本文为大家介绍思科路由器acl(cisco acl)，下面和小编一起看看详细内容吧。
cisco 路由器acl 摘要
ip 访问控制列表是cisco ios 的一项内部安全功能。以下是常用的动态访问控制列表的总结。
pt.1 锁和钥匙安全
锁和钥匙概述
lock-and-key 动态acl 使用ip 动态扩展acl 来过滤ip 流量。配置lock-and-key动态acl后，可以暂时允许暂时拒绝的ip流量。锁钥动态acl 临时修改路由器接口上的现有acl，以允许ip 流量到达目标设备。之后，lock-and-key 动态acl 恢复接口的状态。
通过锁和密钥动态acl 获得访问目标设备权限的用户必须首先打开到路由器的telnet 会话。然后，锁和密钥动态acl 会自动对用户进行身份验证。如果身份验证通过，则用户被授予临时访问权限。
配置锁和钥匙
配置lock-and-key动态acl的步骤如下：
1.设置动态acl：
bitscn(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}
2、扩展动态acl的绝对定时器。选修的：
bitscn(config)# 访问列表动态扩展
3、定义需要应用acl的接口：
bitscn(config)#interface {接口}
4.应用acl：
bitscn(config-if)#ip 访问组{acl}
5.定义vty线：
bitscn(config)#line vty {line-number [ending-line-number]}
6. 验证用户：
bitscn(config)#username {username} password {password}
7.使用tacacs认证或本地认证。选修的：
bitscn（配置行）#login {tacacs|local}
8. 创建临时访问权限。如果没有定义参数host，则默认为所有主机：
bitscn (config-line) #autocommand access-enable {host} [超时分钟数]
情况1
在5 分钟内打开到172.16.1.2 的telnet 会话。如果认证成功，给用户120秒的访问权限：
！
接口以太网0
说明本文档由*****撰写
由bitscn 提供支持的说明
ip 地址172.16.1.1 255.255.255.0
ip 访问组101 in
！
访问列表101 允许tcp 任何主机172.16.1.2 eq telnet
访问列表101 动态bitscn 超时120 允许ip 任何任何
！
线路vty 0 4
登录tacacs
自动命令访问启用超时5
！
监控和维护锁和钥匙
查看acl信息：
bitscn#show 访问列表
pt.2 tcp拦截
tcp拦截概述
一般来说，tcp连接的建立需要三次握手过程：
1.建立发起者向目标计算机发送一个tcp syn数据包。
2、目标计算机收到tcp syn数据包后，在内存中创建一个tcp连接控制块（tcb），然后向发送源回复一个tcp确认（ack）数据包，等待发送源的响应。
3、发送源收到tcp ack数据包后，再发送一个tcp ack数据包，tcp连接成功。
tcp syn flood攻击的过程：
1.攻击者向目标设备发送一个tcp syn数据包。
2、目标设备收到tcp syn数据包后，建立一个tcb并响应一个tcp ack数据包，等待发送源的响应。
3、发送源没有给目标设备回复tcp ack包，导致目标设备一直处于等待状态。
4.如果tcp半连接很多，目标设备的资源（tcb）会被耗尽，无法响应正常的tcp连接请求。从而完成拒绝服务tcp syn洪水攻击。
tcp拦截特性可以防止tcp syn flood攻击。两种模式的tcp拦截特性：
1、拦截：软件会主动拦截每一个入站的tcp连接请求（tcp syn），并作为服务器回复一个tcp ack包，然后等待客户端的tcp ack包。再次收到客户端的tcp ack数据包后，将初始的tcp syn数据包交给真实服务器，软件进行tcp三次握手，建立tcp连接。
2.监听（watch）：入站tcp连接请求（tcp syn）让路由器交给服务器，但路由器会监听连接，直到tcp连接建立。如果tcp连接在30秒内未能建立，路由器会向服务器发送复位（reset）信号，服务器会清除tcp半连接。
配置tcp 拦截
配置tcp拦截的步骤如下：
1.定义ip扩展acl：
bitscn(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} tcp {source source-wildcard destination destination-wildcard}
2.启用tcp拦截：
bitscn(config)#ip tcp 拦截列表{acl}
3.定义tcp拦截方式，默认为拦截方式。选修的：
bitscn(config)#ip tcp 拦截模式{intercept|watch}
4.定义tcp拦截的切断方式，默认是切断最旧的tcp连接。选修的：
bitscn(config)#ip tcp intercept drop-mode {oldest|random}
5.定义tcp拦截监听的超时时间，默认30秒。选修的：
bitscn(config)#ip tcp intercept watch-timeout {seconds}
6. 定义系统管理tcp 连接的时间长度，即使tcp 连接不再处于活动状态。默认时间长度为24 小时。选修的：
bitscn(config)#ip tcp intercept connection-timeout {seconds}
监控和维护tcp 拦截
一些辅助命令：
1、显示tcp连接信息：
bitscn#show tcp 拦截连接
2、显示tcp拦截的统计信息：
bitscn#show tcp 拦截统计
自反acl可以根据上层信息过滤ip流量。可以使用自反acl 实现单向流量穿越。自反acl 只能通过命名扩展acl 来定义。
配置自反acl
配置自反acl的步骤如下：
1.定义一个命名的扩展acl：
bitscn(config)#ip 访问列表扩展{name}
2.定义自反acl：
bitscn (config-ext-nacl) #permit {protocol} any any reflect {name} [超时秒数]
3、嵌套自反acl：
bitscn(config-ext-nacl)#evaluate {name}
好了，思科路由器acl(cisco acl)的介绍到这里就结束了，想知道更多相关资料可以收藏我们的网站。