自反訪問表是cisco提供給企業網路的一種較強的安全手段,利用自反訪問表可以很好的保護企業內部網路,免受外部非法使用者的攻擊。
自反訪問表的基本的工作原理是:
只能由內部網路始發的,外部網路的響應流量可以進入,
由外部網路始發的流量如果沒有明確的允許,是禁止進入的。
1)reflexive-acl的工作流程:
a.由內網始發的流量到達配置了自反訪問表的路由器,路由器根據此流量的第三層和第四層資訊自動生成乙個臨時性的訪問表,
臨時性訪問表的建立依據下列原則:
protocol不變,
source-ip位址 , destination-ip位址嚴格對調,
source-port,destination-port嚴格對調,
對於icmp這樣的協議,會根據型別號進行匹配。
b.路由器將此流量傳出,流量到達目標,然後響應流量從目標返回到配置了自反訪問表的路由器。
c.路由器對入站的響應流量進行評估,只有當返回流量的第
三、四層資訊與先前基於出站流量建立的臨時性訪問表的第
三、四層資訊嚴格匹配時,路由器才會允許此流量進入內部網路。
2)自反訪問表的超時:
a.對於tcp流量,當下列三種情況中任何一種出現時,才會刪除臨時性的訪問表:
a)兩個連續的fin標誌被檢測到,之後5秒鐘刪除。
在正常情況下,tcp在斷開連線時需要經歷四次握手:
tcp是乙個雙向的協議,前兩次握手,斷開從source到destination的連線,後兩次握手,斷開從destination到source的連線。
臨時性訪問表的刪除之所以要延遲5秒,是為了給tcp連線的斷開乙個緩衝的時間,保證tcp能夠平滑的斷開連線。
c)配置的空閒超時值到期(預設是300秒)。
b.對於udp,由於沒有各種標誌,所以只有當配置的空閒超時值(300秒)到期才會刪除臨時性的訪問表
自反訪問控制列表
實驗要求 需求 在企業邊界路由器上,只允許內網使用者主動訪問外網的流量,外網主動訪問內網的所有流量都拒絕,實驗拓撲 實驗配置 企業邊界路由器 inte ce fastethernet0 0 ip address 23.0.0.1 255.255.255.0 ip access group zifan...
在路由器上配置自反訪問控制列表
注意必須是內部發起的!用命名的acl做。不是很好理解,看個例子吧。先看下面的 ip access list extended abc deny icmp any 192.168.1.0 0.0.0.255 permit ip any any exit int s0 0 ip access group...
利用自反ACL實現對內外網訪問的控制
利用自反acl實現對內外網訪問的控制 條件 www.2cto.com 1.r1為內網路由器 2.r2為連線內外網的路由 3.r3為外網路由 組網要求 內網可以訪問外網,但是外網不可以訪問內網。原理 自反acl r1 配置介面ip router config int s0 0 router confi...