè)臨時(shí)條目將被放置在相同的RACL中。注意，建立一個(gè)指定名稱的RACL，并在其中放置臨時(shí)條目的過程完全由路由器自動(dòng)完成。

timeout是可選的，后面跟隨以秒為單位的數(shù)值。該參數(shù)用于指定RACL條目的空閑超時(shí)值，有效的范圍是0～2147483。如果省略，則默認(rèn)的超時(shí)值為300秒。將這個(gè)值設(shè)置為0，將會(huì)使該條目一直保留在RACL中，這意味著在路由器上建立了一個(gè)永久的漏洞。所以不要將該值設(shè)置為0，同樣也不要將該值設(shè)置得太大。對(duì)于UDP和ICMP流量，設(shè)置為

30～60秒比較合適。

2.引用RACL

建立了內(nèi)部ACL之后，它將建立RACL。然后需要建立另一個(gè)命名的擴(kuò)展ACL，作為外部ACL，在這個(gè)ACL中通過evaluate語句來引用由內(nèi)部ACL建立的RACL。建立外部ACL引用RACL的命令格式如下：

Router(config)#ipaccess-listextended

external_ACL_name

Router(config-ext-nacl)#evaluate

RACL_name首先用ipaccess-listextended命令再建立一個(gè)命名的擴(kuò)展ACL，并在external_ACL_name處指定這個(gè)外部ACL的名稱。然后在子配置模式下，利用evaluate命令引用RACL。在執(zhí)行evaluate命令之前，必須在內(nèi)部ACL中用permit/reflect命令建立RACL。在evaluate命令中的RACL的名稱RACL_name必須與內(nèi)部ACL中的permit或deny命令中使用的RACL名稱相匹配。如果在內(nèi)部ACL中建立了多個(gè)RACL，則必須為每個(gè)RACL配置獨(dú)立的evaluate命令。當(dāng)然在外部ACL中，evaluate語句的前后還可以設(shè)置其他常規(guī)的permit或deny語句。當(dāng)路由器處理輸入流量時(shí)，會(huì)從外部ACL的第一個(gè)條目開始尋找匹配項(xiàng)，如果沒有匹配項(xiàng)，就繼續(xù)處理下一條語句。如果遇到evaluate語句，CiscoIOS將轉(zhuǎn)入指定的RACL中，開始處理它的第一條語句。如果在RACL中沒有找到匹配項(xiàng)，CiscoIOS將返回外部ACL，處理evaluate語句的下一條語句。

3.激活RACL

已經(jīng)建立了內(nèi)部ACL和外部ACL之后，需要將它們應(yīng)用到路由器接口來激活它們。對(duì)于兩個(gè)接口的路由器，通常將ACL應(yīng)用到外側(cè)接口，命令格式如下：

Router(config)#interface

type[slot_num/]port_num

Router(config-if)#ipaccess-group

internal_ACL_nameout

Router(config-if)#ipaccess-group

external_ACL_namein

將先前建立的內(nèi)部ACL應(yīng)用到路由器外側(cè)接口的輸出方向，將先前建立的外部ACL應(yīng)用到路由器外側(cè)接口的輸入方向。必須確保internal_ACL_name和external_ACL_name與先前已建立的內(nèi)部和外部ACL名稱一致。

4.調(diào)整超時(shí)值

默認(rèn)地，當(dāng)臨時(shí)RACL條目空閑時(shí)間超過300秒時(shí)，將從RACL中刪除它們?？梢岳脙?nèi)部ACL中permit/reflect語句的timeout參數(shù)，為不同的RACL調(diào)整超時(shí)值。另外，也可以用以下命令全局地調(diào)整超時(shí)值：

Router(config)#ipreflexive-listtimeout

seconds

seconds的有效值也是0～2147483。出于安全考慮，不宜取0和較大的數(shù)字作為超時(shí)值。除了已經(jīng)配置了指定的超時(shí)值的RACL外，當(dāng)使用這個(gè)命令設(shè)置超時(shí)值時(shí)，它會(huì)影響所有的RACL。4.4.2實(shí)驗(yàn)——RACL配置

【實(shí)驗(yàn)?zāi)康摹?/p>

掌握RACL的基本配置，理解RACL的工作原理。

【實(shí)驗(yàn)環(huán)境】

RACL的配置實(shí)驗(yàn)環(huán)境如圖4-7所示。圖4-7RACL的配置實(shí)驗(yàn)環(huán)境【實(shí)驗(yàn)過程】

要求允許內(nèi)部用戶發(fā)起的TCP、UDP、ICMP流量的返回流量進(jìn)入內(nèi)部網(wǎng)絡(luò)，而不允許其他所有從外部網(wǎng)絡(luò)發(fā)起的流量進(jìn)入內(nèi)部網(wǎng)絡(luò)。

1.搭建基本網(wǎng)絡(luò)環(huán)境

參考圖4-7連接設(shè)備，并參照表4-2完成主機(jī)和路由器的基本參數(shù)配置。在PC1上配置Web服務(wù)器和DNS服務(wù)器(當(dāng)然也可以用兩臺(tái)主機(jī)分別實(shí)現(xiàn)不同的服務(wù))，并為PC1設(shè)置一個(gè)域名，建立一個(gè)域名與IP地址的映射，比如域名lab對(duì)應(yīng)IP地址，同時(shí)在PC2的TCP/IP屬性中把“首選DNS服務(wù)器”設(shè)置為。表4-2實(shí)驗(yàn)設(shè)備的基本配置參數(shù)

(3)激活內(nèi)部和外部ACL。內(nèi)部ACL被應(yīng)用于路由器的外側(cè)接口f0/1的輸出方向，外部ACL被應(yīng)用于路由器的外側(cè)接口f0/1的輸入方向。

(4)查看配置?！皊howaccess-list”命令顯示了內(nèi)部ACL和外部ACL的內(nèi)容，同時(shí)顯示了三個(gè)RACL：icmp_RACL、tcp_RACL、udp_RACL，但是此時(shí)這三個(gè)RACL中還沒有任何條目，只有當(dāng)內(nèi)部用戶向外發(fā)起流量時(shí)，才會(huì)促使CiscoIOS產(chǎn)生相應(yīng)的RACL臨時(shí)條目。

3.測(cè)試TCP流量過濾

首先在內(nèi)部主機(jī)PC2上打開瀏覽器，在地址欄輸入，系統(tǒng)將正常顯示外部服務(wù)器PC1的主頁信息，即PC2可以正常訪問PC1的Web服務(wù)。然后立即在路由器上使用showaccess-list查看，結(jié)果如下：可以看到tcp_RACL中已有一個(gè)條目，由于內(nèi)部主機(jī)發(fā)起的TCP流量與內(nèi)部ACL的第一條語句匹配，故路由器自動(dòng)在該語句指定的RACL中添加了RACL臨時(shí)條目，以允許從Web服務(wù)器的80端口返回的流量進(jìn)入內(nèi)部網(wǎng)絡(luò)。

等待一段時(shí)間后，再次使用showaccess-list查看，會(huì)發(fā)現(xiàn)tcp_RACL中的條目已被刪除了。顯示的結(jié)果與步驟(4)相同，請(qǐng)讀者思考為什么。

4.測(cè)試UDP流量過濾

再次在內(nèi)部主機(jī)PC2上打開瀏覽器，在地址欄輸入lab，系統(tǒng)同樣正常顯示了外部服務(wù)器PC1的主頁信息。與用IP訪問不同的是，這里PC2先與PC1進(jìn)行一次UDP通信，然后又與PC1進(jìn)行了一次TCP通信，即PC2先請(qǐng)求域名服務(wù)器，待域名服務(wù)器返回域名lab的解析結(jié)果后，PC2才與Web服務(wù)器建立TCP連接。Web頁面正常顯示后，在路由器上使用showaccess-list查看，結(jié)果如下：

5.測(cè)試ICMP流量過濾在PC2上可以ping通PC1，但是PC1無法ping通PC2。在路由器上使用showaccess-list查看，結(jié)果如下：可以看到，路由器在icmp_RACL中添加了臨時(shí)條目。6.清除RACL配置4.5.1防火墻的種類與CiscoPIX防火墻的特點(diǎn)

在計(jì)算機(jī)網(wǎng)絡(luò)中，防火墻代表一個(gè)系統(tǒng)或一組系統(tǒng)。一個(gè)防火墻系統(tǒng)可能由很多不同的設(shè)備和組件組成。防火墻通常用于網(wǎng)絡(luò)的邊界，執(zhí)行兩個(gè)或多個(gè)網(wǎng)絡(luò)之間的訪問控制策略，防止外部威脅。而個(gè)人防火墻是一種運(yùn)行在PC機(jī)上的應(yīng)用軟件，可保護(hù)系統(tǒng)免受非法訪問或惡意攻擊。防火墻內(nèi)側(cè)的網(wǎng)絡(luò)通常稱為“可信賴的網(wǎng)絡(luò)”，而外側(cè)的網(wǎng)絡(luò)，如Internet稱為“不可信賴的網(wǎng)絡(luò)”。4.5防?火?墻?概?述

1.防火墻的種類

依采用技術(shù)的不同，防火墻可以分為以下三種：包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻及基于狀態(tài)的包過濾防火墻。

1)包過濾防火墻

這是防火墻的最簡(jiǎn)單形式。采用包過濾技術(shù)的防火墻，依據(jù)ACL來允許或拒絕數(shù)據(jù)包的訪問。一個(gè)包過濾防火墻通常是一臺(tái)有能力過濾數(shù)據(jù)包某些內(nèi)容的路由器，如設(shè)有標(biāo)準(zhǔn)ACL或者擴(kuò)展ACL的路由器。但是運(yùn)行了CiscoIOS防火墻特征集和CBAC的路由器不再是一個(gè)簡(jiǎn)單的包過濾防火墻。包過濾防火墻依據(jù)系統(tǒng)事先制定好的過濾邏輯，即靜態(tài)規(guī)則，通過檢查流量中的每個(gè)數(shù)據(jù)包的一個(gè)或多個(gè)信息，來確定是否允許它通過。

包過濾防火墻能過濾以下類型的信息：

第3層的源和目的地址；

第3層的協(xié)議信息(如IP、ICMP、OSPF協(xié)議信息等)；

第4層的協(xié)議信息(如TCP和UDP端口號(hào)、TCP控制標(biāo)記)。包過濾防火墻存在的局限性有：

只要發(fā)送符合ACL匹配條件的數(shù)據(jù)包，便可以穿越防火墻；

需要復(fù)雜的ACL部署，維護(hù)困難，而且配置時(shí)必須對(duì)IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解，否則容易出現(xiàn)因配置不當(dāng)帶來的問題；

由于過濾判別的只有第3層和第4層信息，因此各種安全要求難以得到充分滿足；

內(nèi)外用戶是直接連接的，防火墻不提供用戶的鑒別機(jī)制。

2)應(yīng)用網(wǎng)關(guān)防火墻

應(yīng)用網(wǎng)關(guān)防火墻通常也稱做代理型防火墻。包過濾防火墻工作在OSI模型的第3層和第4層，而應(yīng)用網(wǎng)關(guān)防火墻在OSI模型的更高層對(duì)包進(jìn)行檢查，通常是第4到第7層。大多數(shù)應(yīng)用網(wǎng)關(guān)防火墻的控制和過濾通過軟件完成，可比包過濾防火墻提供更多的流量控制。應(yīng)用網(wǎng)關(guān)防火墻好比是一個(gè)實(shí)現(xiàn)內(nèi)外連接的中間人：輸出方向上，用戶通過運(yùn)行在網(wǎng)關(guān)上的應(yīng)用程序(代理)連接到外部網(wǎng)絡(luò)中的服務(wù)，用戶其實(shí)只連接到網(wǎng)關(guān)，而非外部主機(jī)，但是用戶的感覺是由自身直接連接到外部主機(jī)；輸入方向上，外部用戶發(fā)起的流量的最終到達(dá)點(diǎn)僅為網(wǎng)關(guān)，然后由網(wǎng)關(guān)與資源所在的內(nèi)部主機(jī)連接。應(yīng)用網(wǎng)關(guān)防火墻通常首先對(duì)輸入或輸出的連接請(qǐng)求進(jìn)行認(rèn)證，然后再允許流量到達(dá)內(nèi)網(wǎng)或外網(wǎng)資源。應(yīng)用網(wǎng)關(guān)防火墻只支持有限數(shù)量的應(yīng)用，它可能支持的一些常見應(yīng)用包括Web、E-mail、DNS、Telnet、FTP、Usenet、LDAP和finger。

應(yīng)用網(wǎng)關(guān)防火墻存在的局限性有：

用軟件處理數(shù)據(jù)包；

只支持有限數(shù)量的應(yīng)用，不能監(jiān)控所有流量上的數(shù)據(jù)；

有時(shí)要求在客戶端上安裝廠商指定的客戶端軟件；

需要大量的CPU和內(nèi)存資源，有時(shí)會(huì)造成一個(gè)吞吐量瓶頸。

3)基于狀態(tài)的包過濾防火墻

基于狀態(tài)的包過濾防火墻結(jié)合了包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)。包過濾防火墻的明顯缺點(diǎn)是不跟蹤連接的狀態(tài)，為了實(shí)現(xiàn)期望的通信，它必須保持一些端口的永久開放，這就為潛在的攻擊提供了機(jī)會(huì)?；跔顟B(tài)的包過濾防火墻保持對(duì)連接的跟蹤，即連接是否處于初始化、數(shù)據(jù)傳輸、終止?fàn)顟B(tài)?；跔顟B(tài)的包過濾防火墻采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為監(jiān)測(cè)模塊。監(jiān)測(cè)模塊對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)分析，提取相關(guān)的通信和狀態(tài)信息，并在基于狀態(tài)的會(huì)話流表中進(jìn)行狀態(tài)及上下文信息的存儲(chǔ)和更新。這些表被持續(xù)更新，為下一個(gè)通信檢查提供累積的數(shù)據(jù)。針對(duì)每一個(gè)基于TCP和UDP的會(huì)話連接，會(huì)話流表包含特定會(huì)話的源、目的地址，端口號(hào)，以及與該會(huì)話相關(guān)的其他標(biāo)志信息?；谶@些信息建立一個(gè)連接對(duì)象，輸入和輸出的數(shù)據(jù)包要與基于狀態(tài)的會(huì)話流表中的會(huì)話流相比較，只有當(dāng)連接已經(jīng)存在時(shí)，數(shù)據(jù)包才被允許通過防火墻。

基于狀態(tài)的包過濾防火墻可以把每個(gè)連接或無連接的事務(wù)的數(shù)據(jù)記錄在會(huì)話流表中，參照這些表可以確定數(shù)據(jù)包是否屬于已有的連接或一個(gè)未授權(quán)的連接?；跔顟B(tài)的包過濾防火墻能夠提供基于無連接的協(xié)議(UDP)的應(yīng)用(DNS、WAIS等)及基于端口動(dòng)態(tài)分配的協(xié)議(如RemoteProcedureCall，即RPC)的應(yīng)用(如NFS、NIS)的安全支持，而包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻都不支持此類應(yīng)用。

2.?CiscoPIX防火墻的特點(diǎn)

CiscoPIX防火墻基于專用的硬件和軟件安全解決方案，使用了包過濾和代理服務(wù)器的特色技術(shù)，是個(gè)混合系統(tǒng)。CiscoPIX防火墻具有以下技術(shù)特點(diǎn)和優(yōu)勢(shì)：

非通用、安全、實(shí)時(shí)的嵌入式系統(tǒng)。PIX防火墻使用安全、實(shí)時(shí)的嵌入式系統(tǒng)Finesse，減少了通用操作系統(tǒng)所帶來的風(fēng)險(xiǎn)，提供了突出的性能，可以同時(shí)處理高達(dá)50萬個(gè)連接，比任何基于UNIX的防火墻都高得多。

自適應(yīng)安全算法(AdaptiveSecurityAlgorithm，ASA)。CiscoPIX防火墻系列的核心是ASA，該算法對(duì)經(jīng)過PIX防火墻的連接采用了基于狀態(tài)的控制。采用ASA使得PIX防火墻比包過濾防火墻更簡(jiǎn)單、更強(qiáng)大。直通代理(Cut-throughProxy)。它是CiscoPIX防火墻的獨(dú)特特性。直通代理對(duì)入、出連接都采用基于用戶的認(rèn)證方式。與通常的代理服務(wù)器不同，PIX防火墻首先查詢認(rèn)證服務(wù)器，當(dāng)連接獲得批準(zhǔn)之后建立數(shù)據(jù)流。然后，所有流量都將在雙方之間直接、快速地流動(dòng)，這比典型的代理服務(wù)器具有更好的性能。

基于狀態(tài)的包過濾。內(nèi)、外網(wǎng)絡(luò)之間要成功地建立某個(gè)會(huì)話，該會(huì)話的信息必須與基于狀態(tài)的會(huì)話流表中的信息相匹配?；跔顟B(tài)的包過濾是針對(duì)會(huì)話連接進(jìn)行分析，而非針對(duì)數(shù)據(jù)包進(jìn)行分析的。

故障倒換(Failover)。CiscoPIX防火墻將兩個(gè)相同的防火墻配置成全冗余方式，主防火墻執(zhí)行正常的安全功能，備份防火墻處于監(jiān)控狀態(tài)，隨時(shí)準(zhǔn)備在主防火墻發(fā)生故障時(shí)獲得控制權(quán)。

鑒于CiscoPIX防火墻支持以上多種特性，有時(shí)也將其稱為“混合防火墻”。4.5.2CiscoPIX防火墻產(chǎn)品簡(jiǎn)介

CiscoPIX防火墻500系列產(chǎn)品能滿足比較廣泛的需求和不同大小的網(wǎng)絡(luò)規(guī)模，目前包含以下5種型號(hào)，其價(jià)格和功能的關(guān)系如圖4-8所示。

PIX501防火墻——為遠(yuǎn)程辦公人員和小型辦公室提供企業(yè)級(jí)的安全性。它集成了一個(gè)高性能4端口的10/100Mb/s交換機(jī)，這為多個(gè)計(jì)算機(jī)共享一個(gè)寬帶連接提供了方便。

PIX506E防火墻——為遠(yuǎn)程辦公室和分支機(jī)構(gòu)提供企業(yè)級(jí)的安全性。它集成了兩個(gè)10/100Mb/s以太網(wǎng)接口。PIX515E防火墻——針對(duì)中小型企業(yè)和企業(yè)遠(yuǎn)程辦公機(jī)構(gòu)而設(shè)計(jì)，具有更強(qiáng)的處理能力和集成化的、基于硬件的IPSec加速功能。它可以提供故障切換功能和多達(dá)6個(gè)

10/100Mb/s以太網(wǎng)端口。比PIX506E多出來的4個(gè)端口允許更加健壯的傳輸配置，可以在其上托管一個(gè)受到保護(hù)的DMZ，從而運(yùn)行一個(gè)網(wǎng)站或執(zhí)行URL過濾和病毒檢測(cè)。

PIX525防火墻——為要求高可用性、高性能的大型企業(yè)用戶設(shè)計(jì)，特別適合于保護(hù)企業(yè)總部的邊界。它支持最多8個(gè)10/100Mb/s以太網(wǎng)接口或3個(gè)千兆以太網(wǎng)接口。

PIX535防火墻——其性能可以滿足大型企業(yè)網(wǎng)絡(luò)和服務(wù)提供商的需要，支持最多10個(gè)10/100Mb/s以太網(wǎng)接口或9個(gè)千兆以太網(wǎng)接口。圖4-8CiscoPIX防火墻系列產(chǎn)品4.5.3CiscoPIX防火墻的接口與安全級(jí)別

應(yīng)用于中小型規(guī)模網(wǎng)絡(luò)的PIX防火墻通常具有至少3個(gè)接口，每個(gè)接口分別與不同網(wǎng)絡(luò)連接。這些網(wǎng)絡(luò)可以歸入以下三種區(qū)域，其中受保護(hù)的部分包括內(nèi)部區(qū)域和非軍事區(qū)(DeMilitarizedZone，DMZ)，而外部區(qū)域是不受保護(hù)的。

內(nèi)部區(qū)域：通常指企業(yè)內(nèi)部網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。它是受到防火墻保護(hù)的區(qū)域。

外部區(qū)域：通常指非企業(yè)內(nèi)部網(wǎng)絡(luò)或Internet。它是互連網(wǎng)絡(luò)中不被信任的區(qū)域，當(dāng)外部區(qū)域中的用戶想要訪問內(nèi)部區(qū)域的主機(jī)和服務(wù)時(shí)，通過防火墻就可以實(shí)現(xiàn)有限制的

訪問。非軍事區(qū)：簡(jiǎn)稱DMZ，它是內(nèi)、外網(wǎng)絡(luò)之間的一個(gè)被隔離的子網(wǎng)。網(wǎng)絡(luò)管理員將堡壘主機(jī)、Web服務(wù)器、E-mail服務(wù)器等公用服務(wù)器放在DMZ中。DMZ對(duì)于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業(yè)的公開信息，但卻不允許他們?cè)L問企業(yè)的內(nèi)部網(wǎng)絡(luò)。即使DMZ已被入侵控制，內(nèi)部區(qū)域仍然受到保護(hù)。當(dāng)然，如果PIX防火墻只有2個(gè)接口，一般不設(shè)置DMZ。安全級(jí)別表明一個(gè)接口相對(duì)于另一個(gè)接口是否可信任。如果一個(gè)接口的安全級(jí)別高于另一個(gè)接口的安全級(jí)別，這個(gè)接口就被認(rèn)為是可信任的(需更多保護(hù))；如果一個(gè)接口的安全級(jí)別低于另一個(gè)接口的安全級(jí)別，這個(gè)接口就被認(rèn)為是不可信任的(需較少保護(hù))。安全級(jí)別的基本規(guī)則是：具有較高安全級(jí)別的接口可以訪問具有較低安全級(jí)別的接口。反過來，在沒有配置管道(conduit)和ACL的情況下，具有較低安全級(jí)別的接口不能訪問具有較高安全級(jí)別的接口。安全級(jí)別的范圍是0～100。安全級(jí)別100——是PIX防火墻內(nèi)部接口的最高安全級(jí)別，應(yīng)該將企業(yè)內(nèi)部網(wǎng)絡(luò)建立在這個(gè)接口上。除非經(jīng)過特定的允許，其他的接口都不能訪問這個(gè)接口，而這個(gè)接口上的每臺(tái)設(shè)備都可以訪問其他接口。

安全級(jí)別0——是用在PIX防火墻外部接口的最低安全級(jí)別，應(yīng)該把最不值得信賴的網(wǎng)絡(luò)連接到這個(gè)接口的后面。這樣，除非經(jīng)過特定的許可，它不能訪問其他接口，這個(gè)接口通常用于連接Internet。安全級(jí)別1～99——是分配到與防火墻相連接的邊界接口的安全級(jí)別?？梢愿鶕?jù)每個(gè)網(wǎng)絡(luò)和設(shè)備的訪問情況來為它們分配相應(yīng)的安全級(jí)別。

圖4-9表明了安全級(jí)別的概念。在缺省配置中，e0被命名為外部接口(outside)，安全級(jí)別是0；e1被命名為內(nèi)部接口(inside)，安全級(jí)別是100。其他接口的安全級(jí)別可根據(jù)安全訪問要求，設(shè)置為1～99間的一個(gè)數(shù)。圖4-9接口的安全級(jí)別4.5.4CiscoPIX防火墻的流量分類

通過PIX防火墻的流量分為兩類：

(1)出站流量——是從一個(gè)擁有較高安全級(jí)別的接口到一個(gè)擁有較低安全級(jí)別的接口的流量。例如從內(nèi)部接口到外部接口的流量。這類流量通常出現(xiàn)在處于內(nèi)部的用戶去訪問外部接口或DMZ區(qū)域上的資源時(shí)。

(2)入站流量——是從一個(gè)擁有較低安全級(jí)別的接口到一個(gè)擁有較高安全級(jí)別的接口的流量。例如，從外部區(qū)域或DMZ接口到內(nèi)部接口的流量。這類流量通常出現(xiàn)在處于外部Internet上的用戶去訪問處于內(nèi)部的服務(wù)器時(shí)，例如DNS、SMTP或者Web服務(wù)器。

在對(duì)PIX防火墻進(jìn)行基本的配置后，缺省情況下，較高安全級(jí)別接口上的流量是被允許去往較低安全級(jí)別接口的，即允許出站，但是需要事先配置適當(dāng)?shù)腘AT策略。注意，這并不意味著必須為出站連接做地址轉(zhuǎn)換，因?yàn)榭梢允褂胣at0命令(nat命令的具體格式參見4.6.2節(jié))，使處于內(nèi)部的主機(jī)通過防火墻訪問外部網(wǎng)絡(luò)時(shí)不經(jīng)過地址轉(zhuǎn)換。為了允許入站流量，需要通過使用全局地址池中的一個(gè)地址或一段地址來預(yù)定義一個(gè)靜態(tài)轉(zhuǎn)換，然后緊跟著通過地址、地址段、具體的TCP/UDP端口或一個(gè)端口范圍以及應(yīng)用，來定義一個(gè)允許相關(guān)流量通過防火墻的通道。4.6.1PIX防火墻的管理訪問模式

PIX防火墻支持基于CiscoIOS的命令集，提供以下四種管理訪問模式：

非特權(quán)模式。該模式也稱為用戶模式。PIX防火墻開機(jī)自檢后，就處于這種模式，系統(tǒng)顯示為“pixfirewall>”。該模式下可以看到受限的設(shè)置。

特權(quán)模式。在非特權(quán)模式下，輸入enable即進(jìn)入特權(quán)模式，系統(tǒng)顯示為“pixfirewall#”。該模式下可以改變當(dāng)前配置。4.6PIX防火墻的基本配置配置模式。在特權(quán)模式下，輸入configureterminal即進(jìn)入此模式，系統(tǒng)顯示為“pixfirewall(config)#”。絕大部分的系統(tǒng)配置都在這里進(jìn)行，所有的非特權(quán)、特權(quán)、配置命令在該模式下都能使用。

監(jiān)控模式。PIX防火墻在開機(jī)或重啟過程中，按住“Escape”鍵或發(fā)送一個(gè)“Break”字符，進(jìn)入監(jiān)視模式，系統(tǒng)顯示為“monitor>”。該模式下，可以進(jìn)行防火墻操作系統(tǒng)映像更新和口令恢復(fù)。4.6.2命令格式與說明

1.基本配置命令

對(duì)防火墻進(jìn)行基礎(chǔ)配置時(shí)，要使防火墻啟動(dòng)并運(yùn)行起來通常需要配置以下幾條命令：

1)?nameif

該命令給PIX防火墻的每個(gè)接口分配一個(gè)名稱，并指定它們的安全級(jí)別，命令格式如下:

pixfirewall(config)#nameif{hardware_id?|?vlan_id}if_namesecurity_level

hardware_id參數(shù)指明接口和它在防火墻中的槽位號(hào)，由代表接口類型的字母和插槽序號(hào)組成。有三種可以輸入的接口類型：以太網(wǎng)、FDDI和令牌環(huán)。如以太網(wǎng)接口用ethernet0、ethernet1、ethernet2等來表示。vlan_id即VLAN標(biāo)識(shí)符。if_name指定當(dāng)前接口的名稱，以后在配置該接口時(shí)可以引用。security_level指定接口的安全級(jí)別，其有效范圍是1～99，而PIX防火墻的內(nèi)部和外部接口的安全級(jí)別分別是默認(rèn)的100和0。

2)?interface

該命令用于指明接口標(biāo)識(shí)、接口速率和啟動(dòng)接口。命令格式如下：

pixfirewall(config)#interface

hardware_id[hardware_speed][shutdown]

hardware_id參數(shù)和nameif中的含義相同。hardware_speed參數(shù)用于指定連接速率，可能的以太網(wǎng)速率值有：10baset(10Mb/s半雙工)、10full(10Mb/s全雙工)、100basetx(100Mb/s半雙工)、100full(100Mb/s全雙工)、1000basex(1000Mb/s半雙工)、1000sxfull(1000Mb/s全雙工)、1000auto(1000Mb/s全雙工或半雙工自動(dòng)協(xié)商)、aui(將附加AUI電纜接口設(shè)為10Mb/s半雙工)、auto(以太網(wǎng)速率自適應(yīng)模式)、bnc(將BNC電纜接口設(shè)為10Mb/s半雙工)。默認(rèn)情況下，硬件的速率都設(shè)置成auto，但是如果網(wǎng)絡(luò)中包含有不能正確處理自適應(yīng)協(xié)議的設(shè)備，應(yīng)該給網(wǎng)絡(luò)接口指定速率。選項(xiàng)shutdown用于禁用接口，當(dāng)首次安裝PIX時(shí)，所有的接口缺省都是關(guān)閉的，要開啟這些接口，在使用interface命令時(shí)不加shutdown選項(xiàng)即可。

3)?ipaddress

該命令用于給接口分配IP地址，有手工配置和從DHCP服務(wù)器自動(dòng)獲取兩種方式。

手工配置命令格式如下：

pixfirewall(config)#ipaddress

if_nameip_address[netmask]

if_name是nameif命令中定義過的接口名稱。ip_address用于指定接口的IP地址?？蛇x項(xiàng)netmask用于指定ip_address的網(wǎng)絡(luò)掩碼，如果沒有指定，系統(tǒng)使用默認(rèn)網(wǎng)絡(luò)掩碼。

從DHCP服務(wù)器自動(dòng)獲取除了可以手工為PIX防火墻接口分配一個(gè)IP地址外，還可以啟動(dòng)PIX防火墻的DHCP客戶端功能，讓PIX防火墻從DHCP服務(wù)器上動(dòng)態(tài)獲得IP地址。使用以下命令啟動(dòng)此功能：

pixfirewall(con