利用自反 ACLs管理访问流量

ZDNet软件频道 时间:2004-04-19 作者:TechRepublic.com |  我要评论()
本文关键词:
网络管理员使用自反访问控制列表,允许IP流量从你的网络中进行发生会话。这些ACLs允许路游自动管理会话流量 。
本文译自TechRepublic,未经许可请勿转载 网络管理员使用自反访问控制列表,允许IP流量从你的网络中进行发生会话。这些ACLs允许路游自动管理会话流量 。

  路游检查你入站的流量。当它看到一个新的连接的时候,它添加整个到一个临时的ACL去,这样就可以继续访问。

   这个就是人们通常所说的访问列表顶部登陆,这个允许已确定的流量。但是,这个方法在UDP或者ICMP流量,并且,它不能在自动改变访问流量端口的应用程序。这个许可确定的语句仅仅检查ACK和RST,不是源地址和目标地址。

  自反ACLs同时也给UDP和ICMP工作,这个没有ACK和RST。它们强迫从一个已经知道的目的地回复流量。

自反 ACLs如何工作

  让我们看看下面的例子。在你的路游器的外部接口,你的ACLs可能象这个样子:

ip access-group inbound in
ip access-group outbound out

入站流量的ACL执行评估和管理访问按照下面的方式执行:

ip access-list extended outbound
permit tcp your.network.address any reflect tcpsession
permit udp your.network.address any reflect udpsesion

  这个简单的ACL允许所有的入站TCP和UDP流量,并且自动创建两个新自反的TCP和UDP流量的列表。因为这个在你的网络中它是暂时性的TCP和UDP流量,它创建了一个临时的ACLs来管理访问流量。

国内的ACL是按下面的方式来执行的:

ip access-list extended inbound
permit bgp any any
permit tcp any host your.mailserver.address eq smtp
permit tcp any host your.webserver.address eq http
deny icmp any any
evaluate tcpsession
evaluate udpsession

 

 一旦你应用这些ACLs到你外部接口,他们会允许入站包裹到你的网络中,如果它是匹配的许可语句。否则,它们将过滤所有入站的流量。

  在默认状态下,自反列表中整个登陆口的时间长度为300S,或者在会议终止的时候。我建议改变这个值会更合理。使用下面的命令:

ip reflexive-list timeout seconds  ! seconds value can be 0 - 2,147,483

自反 ACLs 怎么失败的?

 

  自反的ACLs不会在在TCP会议中改变使用端口数字的应用程序。如果返回的包裹的端口数字和当初的不一样,自反ACL不会接受这个返回包裹,尽管这个包裹的确是相同会议的真实端口。

活动的FTP就是一个改变端口数字的应用程序。利用ACLs,如果你在你的网络中开始激活FTP需求,它不会联系FTP会议的入站包裹,并且它将拒绝包裹。你必须使用被动的FTP,当初始请求从你网络中发出的时候。

最后的思考

  自反ACL的目的是提高你外部ACLs的能力。你要记住,他们执行访问状态并且不要放置防火墙。

 Mike Mullins是美国机密部队的数据管理员和助理网络管理员,同时他也是国防部信息系统代理的一名网络安全管理员。



责任编辑:李宁

欢迎评论投稿

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134