IP訪問控制列表算是Cisco IOS一個(gè)內(nèi)在的security feature，以下是對(duì)常用的動(dòng)態(tài)訪問控制列表做了個(gè)總結(jié)。

Pt.1 Lock-and-Key Security

Lock-and-Key Overview

lock-and-key動(dòng)態(tài)ACL使用IP動(dòng)態(tài)擴(kuò)展ACL過濾IP流量。當(dāng)配置了lock-and-key動(dòng)態(tài)ACL之后，臨時(shí)被拒絕掉的IP流量可以獲得暫時(shí)性的許可。 lock-and-key動(dòng)態(tài)ACL臨時(shí)修改路由器接口下已經(jīng)存在的ACL，來允許IP流量到達(dá)目標(biāo)設(shè)備。之后lock-and-key動(dòng)態(tài)ACL把接口狀態(tài)還原。

通過lock-and-key動(dòng)態(tài)ACL獲得訪問目標(biāo)設(shè)備權(quán)限的用戶，首先要開啟到路由器的telnet會(huì)話。接著lock-and-key動(dòng)態(tài)ACL自動(dòng)對(duì)用戶進(jìn)行認(rèn)證。如果認(rèn)證通過，那么用戶就獲得了臨時(shí)性的訪問權(quán)限。

Configuring Lock-and-Key

配置lock-and-key動(dòng)態(tài)ACL的步驟如下：

1.設(shè)置動(dòng)態(tài)ACL：

BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}

2.擴(kuò)展動(dòng)態(tài)ACL的絕對(duì)計(jì)時(shí)器。可選：

BitsCN(config)# access-list dynamic-extend

3.定義需要應(yīng)用ACL的接口：

BitsCN(config)#interface {interface}

4.應(yīng)用ACL：

BitsCN(config-if)#ip access-group {ACL}

5.定義VTY線路：

BitsCN(config)#line vty {line-number [ending-line-number]}

6.對(duì)用戶進(jìn)行認(rèn)證：

BitsCN(config)#username {username} password {password}

7.采用TACACS認(rèn)證或本地認(rèn)證方式。可選：

BitsCN(config-line)#login {tacacs|local}

8.創(chuàng)建臨時(shí)性的訪問許可權(quán)限，如果沒有定義參數(shù)host，默認(rèn)為所有主機(jī)：

BitsCN(config-line)#autocommand access-enable {host} [timeout minutes]

Case 1

在5分鐘內(nèi)開啟到172.16.1.2的telnet會(huì)話，如果認(rèn)證成功，對(duì)用戶給予120秒的訪問許可權(quán)：

!
interface Ethernet0
description this document is written by *****
description powered by BitsCN 
ip address 172.16.1.1 255.255.255.0
ip access-group 101 in
!
access-list 101 permit tcp any host 172.16.1.2 eq telnet
access-list 101 dynamic BitsCN timeout 120 permit ip any any
! 
line vty 0 4
login tacacs
autocommand access-enable timeout 5
! 

Monitoring and Maintaining Lock-and-Key

查看ACL信息：

BitsCN#show access-lists
Pt.2 TCP Intercepting
TCP Intercepting Overview 

一般情況下，TCP連接的建立需要經(jīng)過三次握手的過程：

1.建立發(fā)起者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCP SYN數(shù)據(jù)包。

2.目標(biāo)計(jì)算機(jī)收到這個(gè)TCP SYN數(shù)據(jù)包后，在內(nèi)存中創(chuàng)建TCP連接控制塊(TCB)，然后向發(fā)送源回復(fù)一個(gè)TCP確認(rèn)(ACK)數(shù)據(jù)包，等待發(fā)送源的響應(yīng)。

3.發(fā)送源收到TCP ACK數(shù)據(jù)包后，再以一個(gè)TCP ACK數(shù)據(jù)包，TCP連接成功。

TCP SYN洪水攻擊的過程：

1.攻擊者向目標(biāo)設(shè)備發(fā)送一個(gè)TCP SYN數(shù)據(jù)包。

2.目標(biāo)設(shè)備收到這個(gè)TCP SYN數(shù)據(jù)包后，建立TCB，并以一個(gè)TCP ACK數(shù)據(jù)包進(jìn)行響應(yīng)，等待發(fā)送源的響應(yīng)。

3.而發(fā)送源則不向目標(biāo)設(shè)備回復(fù)TCP ACK數(shù)據(jù)包，這樣導(dǎo)致目標(biāo)設(shè)備一致處于等待狀態(tài)。

4.如果TCP半連接很多，會(huì)把目標(biāo)設(shè)備的資源(TCB)耗盡，而不能響應(yīng)正常的TCP連接請(qǐng)求。，從而完成拒絕服務(wù)的TCP SYN洪水攻擊。

TCP攔截特性可以防止TCP的SYN洪水攻擊。TCP攔截特性的兩種模式：

1.攔截(intercept)：軟件將主動(dòng)攔截每個(gè)進(jìn)站的TCP連接請(qǐng)求(TCP SYN)，并以服務(wù)器的身份，以TCP ACK數(shù)據(jù)包進(jìn)行回復(fù)，然后等待來自客戶機(jī)的TCP ACK數(shù)據(jù)包。當(dāng)再次收到客戶機(jī)的TCP ACK數(shù)據(jù)包后，最初的TCP SYN數(shù)據(jù)包被移交給真正的服務(wù)器，軟件進(jìn)行TCP三次握手，建立TCP連接。

2.監(jiān)控(watch)：進(jìn)站的TCP連接請(qǐng)求(TCP SYN)允許路由器移交給服務(wù)器，但是路由器將對(duì)連接進(jìn)行監(jiān)控，直到TCP連接建立完成。如果30秒內(nèi)TCP連接建立不成功，路由器將發(fā)送重置(Reset)信號(hào)給服務(wù)器，服務(wù)器將清除TCP半連接。