Cisco ACL应用实例
目录:
一、设置防病毒访问控制列表
二、ACL 防毒列表
三、封杀QQ 上网
四、屏蔽某个特定网站
一、设置防病毒访问控制列表
首先根据各单位的需求,制定不同的策略,比如文件的传输、游戏等。在制定策略之前,我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类:
公认端口(0—1023):它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯,110端口实际上是pop3通讯。
注册端口(1024—49151):它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
动态和/或私有端口(49152—65535):理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。例如:
# These ACLs are to block virus attack (这些访问控制列表要堵塞病毒攻击)
# You need to make sure all your expected network service are not blocked by these ACLs
(你需要确定你的需要的网络服务中不备访问控制列表要堵塞)
# These ACLs' precedence are within 1001 ~ 1500(访问控制列表优先在1001-1500)
SQL Slammer/MS-SQL Server Worm(病毒)
create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any deny ports any precedence 1001(创建数据列表为udp1434-d-de,凡是来源于1434端口的数据包都优先于1001)
#W32/Blaster worm (病毒)
create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny ports any precedence 1011(创建数据列表为udp69-d-de udp,凡是来源于69端口的数据包都优先于1011)
create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any deny ports any precedence 1013(创建数据列表为udp135-d-de udp,凡是来源于135端口的数据包都优先于1013)
端口隔离: 使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数, system-guard enable ( 使能system-guard检测功能,在使用防火墙功能前,请确保端口的优先级配置处于缺省状态,即:端口的优先级为0,且交换机对于报文中的cos优 先级不信任。)
system-guard detect-maxnum 5 (设置当前最大可检测的染毒主机数目5台)
system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
(该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。)
举例来说,在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后,系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都 超过了50,系统就认为受到了攻击,将此源IP检测出来,在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。
二、ACL 防毒列表
ip access-list extend bingdu-protect
deny udp any eq 2699 any log
deny tcp any any range 135 139 log
deny tcp any any eq 389 log
deny tcp any any eq 445 log
deny tcp any any eq 4444 log
deny tcp any any eq 5554 log
deny tcp any any eq 1068 log
deny tcp any any eq 1025 log
deny tcp any any eq 69 log
deny tcp any any eq 9996 log
deny tcp any any eq 9997 log
deny udp any any eq 135 log
deny udp any any eq 137 log
deny udp any any eq 138 log
deny udp any any eq netbios-ns log
deny udp any any eq netbios-dgm log
deny udp any any eq netbios-ss log
deny udp any any eq 389 log
deny udp any any eq 1434 log
deny udp any any eq 1433 log
deny udp any any eq 1026 log
deny udp any any eq 1027 log
permit ip any any
三、封杀QQ 上网
通过路由器的 ACL 和封杀 QQ 上网 , 基本上默认的 QQ 设置是上不了了,除了代理!
大至步骤如下:
Conf t
Ip access-list ext stop qq
deny udp any any eq 8000
deny udp any any eq 8001
deny udp any any eq 4000
deny udp any any eq 4001
deny udp any host 61.144.238.145
deny udp any host 61.144.238.146
deny udp any host 202.104.129.251
deny udp any host 202.104.129.252
deny udp any host 202.104.129.253
deny udp any host 202.104.129.254
deny udp any host 218.18.95.236
deny ip any host 218.17.209.23
deny ip any host 218.17.209.42
deny ip any host 218.18.95.220
deny ip any host 219.133.38.5
deny ip any host 219.133.38.132
deny ip any host 219.133.38.178
deny ip any host 219.133.38.230
deny ip any host 219.133.49.5
deny ip any host 219.133.49.6
permit ip any any
int fa0/1 #ISP 进口
ip access-group 100 out
ctrl+z
##按这种方法可以看出只要知道某个程序的特定端口就可以用来屏蔽了。搜集了一些常用的端口。
四、屏蔽某个特定网站
步骤 1 :配置一个 DNS 服务器
假设我们打算屏蔽一个名为 www.badsite.com 的网站。我们并不知道该网站的具体 IP 地址,而且我们也不想知道。没问题—— Cisco IOS 会自己把地址找出来并填上它。
要做到这一点,我们需要至少在路由器上配置一台 DNS 服务器。若想配置一台 DNS 服务器,应使用 ip name-server 命令。下面是个例子:
Router(config)# ip name-server 1.1.1.1 2.2.2.2
本例中,我们配置了一个主 DNS 服务器 1.1.1.1 ,以及一个备用 DNS 服务器 2.2.2.2 ,以便路由器对域名进行解析。这不会影响路由器的任何流量。当我们需要对某个域名进行 Ping 服务时,路由器将使用这些 DNS 服务器。以下是具体示例:
Router# ping www.techrepublic.com
Translating "www.techrepublic.com"...domain server (1.1.1.1) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 216.239.113.101, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Router#
在上述例子中,路由器使用了我们指定的域名服务器地址( 1.1.1.1 )来尝试解析域名。它成功的将域名 www.techrepublic.com 解析为对应的 IP —— 216.239.113.101 。
如果我们不曾指定 DNS 服务器,那么路由器很可能会返回下述这些反馈:
Translating "www.techrepublic.com"...domain server (255.255.255.255)
% Unrecognized host or address, or protocol not running.
(不认识的主机或地址,或可能协议未运行)
步骤 2 :建立 ACL
想真正阻止访问某个网站,我们必须建立一个存取控制列表( access control list ,简称 ACL )来具体定义我们想阻止什么。下面是个例子:
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www
Translating "www.badsite.com"...domain server (1.1.1.1) [OK]
Router(config)# access-list 101 permit tcp any any eq www
! to allow all other web traffic
这个 ACL 拒绝了所有对特定网站 www.badsite.com 的访问。在阻止访问该网站的同时,它允许所有人访问其他任意网站。
最后,由于 ACL 的隐含禁止,除 WWW 外所有的其他通信将全部被禁止。
如果您想知道到底是哪些 IP 地址在试图访问被阻止的网站,可以通过使用 LOG 关键字,记录相关信息。下面是个例子。
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www log
步骤 3 :避免“遗漏”
有一点需要注意。在我们输入了上述 ACL 的第一行之后,留意路由器是如何使用 DNS 服务器来解析域名的。然后它会用解析域名所得的 IP 地址替换掉 ACL 中的主机名。我们来仔细看看配置:
Router# sh run | inc access-list 101
access-list 101 deny tcp any host 66.116.109.62 eq www
这是个很好的功能,但是可能由于几个原因导致出现问题。首先,该 IP 仅仅是 DNS 服务器响应的第一个 IP 。如果这是个大型网站,有多台服务器(比如一个搜索引擎),而 ACL 却仅仅包含了 DNS 首先响应的第一个 IP ——您将不得不手工屏蔽其余的 IP 地址。下面是个示例:
C:/> nslookup www.google.com
Server: DNSSERVER
Address: 1.1.1.1
Non-authoritative answer:
Name: www.l.google.com
Addresses: 64.233.167.104, 64.233.167.147, 64.233.167.99
Aliases: www.google.com
其次,如果被禁止的网页服务器更改了 IP 地址, ACL 中的地址并不会跟随变化。您必须对 ACL 进行人为更新。
步骤 4 :实施 ACL
仅仅创建了 ACL 并不意味着路由器就用上了它——我们还必须对 ACL 进行实施。下面,假设我们要建立一个 ACL ,以阻止内部局域网访问外部的广域网(比如 Internet )。因此我们应当用 ACL 的源地址过滤,而不是目标地址的过滤。
同样,基于设计的目的,我们需要在路由器的 Out 方向实施这个 ACL 。下面是示例。
Router(config)# int serial 0/0
Router(config-if)# ip access-group 101 out
一、设置防病毒访问控制列表
二、ACL 防毒列表
三、封杀QQ 上网
四、屏蔽某个特定网站
Linux 技术论坛 Ubuntu安装与应用 Ubuntu冲浪 Linux网络安全
Linux服务器集群
一、设置防病毒访问控制列表
首先根据各单位的需求,制定不同的策略,比如文件的传输、游戏等。在制定策略之前,我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类:
公认端口(0—1023):它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯,110端口实际上是pop3通讯。
注册端口(1024—49151):它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
动态和/或私有端口(49152—65535):理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。例如:
# These ACLs are to block virus attack (这些访问控制列表要堵塞病毒攻击)
# You need to make sure all your expected network service are not blocked by these ACLs
(你需要确定你的需要的网络服务中不备访问控制列表要堵塞)
# These ACLs' precedence are within 1001 ~ 1500(访问控制列表优先在1001-1500)
SQL Slammer/MS-SQL Server Worm(病毒)
create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any deny ports any precedence 1001(创建数据列表为udp1434-d-de,凡是来源于1434端口的数据包都优先于1001)
#W32/Blaster worm (病毒)
create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny ports any precedence 1011(创建数据列表为udp69-d-de udp,凡是来源于69端口的数据包都优先于1011)
create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any deny ports any precedence 1013(创建数据列表为udp135-d-de udp,凡是来源于135端口的数据包都优先于1013)
端口隔离: 使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数, system-guard enable ( 使能system-guard检测功能,在使用防火墙功能前,请确保端口的优先级配置处于缺省状态,即:端口的优先级为0,且交换机对于报文中的cos优 先级不信任。)
system-guard detect-maxnum 5 (设置当前最大可检测的染毒主机数目5台)
system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
(该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。)
举例来说,在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后,系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都 超过了50,系统就认为受到了攻击,将此源IP检测出来,在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。
二、ACL 防毒列表
ip access-list extend bingdu-protect
deny udp any eq 2699 any log
deny tcp any any range 135 139 log
deny tcp any any eq 389 log
deny tcp any any eq 445 log
deny tcp any any eq 4444 log
deny tcp any any eq 5554 log
deny tcp any any eq 1068 log
deny tcp any any eq 1025 log
deny tcp any any eq 69 log
deny tcp any any eq 9996 log
deny tcp any any eq 9997 log
deny udp any any eq 135 log
deny udp any any eq 137 log
deny udp any any eq 138 log
deny udp any any eq netbios-ns log
deny udp any any eq netbios-dgm log
deny udp any any eq netbios-ss log
deny udp any any eq 389 log
deny udp any any eq 1434 log
deny udp any any eq 1433 log
deny udp any any eq 1026 log
deny udp any any eq 1027 log
permit ip any any
三、封杀QQ 上网
通过路由器的 ACL 和封杀 QQ 上网 , 基本上默认的 QQ 设置是上不了了,除了代理!
大至步骤如下:
Conf t
Ip access-list ext stop qq
deny udp any any eq 8000
deny udp any any eq 8001
deny udp any any eq 4000
deny udp any any eq 4001
deny udp any host 61.144.238.145
deny udp any host 61.144.238.146
deny udp any host 202.104.129.251
deny udp any host 202.104.129.252
deny udp any host 202.104.129.253
deny udp any host 202.104.129.254
deny udp any host 218.18.95.236
deny ip any host 218.17.209.23
deny ip any host 218.17.209.42
deny ip any host 218.18.95.220
deny ip any host 219.133.38.5
deny ip any host 219.133.38.132
deny ip any host 219.133.38.178
deny ip any host 219.133.38.230
deny ip any host 219.133.49.5
deny ip any host 219.133.49.6
permit ip any any
int fa0/1 #ISP 进口
ip access-group 100 out
ctrl+z
##按这种方法可以看出只要知道某个程序的特定端口就可以用来屏蔽了。搜集了一些常用的端口。
四、屏蔽某个特定网站
步骤 1 :配置一个 DNS 服务器
假设我们打算屏蔽一个名为 www.badsite.com 的网站。我们并不知道该网站的具体 IP 地址,而且我们也不想知道。没问题—— Cisco IOS 会自己把地址找出来并填上它。
要做到这一点,我们需要至少在路由器上配置一台 DNS 服务器。若想配置一台 DNS 服务器,应使用 ip name-server 命令。下面是个例子:
Router(config)# ip name-server 1.1.1.1 2.2.2.2
本例中,我们配置了一个主 DNS 服务器 1.1.1.1 ,以及一个备用 DNS 服务器 2.2.2.2 ,以便路由器对域名进行解析。这不会影响路由器的任何流量。当我们需要对某个域名进行 Ping 服务时,路由器将使用这些 DNS 服务器。以下是具体示例:
Router# ping www.techrepublic.com
Translating "www.techrepublic.com"...domain server (1.1.1.1) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 216.239.113.101, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Router#
在上述例子中,路由器使用了我们指定的域名服务器地址( 1.1.1.1 )来尝试解析域名。它成功的将域名 www.techrepublic.com 解析为对应的 IP —— 216.239.113.101 。
如果我们不曾指定 DNS 服务器,那么路由器很可能会返回下述这些反馈:
Translating "www.techrepublic.com"...domain server (255.255.255.255)
% Unrecognized host or address, or protocol not running.
(不认识的主机或地址,或可能协议未运行)
步骤 2 :建立 ACL
想真正阻止访问某个网站,我们必须建立一个存取控制列表( access control list ,简称 ACL )来具体定义我们想阻止什么。下面是个例子:
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www
Translating "www.badsite.com"...domain server (1.1.1.1) [OK]
Router(config)# access-list 101 permit tcp any any eq www
! to allow all other web traffic
这个 ACL 拒绝了所有对特定网站 www.badsite.com 的访问。在阻止访问该网站的同时,它允许所有人访问其他任意网站。
最后,由于 ACL 的隐含禁止,除 WWW 外所有的其他通信将全部被禁止。
如果您想知道到底是哪些 IP 地址在试图访问被阻止的网站,可以通过使用 LOG 关键字,记录相关信息。下面是个例子。
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www log
步骤 3 :避免“遗漏”
有一点需要注意。在我们输入了上述 ACL 的第一行之后,留意路由器是如何使用 DNS 服务器来解析域名的。然后它会用解析域名所得的 IP 地址替换掉 ACL 中的主机名。我们来仔细看看配置:
Router# sh run | inc access-list 101
access-list 101 deny tcp any host 66.116.109.62 eq www
这是个很好的功能,但是可能由于几个原因导致出现问题。首先,该 IP 仅仅是 DNS 服务器响应的第一个 IP 。如果这是个大型网站,有多台服务器(比如一个搜索引擎),而 ACL 却仅仅包含了 DNS 首先响应的第一个 IP ——您将不得不手工屏蔽其余的 IP 地址。下面是个示例:
C:/> nslookup www.google.com
Server: DNSSERVER
Address: 1.1.1.1
Non-authoritative answer:
Name: www.l.google.com
Addresses: 64.233.167.104, 64.233.167.147, 64.233.167.99
Aliases: www.google.com
其次,如果被禁止的网页服务器更改了 IP 地址, ACL 中的地址并不会跟随变化。您必须对 ACL 进行人为更新。
步骤 4 :实施 ACL
仅仅创建了 ACL 并不意味着路由器就用上了它——我们还必须对 ACL 进行实施。下面,假设我们要建立一个 ACL ,以阻止内部局域网访问外部的广域网(比如 Internet )。因此我们应当用 ACL 的源地址过滤,而不是目标地址的过滤。
同样,基于设计的目的,我们需要在路由器的 Out 方向实施这个 ACL 。下面是示例。
Router(config)# int serial 0/0
Router(config-if)# ip access-group 101 out
Ununtn网络管理
PDF:思科网院五 六 七 期(1-7全,更新完毕)
破译思科之CCNA
首发:CCIE实验指南卷二 中文PDF(庆祝6.1,万众期待)
洪申著CCIE综合实验
网络工程设计教程:系统集成方法(PDF)
思科中文书籍全集打包(NA--NP--IE 中文版)-10.9修复链接
CCIE实验书籍(附上目录)
PDF:IS-IS网络设计解决方案(中文)
【首发】广州Wolf CCIE 罗老师 IPsec VPN基础知识
ccie的实验lab 打包(10.6修复链接)
【原创】IPSec Vpn 与PAT的实验视频
经典:上海WOLF RS笔记合集
广州wolf-CCIE(ISP)学习笔记
VMware的三种网络。实验必看
ubuntu 10.04 硬盘安装
H3C模拟软件SIMWARE-附基本视频
Juniper Cis 整套视频出售
Juniper Cia 整套视频出售
文章转载至http://bbs.net527.cn 思科网络技术论坛
无忧网客联盟主站