CISCO訪問表配置指南－－第1章 (轉)

CISCO訪問表配置指南－－第1章 (轉)[@more@]

  第1章引言
我們在序言中講過，器的訪問表是的前沿陣地。我們還講過，訪問表提供
了一種機制，可以控制透過路由器的不同介面的資訊流。這種機制允許使用訪問表來管
理資訊流，以制定公司內網路相關策略。這些策略可以描述功能，並且反映流量的優先
級別。例如，某個組織可能希望允許或拒絕I n t e r n e t對內部We b的訪問，或者允許內部
（ Local Areawork ，L A N）上一個或多個工作站能夠將流量發到（ Wi d e
Area Network，WA N）的AT M骨幹網路上。這些情形，以及其他的一些功能，都可以透過訪
問表來達到目的。
本章的目標是讓讀者瞭解全書的內容。首先，向讀者介紹C i s c o專業領域的一些概念，先
簡要描述路由器的功能，以及C i s c o訪問表的一些基本知識。然後，對全書提供一個概括性的
描述，主要是講述後續章節中將介紹的知識內容。
1.1 專業參考指南
C i s c o專業參考指南系列提供了操作C i s c o裝置的一些資訊和一系列的實踐例項，讀者可以
使用這些知識來滿足自己單位的特別需要。參考指南系列的第一本書集中闡述訪問表，並提
供了各種型別的訪問表的使用方法、訪問表的建立和格式，以及應用到介面和進行操作的詳
細資訊。我們為各種截然不同的訪問表型別提供了一系列的例項，在例項中，先給出一個通
用的格式，包括應用場景或問題的一個概括性描述，用來說明路由器L A N或WA N介面的網路
示意圖。然後，再講述訪問表的I O S語句，這些I O S語句可以用來解決應用或問題。每一個訪
問表例項都包括用來實現的訪問表的基本原理。
1.2 路由器的任務
從操作的觀點上看來，路由器的作用是將報文（ P a c k e t）從一個網路傳輸到另外一個網路。
路由器工作於網路層，根據開放式互連（ Open Systems Interconnection，O S I）參考模型，
它實現的是第三層的功能。透過檢測報文的網路地址，路由器可以用來決定報文流的去向，
並且建立和維護路由表。在過去的2 0年中，人們開發了5 0多種路由，而路由資訊協議
（Routing Information Protocol，R I P）、開放式最短路徑優先（Open Shortest Path First，O S P F）、
邊界閘道器協議（Border Gateway Protocol）只是這5 0多種協議中的3種。從安全的角度上看來，
路由器是保護網路的“前沿陣地”。這種保護措施是透過建立訪問表來允許或拒絕報文透過路
由器的介面來實現的。
C i s c o公司的路由器支援兩種型別的訪問表：基本訪問表和擴充套件訪問表。基本訪問表控制
基於網路地址的資訊流。擴充套件訪問表透過網路地址和傳輸中的資料型別進行資訊流控制。盡
管訪問表可以認為是保護網路的第一關，當前實現的路由器並不實際檢驗報文中的資訊域，
也不維護關於連線狀態的資訊。換句話說，每一個報文被分別檢驗，路由器並不判斷某個報
文是否為一個合法對話流中的一部分。

在過去的兩年中， C i s c o系統公司對訪問表的能力進行了一些重要的功能增強，包括根據某天的某個時間、某星期的某一天對向內或向外的流量進行檢測的新功能，在標準和擴充套件訪問表中插入動態表項的能力，以及防止We b伺服器和其他的能力。我們將講述C i s c o訪問表的型別和特徵，包括基於上下文的訪問控制表（ C o n t e x t - B a s e dAccess Control list，C B A C）和自反訪問控制表（ reflexive ACL）。C B A C是C i s c o特徵集（ Feature Set，F F S）的核心。F F S是某些C i s c o路由器模型中特定程式碼的修訂版本。從I12.0T開始， C B A C出現在8 0 0、1 6 0 0、1 7 2 0、3 6 0 0和7 2 0 0系列路由器中。其特徵是能
夠維護一個已有連線的狀態資訊，對有限的T C P和U D P協議進行應用層資訊檢驗，它比傳統
的訪問表增加了更高的安全性。自反訪問控制表是Cisco IOS 1 1 . 3開始出現的新特徵。
Reflexive ACL維護一定程度的“偽狀態（ p s e u d o s t a t e）”資訊，一旦合法的對話建立起來，它
就在傳統A C L中建立動態的表項。以後的報文與自反A C L中的動態表項進行比較評估，以確
定這些報文是否為已存在連線的一部分。會話結束後， A C L中的動態表項被刪除。但是，反
訪問控制表不能理解高層協議，並且不適宜於與傳輸協議（ File Traner Protocol，F T P）
等多通道協議一起使用。C B A C和自反訪問控制表將在本書稍後章節中進行詳細闡述。
1.3 全書預覽
本節將對全書的後續章節做一個概括性的描述。作者建議那些對I O S的基礎知識和如何使用訪問表不太熟悉的讀者，應該按照本書的順序首先閱讀前面一些章節。最後五章採用的是模組化結構，每一章集中闡述一種型別的訪問表，所以，如果讀者對開始的章節比較熟悉的話，就可以根據自己的需要閱讀後面五章中的資訊和特定型別的訪問表例項。
1.3.1 路由器的軟
編寫和應用訪問表需要讀者對C i s c o路由器的軟硬體有基本的認識。瞭解路由器的硬體便
於讀者瞭解路由器如何工作，以及如何路由器。第2章將簡單介紹C i s c o路由器的基本軟
硬體，包括如何透過E X E C操作配置一臺路由器。
1.3.2 Cisco訪問表基礎
讀者理解了路由器的基本軟硬體之後，將討論C i s c o訪問表的基礎知識。第3章定義和闡
述了各種型別的訪問表及其格式，以及闡述了在各種型別的訪問表格式中如何使用關鍵字，
並且介紹了在一系列的例項和I S O語句中，如何透過標準訪問表和擴充套件訪問表達到預期的功
能。
1.3.3 動態訪問表
第4章討論路由器的高階報文過濾技術，並且討論如何使用動態訪問表，動態訪問表通常
又稱為l o c k - a n d - k e y安全。使用動態訪問表允許使用者在路由器中編寫I O S語句，從而將動態表
項插入到標準訪問表或擴充套件訪問表中。在使用者過程中，動態訪問表將會被開啟。相比而
言，普通的訪問表關於報文過濾能力是固定的，而l o c k - a n d - k e y安全特性比普通訪問表更具有
靈活性。
1.3.4 基於時間的訪問表
傳統的訪問表存在一個缺陷，一旦訪問表應用到某個介面，如果不刪除，它們就一直保
持有效。這樣，如果希望根據某一天的不同時間、某一星期的不同天來實現不同的規則和策
略，使用者就必須刪除當前的訪問表，然後使用新的訪問表。路由器管理員可能不大願意老是
做這樣的事情，尤其是要在星期五的下午五點使用一種新的過濾機制的時候。C i s c o系統公司
現在解決了這個問題，在I O S中增加了基於時間的訪問表，所以現在，安全策略和其他報文過
濾可以基於一天中的某個時間段和/或一星期中的某天產生作用。第5章講述基於時間的訪問
表的操作，幷包含了一些能夠滿足某些單位特殊需要的訪問表例項。
1.3.5 自反訪問表
自反訪問表是動態訪問表更加靈活的一個版本。我們將講述如何讓訪問表根據需要進
行動態的開啟，自反訪問表適應於單通道的應用。其他章中也包含了一系列的訪問表配置例項，讀者可以直接引用這些例項，或者進行一些簡單的修改以滿足特殊的操作需要。
1.3.6 基於上下文的訪問控制
儘管基於上下文的訪問表是對傳統訪問表的一種功能增強，但是它只能支援單通道應用
程式。也就是說，讀者不能使用自反訪問表來支援F T P等多通道應用程式。
第7章將學習基於上下文的訪問控制，這種技術類似於自反訪問表，但是它能夠支援多通
道應用程式和J a v a模組，並且能夠提供實時警告和稽核跟蹤功能。在講述C B A C的過程中，將
講述一系列用來管理報文過濾的超時命令。
1.3.7 TCP攔截和網路地址轉換
第8章討論兩種相對較新的路由器功能，一種功能用來訪問一種比較普遍的駭客攻擊（稱
為S Y N泛洪），另一種則用於基於安全的需要，或者某個組織需要更多的有效地址而必須讓路
由器進行地址轉換的情形。首先將討論T C P的三階段握手過程，在We b伺服器負載過重時，這
個過程對We b功能能夠產生一定的影響， We b伺服器可能會拒絕合法的服務請求。在理解了
S Y N泛洪如何吞食的資源之後，將闡述T C P攔截的任務，包括其攔截過程和監視模式、
配置每一種模式的步驟，以及讓該特徵得以體現的I O S語句。第8章其他部分討論網路地址轉
換（Network Address Tr a n s l a t i o n，N AT），包括將組織的內部I P地址轉換成可以在I n t e r n e t上
進行路由的I P地址等內容。
1.3.8 IPSec
第9章討論的是那些希望實現基於路由器的虛擬專用網路（ Virtual Private Network，V P N）的人所感興趣的內容。I P安全（Security，I P S e c）是在任何（而不管其物理拓撲結構如何）基於I P的網路中建立通道的技術集合。I P S e c可以讓使用者在執行 95/98、N T或者甚至L i n u x的工作站中建立加密通道。在C i s c o路由器上建立I P S e c通道可以在路由器之間建立通訊關係。

1.3.9 流量整形
最後一章講述C i s c o路由器處理報文流的不同方法，包括扼殺透過某些介面的流量，或者
基於流量的型別選擇性地丟棄一些報文的能力。這些技術統稱為流量整形（ Tr a ffic Shap），
而它們是第1 0章要講述的內容。