第14章 IP访问控制列表详解.pptVIP

第十四章IP访问控制列表 为什么要使用访问列表 访问列表的应用 访问列表的其它应用 访问列表的其它应用 访问列表的其它应用 什么是访问列表--标准 什么是访问列表--扩展 什么是访问列表 ACL好处 使用ACL降低的安全威胁: ·IP地址欺骗,对内 ·IP地址欺骗,对外 ·拒绝服务(DoSTCP SYN攻击,阻塞外部攻击 · DoS TCP sYN攻击,使用TCP截取 · Dos smuⅡ 攻击 ·过滤ICMP信息,对内 ·过滤ICMP信息,对外 ·过滤tracerotlte DOS攻击原理 广播风暴:mac地址迅速充满. 对每一个传过来的包进行检查,将会影响速度 TCP属性:任何SYN的请求,不管这个请求是对的还是错误的,必须以一个ACK的值来回应.若是有成千上万的请求,就会有成千上万个回应,这时候CPU运载能力上升,直接导致死机. ACL特性 1 ACL只能过滤穿越路由器的流量,面对路由器本身产生的流量不能过滤. 2 只要一个区域满足,下面条件不用看了 3 严格的放在最上面,宽松的放到下面 4 默认的deny (不显示),至少有一个允许 5 如果漏写 即删一个全完了 要么就重写 6 调用只有放在接口上应用才生效 (方向 inside outside) 出端口方向上的访问列表 出端口方向上的访问列表 出端口方向上的访问列表 访问列表的测试：允许和拒绝 访问列表的测试