动态访问控制列表.docVIP

Cisco Security 系列文档作者：于康 QQ：191197032（群） 1677151165 （个人）CCIE RSSEC HYPERLINK /qmisco /qmisco 动态访问列表动态ACL，也被称为lock-and-key ACL，在1996年作为选项引入思科IOS。动态ACL仅支持IP流量。动态ACL依赖于telnet连接，用户telnet路由器，并验证通过，此时telnet自动断开，并动态产生一条临时ACL语句。当一段时间内，无该语句相关流量通过，临时的ACL语句消失。动态访问表是对传统访问表的一种重要功能增强。我们从动态访问表的名称就可以看出，动态访问表是能够创建动态访问表项的访问表。传统的标准访问表和扩展的访问表不能创建动态访问表项。一旦在传统访问表中加入了一个表项，除非手工删除，该表项将一直产生作用。而在动态访问表中，读者可以根据用户认证过程来创建特定的、临时的访问表。 用户一般通过提供用户名和口令，就能够开启一个到路由器telnet会话。也可以配置路由器，让其只需要口令，而不需要用户名；但我们并不推荐这样做。在用户被认证之后，路由器关闭telnet会话，并将一个动态访问表项置于某个访问表中，以允许源地址为认证用户工作站地址的报文通过。这样，用户可以在安全边界上配置访问表，只允许那些能够通过用户认证的工作站才能发送向内的报文。 这种方式所带来的好处是很明显的。在传统的访问表中，如果处于路由器不可信任端的用户需要访问内部的资源，就必须永久性地在访问表中开启一个突破口，以允许这些用户的工作站上的报文进入可信任网络。这些在访问表中的永久性的突破口给黑客发送报文进入安全边界，并达到内部网络提供了机会。这种情况可以通过只允许特定的可信I P源地址的报文进入内部，解决部分问题。但是，假设用户不是使用静态的I P地址呢？则上述的方法就不起作用了。例如，用户可以通过Internet服务提供者（Internet Service Provider，ISP）拨号进入Internet。一般情况下，家庭用户每次拨入I S P时，其I P地址都是不同的，所以，如果不在安全边界上开启一个很大的突破口的话，就不能够允许来自这些用户的报文通过，而如果这样做，又给黑客们提供了可乘之机。在这种情况下使用动态访问表，能够比使用传统I P访问表提供更高的安全级别。 前面讲过，动态访问表是一种新型的访问表。事实上确实如此，但是动态访问表的语法与传统访问表项的格式非常相似，这些知识在前面的章节中也介绍过。动态访问表项的语法如下所示：Access-listaccess-list number dynamic name [timeout] [permit|deny]protocol any destinatiom IPdestination mask其中第一项access-list number与传统的扩展访问表的格式相同，其号码介于100~199之间。第二个参数name是动态访问表项的字符串名称。[timeout]参数是可选的。如果使用了timeout参数，则指定了动态表项的超时绝对时间。 protocol参数可以是任何传统的TCP/IP协议，如IP、TCP、UDP、ICMP等等。其源IP地址总是使用认证主机的IP地址来替换，所以我们在动态表项中定义的源地址总是应该使用关键字any。目的IP（destination IP）和目的屏蔽（destination mask）与传统的扩展访问表格式相同。对于目的I P地址，最安全的方式是指定单个子网，或者甚至为单个主机。因为我们在每个访问表中不能指定多个动态访问表项，所以在protocol中一般设置为IP或者TCP。 例1：定义动态ACL条目QM_IOSFW(config)#access-list 101 permit tcp any host eq telnet 允许外部任何地址访问该路由的telnetQM_IOSFW(config)#access-list 101 dynamic dyacl permit ip any any 动态产生后的ACL在line vty下应用autocommandQM_IOSFW(config)#line vty 0 4QM_IOSFW(config-line)#login local （这里可以结合AAA或本地认证）QM_IOSFW(config-line)#autocommand