IP訪問控制列表算是Cisco IOS一個內(nèi)在的security feature，以下是對常用的動態(tài)訪問控制列表做了個總結(jié)。

Pt.1 Lock-and-Key Security

Lock-and-Key Overview

lock-and-key動態(tài)ACL使用IP動態(tài)擴(kuò)展ACL過濾IP流量。當(dāng)配置了lock-and-key動態(tài)ACL之后，臨時被拒絕掉的IP流量可以獲得暫時性的許可。 lock-and-key動態(tài)ACL臨時修改路由器接口下已經(jīng)存在的ACL，來允許IP流量到達(dá)目標(biāo)設(shè)備。之后lock-and-key動態(tài)ACL把接口狀態(tài)還原。

通過lock-and-key動態(tài)ACL獲得訪問目標(biāo)設(shè)備權(quán)限的用戶，首先要開啟到路由器的telnet會話。接著lock-and-key動態(tài)ACL自動對用戶進(jìn)行認(rèn)證。如果認(rèn)證通過，那么用戶就獲得了臨時性的訪問權(quán)限。

Configuring Lock-and-Key

配置lock-and-key動態(tài)ACL的步驟如下：

1.設(shè)置動態(tài)ACL：

BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}

2.擴(kuò)展動態(tài)ACL的絕對計時器。可選：

BitsCN(config)# access-list dynamic-extend

3.定義需要應(yīng)用ACL的接口：

BitsCN(config)#interface {interface}

4.應(yīng)用ACL：

BitsCN(config-if)#ip access-group {ACL}

5.定義VTY線路：

BitsCN(config)#line vty {line-number [ending-line-number]}

6.對用戶進(jìn)行認(rèn)證：

BitsCN(config)#username {username} password {password}

7.采用TACACS認(rèn)證或本地認(rèn)證方式。可選：

BitsCN(config-line)#login {tacacs|local}

8.創(chuàng)建臨時性的訪問許可權(quán)限，如果沒有定義參數(shù)host，默認(rèn)為所有主機(jī)：

BitsCN(config-line)#autocommand access-enable {host} [timeout minutes]

Case 1

在5分鐘內(nèi)開啟到172.16.1.2的telnet會話，如果認(rèn)證成功，對用戶給予120秒的訪問許可權(quán)：

Monitoring and Maintaining Lock-and-Key

查看ACL信息：

一般情況下，TCP連接的建立需要經(jīng)過三次握手的過程：

1.建立發(fā)起者向目標(biāo)計算機(jī)發(fā)送一個TCP SYN數(shù)據(jù)包。

2.目標(biāo)計算機(jī)收到這個TCP SYN數(shù)據(jù)包后，在內(nèi)存中創(chuàng)建TCP連接控制塊(TCB)，然后向發(fā)送源回復(fù)一個TCP確認(rèn)(ACK)數(shù)據(jù)包，等待發(fā)送源的響應(yīng)。

3.發(fā)送源收到TCP ACK數(shù)據(jù)包后，再以一個TCP ACK數(shù)據(jù)包，TCP連接成功。

TCP SYN洪水攻擊的過程：

1.攻擊者向目標(biāo)設(shè)備發(fā)送一個TCP SYN數(shù)據(jù)包。

2.目標(biāo)設(shè)備收到這個TCP SYN數(shù)據(jù)包后，建立TCB，并以一個TCP ACK數(shù)據(jù)包進(jìn)行響應(yīng)，等待發(fā)送源的響應(yīng)。

3.而發(fā)送源則不向目標(biāo)設(shè)備回復(fù)TCP ACK數(shù)據(jù)包，這樣導(dǎo)致目標(biāo)設(shè)備一致處于等待狀態(tài)。

4.如果TCP半連接很多，會把目標(biāo)設(shè)備的資源(TCB)耗盡，而不能響應(yīng)正常的TCP連接請求。，從而完成拒絕服務(wù)的TCP SYN洪水攻擊。

TCP攔截特性可以防止TCP的SYN洪水攻擊。TCP攔截特性的兩種模式：

1.攔截(intercept)：軟件將主動攔截每個進(jìn)站的TCP連接請求(TCP SYN)，并以服務(wù)器的身份，以TCP ACK數(shù)據(jù)包進(jìn)行回復(fù)，然后等待來自客戶機(jī)的TCP ACK數(shù)據(jù)包。當(dāng)再次收到客戶機(jī)的TCP ACK數(shù)據(jù)包后，最初的TCP SYN數(shù)據(jù)包被移交給真正的服務(wù)器，軟件進(jìn)行TCP三次握手，建立TCP連接。

2.監(jiān)控(watch)：進(jìn)站的TCP連接請求(TCP SYN)允許路由器移交給服務(wù)器，但是路由器將對連接進(jìn)行監(jiān)控，直到TCP連接建立完成。如果30秒內(nèi)TCP連接建立不成功，路由器將發(fā)送重置(Reset)信號給服務(wù)器，服務(wù)器將清除TCP半連接。