思科自反访问列表.docxVIP

Reflexive?ACL?概述?在某些网络中，为了考虑安全性，不希望外网的用户主动向内网发起连接，因为怀疑这样的动作可能是攻击行为。但是内网用户主动向外部发起的连接，外网的回包可以进入内网。这样的需求，如果使用普通的ACL，在外网进来的接口上拒绝所有数据包，这肯定是不行的，因为这样虽然保证外网不能访问内网了，安全目的达到了，但是内网主动向外网发起的连接，外网回包时也进不来了，所以这种普通ACL不可行。更好的方法就是，先拒绝所有外网主动向内网发起的连接，但是在内网主动向外网发起的连接中，作好记录，打好标记，等到外网回包时，能够让其顺利进入内网，这样即保证了外网不能主动访问内网，实现了安全，又保证了内网发起的连接，外网可以回应，也不妨碍通信。要实现这样的功能，就可以通过特殊的ACL，即Reflexive?ACL来实现。Reflexive?ACL就是根据以上所述，先拒绝外网向内网发送数据，然后允许内网向外网发送数据，但是在内网的数据发向外网时，这些数据的会话会被记录，被标记，等外网发回的数据和这些有记录的会话属于同一会话时，便可临时在进来的方向上打开缺口，让其返回，其它外网发来的不在记录中的数据，统统不能进入内网。所以根据这些原理，Reflexive?ACL需要有两个ACL来配合使用，一个ACL是用在外网到内网的方向，以拒绝外网的主动连接，另一个ACL是用在内网到外网的方向，用来检测内网有数据发向外网时，做上记录，等外网回包时，就在之前那个ACL中打开一个临时缺口，让外网的回包进入，这样就实现了之前所说的安全功能。?Reflexive?ACL有许多功能限制，只支持命名的扩展ACL，并且思科官方文档会解释说此ACL在最后没有像通常那样隐含拒绝所有，所以请注意你使用的IOS是否隐含拒绝了所有数据通过。此ACL正因为外网数据在主动进入内网时被拒绝的，所以当内网数据出去时，这个会话会做好记录会在进的方向给打开缺口，让其返回，这个被打开的缺口，在会话结束后，缺口被关闭。其实大家都知道，只有TCP的数据才存在会话，所以当TCP数据传完之后，会马上关闭缺口，但是对于没有会话的UDP，就不能使用上面的方法了，就软件根据timeout来判断数据是否传完，如果没有给ACL指定timeout，默认使用全局timeout，默认全局是timeout?是?300?秒，在timeout结束后，缺口被关闭。正因为这些从内网发到外网的数据被记录了，只有返回的数据和记录中的相符，才能进入内网，所以如果返回的数据不符，就进不来，因此，会话在中途端口号是不能更换的，一旦更换，就无法匹配记录了。而像FTP这样的会话，在中途要改变端口号，所以FTP在有Reflexive?ACL时，不能很好的工作。?在Reflexive?ACL拒绝外网数据进入内网时，外网是不能先向内网发起连接的，但是并不需要将所有数据都拒绝，在配置时，某些数据就可以放开，让它和正常数据一样没有限制，比如路由协议的数据。而在定义什么样的数据出去之后被记录，可以返回，也可以只选择特定的数据。当在定义这个需要被记录的数据时，使用ACL来匹配，只能写一条，如果写多条，除了第一条，其它统统无效。配置说明：R4为外网，R2和R3为内网。?1.配置拒绝外网主动访问内网?说明：拒绝外网主动访问内网，但是ICMP可以不受限制?（1）配置允许ICMP可以不用标记就进入内网，其它的必须被标记才返回?r1(config)#ip?access-list?extended?come?r1(config-ext-nacl)#permit?icmp?any?any??被允许的ICMP是不用标记即可进入内网的?r1(config-ext-nacl)#evaluate?abc??其它要进入内网的，必须是标记为abc的?（2）应用ACL?r1(config)#int?f0/1?r1(config-if)#ip?access-group?come?in?2.测试结果（1）测试外网R4的ICMP访问内网?r4#ping??Type?escape?sequence?to?abort.?Sending?5,?100byte?ICMP?Echos?to?,?timeout?is?2?seconds:?!!!!!?Success?rate?is?100?percent?(5/5),?round-trip?min/avg/max?=?1/2/4?ms?r4#?说明：可以看到，ICMP是可以任意访问的?（2）测试外网R4?telnet内网?r4#telnet?r4#telnet??Trying??...?%?Destination?unreachable;?gateway?or?host?down?r4#?说明：可以看到，除ICMP之外，其它流量是不能进入内网