IP訪問控制列表算是Cisco IOS一個內在的security feature，以下是對常用的動態(tài)訪問控制列表做了個總結。

Pt.1 Lock-and-Key Security

Lock-and-Key Overview

lock-and-key動態(tài)ACL使用IP動態(tài)擴展ACL過濾IP流量。當配置了lock-and-key動態(tài)ACL之后，臨時被拒絕掉的IP流量可以獲得暫時性的許可。 lock-and-key動態(tài)ACL臨時修改路由器接口下已經存在的ACL，來允許IP流量到達目標設備。之后lock-and-key動態(tài)ACL把接口狀態(tài)還原。

通過lock-and-key動態(tài)ACL獲得訪問目標設備權限的用戶，首先要開啟到路由器的telnet會話。接著lock-and-key動態(tài)ACL自動對用戶進行認證。如果認證通過，那么用戶就獲得了臨時性的訪問權限。

Configuring Lock-and-Key

配置lock-and-key動態(tài)ACL的步驟如下：

1.設置動態(tài)ACL：

BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}

2.擴展動態(tài)ACL的絕對計時器�？蛇x：

BitsCN(config)# access-list dynamic-extend

3.定義需要應用ACL的接口：

BitsCN(config)#interface {interface}

4.應用ACL：

BitsCN(config-if)#ip access-group {ACL}

5.定義VTY線路：

BitsCN(config)#line vty {line-number [ending-line-number]}

6.對用戶進行認證：

BitsCN(config)#username {username} password {password}

7.采用TACACS認證或本地認證方式�？蛇x：

BitsCN(config-line)#login {tacacs|local}

8.創(chuàng)建臨時性的訪問許可權限，如果沒有定義參數(shù)host，默認為所有主機：

BitsCN(config-line)#autocommand access-enable {host} [timeout minutes]

Case 1

在5分鐘內開啟到172.16.1.2的telnet會話，如果認證成功，對用戶給予120秒的訪問許可權：

Monitoring and Maintaining Lock-and-Key

查看ACL信息：

一般情況下，TCP連接的建立需要經過三次握手的過程：

1.建立發(fā)起者向目標計算機發(fā)送一個TCP SYN數(shù)據(jù)包。

2.目標計算機收到這個TCP SYN數(shù)據(jù)包后，在內存中創(chuàng)建TCP連接控制塊(TCB)，然后向發(fā)送源回復一個TCP確認(ACK)數(shù)據(jù)包，等待發(fā)送源的響應。

3.發(fā)送源收到TCP ACK數(shù)據(jù)包后，再以一個TCP ACK數(shù)據(jù)包，TCP連接成功。

TCP SYN洪水攻擊的過程：

1.攻擊者向目標設備發(fā)送一個TCP SYN數(shù)據(jù)包。

2.目標設備收到這個TCP SYN數(shù)據(jù)包后，建立TCB，并以一個TCP ACK數(shù)據(jù)包進行響應，等待發(fā)送源的響應。

3.而發(fā)送源則不向目標設備回復TCP ACK數(shù)據(jù)包，這樣導致目標設備一致處于等待狀態(tài)。

4.如果TCP半連接很多，會把目標設備的資源(TCB)耗盡，而不能響應正常的TCP連接請求。，從而完成拒絕服務的TCP SYN洪水攻擊。

TCP攔截特性可以防止TCP的SYN洪水攻擊。TCP攔截特性的兩種模式：

1.攔截(intercept)：軟件將主動攔截每個進站的TCP連接請求(TCP SYN)，并以服務器的身份，以TCP ACK數(shù)據(jù)包進行回復，然后等待來自客戶機的TCP ACK數(shù)據(jù)包。當再次收到客戶機的TCP ACK數(shù)據(jù)包后，最初的TCP SYN數(shù)據(jù)包被移交給真正的服務器，軟件進行TCP三次握手，建立TCP連接。

2.監(jiān)控(watch)：進站的TCP連接請求(TCP SYN)允許路由器移交給服務器，但是路由器將對連接進行監(jiān)控，直到TCP連接建立完成。如果30秒內TCP連接建立不成功，路由器將發(fā)送重置(Reset)信號給服務器，服務器將清除TCP半連接。