自反訪問(wèn)表(Reflexive-ACL)

jankie

               自反訪問(wèn)表(Reflexive-ACL)
-------------------------------------------------------------------

   自反訪問(wèn)表是CISCO提供給企業(yè)網(wǎng)絡(luò)的一種較強(qiáng)的安全手段，利用自反訪問(wèn)表可以很好的保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)，免受外部非法用戶的攻擊。
自反訪問(wèn)表的基本的工作原理是:
只能由內(nèi)部網(wǎng)絡(luò)始發(fā)的，外部網(wǎng)絡(luò)的響應(yīng)流量可以進(jìn)入，
由外部網(wǎng)絡(luò)始發(fā)的流量如果沒(méi)有明確的允許，是禁止進(jìn)入的。
1)Reflexive-ACL的工作流程：
a.由內(nèi)網(wǎng)始發(fā)的流量到達(dá)配置了自反訪問(wèn)表的路由器，路由器根據(jù)此流量的第三層和第四層信息自動(dòng)生成一個(gè)臨時(shí)性的訪問(wèn)表，
臨時(shí)性訪問(wèn)表的創(chuàng)建依據(jù)下列原則：
protocol不變，
source-IP地址 , destination-IP地址嚴(yán)格對(duì)調(diào)，
source-port,destination-port嚴(yán)格對(duì)調(diào)，
對(duì)于ICMP這樣的協(xié)議，會(huì)根據(jù)類型號(hào)進(jìn)行匹配。
b.路由器將此流量傳出，流量到達(dá)目標(biāo)，然后響應(yīng)流量從目標(biāo)返回到配置了自反訪問(wèn)表的路由器。
c.路由器對(duì)入站的響應(yīng)流量進(jìn)行評(píng)估，只有當(dāng)返回流量的第三、四層信息與先前基于出站流量創(chuàng)建的臨時(shí)性訪問(wèn)表的第三、四層
信息嚴(yán)格匹配時(shí)，路由器才會(huì)允許此流量進(jìn)入內(nèi)部網(wǎng)絡(luò)。
2)自反訪問(wèn)表的超時(shí)：
a.對(duì)于TCP流量，當(dāng)下列三種情況中任何一種出現(xiàn)時(shí)，才會(huì)刪除臨時(shí)性的訪問(wèn)表：
a)兩個(gè)連續(xù)的FIN標(biāo)志被檢測(cè)到，之后5秒鐘刪除。
在正常情況下，TCP在斷開(kāi)連接時(shí)需要經(jīng)歷四次握手:
　　　　　

　TCP是一個(gè)雙向的協(xié)議,前兩次握手，斷開(kāi)從source到destination的連接，
　　　　　　　　　　　后兩次握手，斷開(kāi)從destination到source的連接。
　臨時(shí)性訪問(wèn)表的刪除之所以要延遲5秒，是為了給TCP連接的斷開(kāi)一個(gè)緩沖的時(shí)間，保證TCP能夠平滑的斷開(kāi)連接。
b)RST標(biāo)志被檢測(cè)到，立即刪除。
c)配置的空閑超時(shí)值到期(缺省是300秒)。
b.對(duì)于UDP，由于沒(méi)有各種標(biāo)志，所以只有當(dāng)配置的空閑超時(shí)值(300秒)到期才會(huì)刪除臨時(shí)性的訪問(wèn)表。
3)解決自反訪問(wèn)表對(duì)FTP的缺陷：
FTP的兩種模式：
a)standard-mode(標(biāo)準(zhǔn)模式):
　　　　

標(biāo)準(zhǔn)模式的特點(diǎn)：
1)ftp-server端使用兩個(gè)wellknown端口，21和20 , 21號(hào)端口為控制信道，20號(hào)端口為數(shù)據(jù)信息。
2)數(shù)據(jù)由ftp-server端始發(fā)。
b)passive-mode(被動(dòng)模式):

被動(dòng)模式的特點(diǎn)：
1)ftp-server端使用一個(gè)wellknown端口和一個(gè) >1024的隨機(jī)端口，此例中為21和1800 , 21號(hào)端口為控制信道，1800號(hào)端口為數(shù)據(jù)信息。
2)數(shù)據(jù)由ftp-client端始發(fā)。
通過(guò)以上分析，我們發(fā)現(xiàn)對(duì)于被動(dòng)模式的FTP，自反訪問(wèn)表可以正常工作(因?yàn)閿?shù)據(jù)是由ftp-client端始發(fā))
但是對(duì)于標(biāo)準(zhǔn)模式的FTP，自反訪問(wèn)表將不能正常工作
(因?yàn)閿?shù)據(jù)由ftp-server端從20號(hào)端口始發(fā)，當(dāng)ftp-server向client返回?cái)?shù)據(jù)時(shí)，與臨時(shí)性訪問(wèn)表不匹配)
利用ACL解決自反訪問(wèn)表對(duì)于FTP的缺陷:
例:
　


允許由內(nèi)部192.168.10.0/24始發(fā)的HTTP，SMTP, TCP流量可以出去, 其余的流量全部拒絕。
RA:
!
ip access-list extended OUTBOUND
permit tcp 192.168.10.0 0.0.0.255 any eq www reflect CISCO
permit tcp 192.168.10.0 0.0.0.255 any eq smtp reflect CISCO
permit tcp 192.168.10.0 0.0.0.255 any eq reflect CISCO
!
!
ip access-list extended INBOUND
permit tcp any eq ftp-data 192.168.10.0 0.0.0.255
evaluate CISCO
!
int s0
ip access-group OUBOUND out
ip access-group INBOUND in
!
ip reflexive-list timeout 300 (設(shè)置臨時(shí)性訪問(wèn)條目的生存期，缺省為300秒)


本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/20613/showart_150733.html