CISCO路由器安全之反射ACL

ession 1 原理

      一种基于上层会话的ACL 过滤技术,可以实现 TCP IP ICMP 等协议的单向安全访问.功能上远远的超越简单的带有ESTABLISHED 参数的拓展ACL,配置上也比前者简单,因为几乎所有的ACL条目都是自动建立的.

但是在实施反射ACL时,必须使用拓展命名的ACL。

      反射ACL工作原理是，对于外部来的流量进行判断，如果是内网出去的返回来的流量则可以放行，如果是外部源产生的访问内部的流量就丢弃。

session 2 配置

1、实验环境为2台Cisco路由器1台PC

2、实验目的：在边界路由器R2上只放行由PC主动产生的回来的流量，而internet中任何源产生的对于内网访问的流量将丢弃

3、实验拓扑图如下：

第一步，配置路由通信，开启2台路由器的telnet功能，并配置telnet密码为ccie。本次采用路由协议eigrp，小型网络收敛速度最快的路由协议

internet f0/0 192.168.1.1 ----- R2 f0/0 192.168.1.2 ----- R2 f0/1 10.0.0.1 ----- PC 10.0.0.2 getway 10.0.0.1

配置eigrp

internet(config)#router eigrp 1 

internet(config-router)#no auto-summary 

internet(config-router)#network 192.168.1.0

R2(config)#router eigrp 1 

R2(config-router)#no auto-summary 

R2(config-router)#network 192.168.1.0

R2(config-router)#network 10.0.0.0

在internet上查看eigrp邻居关系：邻居已经建立，ping下PC也已经通信

internet#show ip eigrp neighbors 

IP-EIGRP neighbors for process 1

H    Address                         Interface          Hold Uptime    SRTT    RTO   Q   Seq

                                                                  (sec)             (ms)          Cnt Num

0    192.168.1.2                   Fa0/0                   13 00:13:49    63    567   0   4

internet#ping 10.0.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/36/40 ms

第二步，配置反射ACL，在R2上，需要使用命名的扩展ACL，反射ACL的OUT 和IN是流量的方向，出站时产生反射条目。

在R2上配置反射ACL

R2(config)#ip access-list extended  in-out                                         内网ACL

R2(config-ext-nacl)#permit eigrp any any                                                            允许eigrp流量

R2(config-ext-nacl)#permit ip any any reflect  inside timeout 60    在内网流量中定义需要反射的流量

R2(config-ext-nacl)#exit

R2(config)#ip access-list extended  in-out                                          外网ACL

R2(config-ext-nacl)#deny icmp any any echo                                 拒绝外网来的ICMP请求

R2(config-ext-nacl)#permit eigrp any any                                                          允许eigrp流量

R2(config-ext-nacl)#evaluate  inside                                                                         对内网中需要反射的流量做匹配

其实就是内网定义了内网的ip any any这些流量需要反射，而外网口定义了对内网出来的这些ip any any这些需要反射的流量进行匹配，如果回来流量是这些流量中的就放行，不是这些中的就丢弃，即内网主动发起的流量返回的时候放行，而外网主动发起的流量直接丢弃。

在外网ACL中定义了“拒绝外网来的ICMP请求“是为了防止外网通过ping内网，内网回复ICMP包，这样的连接被路由器视为由内网主动发起的连接，从而导致不安全的连接。而只阻止了ICMP的echo而不阻止echo reply是为了让内网ping外网的时候外网的echo reply回显包可以通过路由器返回内网。

R2(config)#interface f0/1

R2(config-interface)#ip access-group in-out in    应用在内网出口的in方向

R2(config)#interface f0/0

R2(config-interface)#ip access-group out-in in     应用在外网入口的in方向

session 3 测试结果

要求：internet对于PC2的主动访问被拒绝，PC2对于intnet的访问及连接被允许。

1、在internet上主动访问PC2

internet#ping 10.0.0.2                                                                     ping一次失败

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:

UUUUU

Success rate is 0 percent (0/5) 

internet#telnet 10.0.0.2                                                                  telnet一次失败

Trying 10.0.0.2 ... 

% Destination unreachable; gateway or host down

2、在PC2上主动访问internet路由器

PC#ping 192.168.1.1                                                                        ping一次成功

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 20/712/1328 ms

PC#telnet 192.168.1.1                                                                     telnet一次成功

Trying 192.168.1.1 ... Open

User Access Verification

Password: 

internet>exit

[Connection to 192.168.1.1 closed by foreign host]

PC#

完成了反射ACL的配置