访问控制列表与IP分段-Cisco.PDF

访问控制列表与 IP 分段 目录 简介 ACL 条目的类型 ACL 规则流程图 数据包怎样才能匹配 ACL 示例 1 示例 2 使用 fragments 关键字的各种方案 场景 1 场景 2 相关信息 简介 此白皮书解释了不同类型的访问控制列表 (ACL) 条目，以及在不同类型的数据包遇到这些条目时会 发生的情况。ACL 用于阻止路由器转发 IP 数据包。 RFC 1858 说明了 IP 分段过滤的安全注意事项，并重点介绍了涉及 TCP 数据包的 IP 分段的主机 上可能会受到的两种攻击：极小分段攻击和重叠分段攻击。 必须阻止这些攻击，因为这些攻击会破 坏主机，或者占用其所有内部资源。 RFC 1858 还介绍了两种防止这些攻击的方法，即，直接方法和间接方法。 在直接方法中，小于最 小长度的初始分段将被丢弃。在间接方法中，如果分段集在原始 IP 数据报中初始为 8 个字节，则 该分段集的第二个分段将被丢弃。有关详细信息，请参阅 RFC 1858。 在过去，将数据包过滤器（如 ACL）应用于 IP 数据包的非分段和初始分段，因为 ACL 可以匹配这 些分段中包含的第 3 层和第 4 层信息，以决定是允许还是拒绝分段。由于可以根据数据包中的第 3 层信息来阻止非初始分段，因此通常允许此类分段通过 ACL。但是，由于这些数据包不包含第 4 层 信息，因此它们不能匹配 ACL 条目中的第 4 层信息（如果存在）。允许 IP 数据报的非初始分段通 过是可以接受的，因为在没有初始分段的情况下，收到分段的主机将无法重组原始 IP 数据报。 此外，也可以使用防火墙来阻止数据包，但需要维护一个按源和目标 IP 地址、协议以及 IP ID 编制 索引的数据包分段表。Cisco PIX防火墙和Cisco IOS防火墙能过滤一特定的流量的所有片段通过维 护信息此表，但是太昂贵以至于不能执行此在基本ACL功能的一个路由器。防火墙的主要工作是阻 止数据包，其辅助角色是路由数据包。路由器的主要工作是路由数据包，其辅助角色是阻止数据包 。 Cisco IOS 软件版本 12.1(2) 和 12.0(11) 中进行了两处更改，以解决与 TCP 分段相关的一些安全问 题。在标准 TCP/IP 输入数据包健全性检查中实施了 RFC 1858 中介绍的间接方法。 对于 ACL 功 能，也进行了与非初始分段相关的更改。 ACL 条目的类型 有六种不同类型的 ACL 行，每种类型的 ACL 行在数据包匹配或不匹配时都有相应的结果。在以下 列表中，FO = 0 表示 TCP 流中的非分段或初始分段，FO 0 表示数据包是一个非初始分段，L3 表示第 3 层，L4 表示第 4 层。 注意： 当 ACL 行中同时包含第 3 层和第 4 层信息，并且出现 fragments 关键字时，ACL 操作保守 为执行允许操作和拒绝操作。操作比较保守是因为当分段未包含足够的信息来匹配所有过滤器属性 时，您不希望无意中拒绝数据流中的已分段部分。在拒绝情况下，将处理下一个 ACL 条目，而不是 拒绝非初始分段。在允许情况下，假定数据包中的第 4 层信息（如果存在）与 ACL 行中的第 4 层 信息匹配。 仅包含 L3 信息的允许 ACL 行 1. 如果数据包的 L3 信息与 ACL 行中的 L3 信息匹配，将允许该数据包。 2. 如果数据包的 L3 信息与 ACL 行中的 L3 信息不匹配，将处理下一个 ACL 条目。 仅包含 L3 信息的拒绝 ACL 行 1. 如果数据包的 L3 信息与 ACL 行中的 L3 信息匹配，将拒绝该数据包。 2. 如果数据包的 L3 信息与 ACL 行中的 L3 信息不匹配，将处理下一个 ACL 条目。 仅包含 L3 信息并且出现 fragments 关键字的允许 ACL 行 如果数据包的 L3 信息与 ACL 行中的 L3 信息匹配，将检查数据包的分段偏移。 1. 如果数据包的 FO 0，将允许该数据包。 2. 如果数据包的 FO = 0，将处理下一个 ACL 条目。 仅包含 L3 信息并且出现 fragments 关键字的拒绝 ACL 行 如果数据包的 L3 信息与 ACL 行中的 L3 信息匹配，将检查数据包的分段偏移。 1. 如果数据包的 FO 0，将拒绝该数据包。 2. 如果数据包的 FO = 0，将处理下一个 ACL 行。 包含 L3 和 L4 信息的允许 ACL 行 1. 如果数据包的 L3 和 L4 信息与 ACL 行匹配并且 FO = 0，将允许该数据包。 2.