路游检查你入站的流量。当它看到一个新的连接的时候,它添加整个到一个临时的ACL去,这样就可以继续访问。
这个就是人们通常所说的访问列表顶部登陆,这个允许已确定的流量。但是,这个方法在UDP或者ICMP流量,并且,它不能在自动改变访问流量端口的应用程序。这个许可确定的语句仅仅检查ACK和RST,不是源地址和目标地址。
自反ACLs同时也给UDP和ICMP工作,这个没有ACK和RST。它们强迫从一个已经知道的目的地回复流量。
自反 ACLs如何工作
让我们看看下面的例子。在你的路游器的外部接口,你的ACLs可能象这个样子:
ip access-group inbound in
ip access-group outbound out
入站流量的ACL执行评估和管理访问按照下面的方式执行:
ip access-list extended outbound
permit tcp your.network.address any reflect tcpsession
permit udp your.network.address any reflect udpsesion
这个简单的ACL允许所有的入站TCP和UDP流量,并且自动创建两个新自反的TCP和UDP流量的列表。因为这个在你的网络中它是暂时性的TCP和UDP流量,它创建了一个临时的ACLs来管理访问流量。
国内的ACL是按下面的方式来执行的:
ip access-list extended inbound
permit bgp any any
permit tcp any host your.mailserver.address eq smtp
permit tcp any host your.webserver.address eq http
deny icmp any any
evaluate tcpsession
evaluate udpsession
一旦你应用这些ACLs到你外部接口,他们会允许入站包裹到你的网络中,如果它是匹配的许可语句。否则,它们将过滤所有入站的流量。
在默认状态下,自反列表中整个登陆口的时间长度为300S,或者在会议终止的时候。我建议改变这个值会更合理。使用下面的命令:
ip reflexive-list timeout seconds ! seconds value can be 0 - 2,147,483
自反 ACLs 怎么失败的?
自反的ACLs不会在在TCP会议中改变使用端口数字的应用程序。如果返回的包裹的端口数字和当初的不一样,自反ACL不会接受这个返回包裹,尽管这个包裹的确是相同会议的真实端口。
活动的FTP就是一个改变端口数字的应用程序。利用ACLs,如果你在你的网络中开始激活FTP需求,它不会联系FTP会议的入站包裹,并且它将拒绝包裹。你必须使用被动的FTP,当初始请求从你网络中发出的时候。
自反ACL的目的是提高你外部ACLs的能力。你要记住,他们执行访问状态并且不要放置防火墙。
Mike Mullins是美国机密部队的数据管理员和助理网络管理员,同时他也是国防部信息系统代理的一名网络安全管理员。