演示:动态访问控制列表(带锁的ACL)

本文涉及的产品
访问控制,不限时长
简介:

动态ACL是对传统ACL的一种应用扩展;动态ACL要求某些非安全区域的主机访问受保护网络资源之前,首先经过身份验证,然后,它自动创建动态访问控制项来允许访问会话的传入;传统的标准访问控制列表和扩展的访问控制列表不能做到这一点。现在需要理解的是动态ACL的工作过程,如下图10.19所示:

190854103.png

第一步:客户机如果需要访问服务器192.168.2.2,如果在路由器上实施了动态ACL的配置,那么客户机将首先偿试telnet到配置了动态ACL的路由器R1,此时,Telnet进程会要求客户端主机输入用户名与密码,事实上,动态ACL正是使用这个用户输入的用户名和密码完成对远程主机的身份验证,注意:这里的Telnet只是一种假像,其实真正的目的是在于身份验证。



第二步:当完成身份验证后,如果用户合法,那么配置动态ACL的路由器会添加一条临时的允许访问内部网络某项服务器的ACL语句,这条语句的生效时间是有限制的,以用户配置的生效时间来作做为这条语句的生效时间。



第三步:此时,切断Telnet会话,客户端开始正式访问服务器192.168.2.2上的相关服务,直到配置的超时时间到期前都成功的获得访问。


第四步:当允许的最长连接时间到期时,被增加的临时ACL条目被删除。


在什么情况下使用动态ACL?

传统ACL主要作用是控制访问行为,但是在很多情况下使用传统的ACL并不是最佳方案,比如:网络边界路由器面对广泛安全来源时,传统的ACL就显得非常力不从心了,所谓广泛的安全来源发生在这样一种情况下:网络边界路由器只允许某些特点的访问来源,进入安全区域访问服务器,但是访问来源可能是通过拨号的形式来连接Internet,而通常拨号形式的Internet接入,每次所获得的IP地址都不同,在这种情况下,如何使用传统的ACL,可能您每次都要重新书写ACL的语句,因为控制来源的IP地址随时都会变化,或者您需要输写相当冗长的ACL列表,当然你可以使用一条any语句来替代这些广泛来源的不同IP地址,但是,这无疑增大了安全隐患,为黑客提供了非法访问的机会。所以,在这种情况下动态ACL是一种可取的方案,因为在增加临时ACL语句(允许访问)之前,对访问来源进行了身份验证。


演示:动态ACL的配置


演示目标:

n演示动态ACL的配置。

n演示动态ACLTelnet同时使用的案例。

演示环境:使用如上图 10.19描述动态ACL工作原理的环境。

演示背景:在路由器R1上配置动态ACL,对客户机访问服务器的行为进行身份认证,如果身份合法,则允许客户机访问服务器,反之,则不能。然后,要求再为路由器R1配置动态ACL后,要求同时可以通过Telnet路由器R1执行网络管理,这就提出一个问题:动态ACL使用Telnet形式来完成身份验证,路由器R1需要被真正的Telnet执行远程管理时,怎么办?

演示步骤:


第一步:在路由器R1上配置动态ACL,并将其应用到相关的接口上,具体配置如下:


关于动态ACL的配置:

R1(config)#usernameccna password good * 配置要验证的用户名与密码。

R1(config)#usernameccna autocommand access-enable host timeout 10

为ccna用户配置动态ACL的空闲超时时间为10分钟,也就是指示如果动态ACL插入临时条目后,10分钟没有匹配流量的情况下,该临时条目将被删除;host关键字指示,动态ACL插入的临时条目只对激活身份验证的主机生效,如果没有host关键字,一旦某一台主机认证成功激活后,其它主机就不需要再做认证,就可以访问资源,这样存在安全隐患的。


R1(config)#access-list101 permit tcp any host 192.168.3.1 eq telnet

配置扩展ACL允许任何源IP地址telnet路由器R1(192.168.3.1),这是必须的,因为动态ACL的生存是使用Telnet的形式完成身份验证,所以必须允许Telnet协议。


R1(config)#access-list101 dynamic ccna timeout 120 permit ip any host 192.168.2.2

配置动态ACL的具体内容,动态ACL是在扩展ACL101的基础上构造起来的,所以它使用扩展ACL101所使用的ACL号码,以关键字dynamic申明这是一条名为ccna的动态ACL,该语句中的timeout指示动态ACL的绝对超时时间,所谓绝对超时时间,指示当这个时间到期时,无论有无匹配的数据,临时条目都将被删除,用户必须重新进行认证;permit ip any host 192.168.2.2指示动态ACL对用户认证成功后,插入临时条目的具体内容,这里的内容是认证成功后允许任何源IP地址访问目标主机192.168.2.2。


R1(config)#line vty0 4 * 进入Vty 0、1、2、3、5的线路配置模式。

R1(config-line)#loginlocal * 使用本地安全数据库完成Telnet登陆认证。

R1(config)#interfacee1/0 * 进入路由器R1的外部接口E1/0接口模式。

R1(config-if)#ipaccess-group 101 in * 在R1的E1/0接口的入方向上应用ACL101。


第二步:完成上述配置后,现在来体会动态ACL的效果,并验证动态ACL是否生效,首先到路由器R1上执行show access-lists查看现有的ACL条目,可以发现如下图 10.20所示,目前验证未被激活,所以在显示的结果中,只有一条先前所配置的传统扩展ACL条目和动态ACL的申明语句,暂时没明被插入的临时ACL语句。

191450663.png

此时,在主机192.168.3.2上执行对服务器192.168.2.2Ping,结果如下图10.21所示,无法ping通服务器,显示为目标不可达,这是因为现在主机192.168.2.2还没有经过路由器R1的身份验证,动态ACL支持的临时条目,暂时没有生效。


现在,在主机192.168.3.2Telnet路由器R1192.168.3.1),在主机192.168.3.2的命令提示符下执行Telnet 192.168.3.1;出现如下图 10.22所示,在这个过程中完成身份验证,虽然,这看上去是一个Telnet的验证过程,但事实上不是,因为完成身份验证后,会立即切断Telnet连接。然后,在主机192.168.3.2上再次发起对服务器192.168.2.2Ping,此时,会出现如下图10.23所示的结果,成功的Ping通服务器,这是因为动态ACL对客户机进行了身份验证,并获得验证成功的结果,然后,触发临时的ACL语句所致。


在完成上述配置后,此时,到路由器R1上再次使用show access-lists查看ACL的语句,如下10.24所示,现在可以看到出现了临时ACL语句,并且有4个与该语句匹配的数据包,以及空闲倒计时。

191833886.png

第三步:在完成上述过程后,现在提出一个问题:路由器为了实现动态ACL的功能使用Telnet形式来完成身份验证,当动态ACL要集成正常的telnet时该怎么办?出就是说在路由器R1上要同时使用动态ACL与正常Telnet的解决方案,具体的配置如下:


配置动态ACL与正常的Telnet集成:

R1(config)#line vty0 4

R1(config-line)#nologin local * 取消在vty0到4的线路模式下的认证配置。


R1(config)#line vty0 3 * 进入vty0、1、2、3线路模式。

R1(config-line)#loginlocal * 使用本地安全数据库完成身份验证。

注意:现在的配置中,没有完全使用vty的所有线路,一般情况下路由器有5条vty线路0、1、2、3、4;现在只使用了0-3的线路来用作动态ACL;余下4号线路供给正常的telnet使用。


R1(config)#line vty4 * 进入Vty 4号线路模式。

R1(config-line)#login * 进行登陆验证。

R1(config-line)#passwordccna * 配置telnet登陆的密码。

R1(config-line)#rotary1 * 将telnet的端口移向端口3001。

R1(config)#enablepassword ccna * 配置Enable的密码。


R1(config)#access-list101 permit tcp any host 192.168.3.1 eq 3001

注意,此时必须在ACL列表101中增加一条允许telnet 3001的语句,否则正常的telnet将无法完成,因为它会被ACL最后的隐式拒绝语句Deny掉。


现在,在主机就可以同时使用动态ACL的身份验证和正常的Telnet远程管理,可以在主机的CMD提示符下执行如下指令:

C:\>telnet192.168.3.1 * 这是动态ACL的身份验证,完成后会立即切断Telnet会话。

C:\>telnet 192.168.3.1 3001 * 这是正常的telnet管理,不会切断telnet会话。



本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1323467,如需转载请自行联系原作者

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
10天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
52 7
|
11天前
|
网络协议 安全 网络性能优化
了解访问控制列表 (ACL):概念、类型与应用
了解访问控制列表 (ACL):概念、类型与应用
26 2
|
13天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
27 2
|
1月前
|
网络协议 网络虚拟化 数据安全/隐私保护
访问控制列表(ACL)配置
访问控制列表(ACL)配置
访问控制列表(ACL)配置
|
1月前
|
网络协议 安全 网络安全
Cisco-命名ACL访问控制列表
Cisco-命名ACL访问控制列表
|
1月前
|
安全 网络协议 数据安全/隐私保护
访问控制(ACL)原理详解
访问控制(ACL)原理详解
访问控制(ACL)原理详解
|
1月前
|
安全 网络协议 网络安全
Cisco-扩展ACL访问控制列表
Cisco-扩展ACL访问控制列表
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-标准ACL访问控制列表
Cisco-标准ACL访问控制列表
ly~
|
2月前
|
消息中间件 搜索推荐 大数据
一般情况下在 RocketMQ 中添加 access key 的步骤: 一、确定配置文件位置 RocketMQ 的配置文件通常位于安装目录下的 conf 文件夹中。你需要找到 broker.conf 或相关的配置文件。 二、编辑配置文件 打开配置文件,查找与 ACL(访问控制列表)相关的配置部分。 在配置文件中添加以下内容:
大数据广泛应用于商业、金融、医疗和政府等多个领域。在商业上,它支持精准营销、客户细分及流失预测,并优化供应链管理;金融领域则利用大数据进行风险评估、市场预测及欺诈检测;医疗行业通过大数据预测疾病、提供个性化治疗;政府运用大数据进行城市规划和公共安全管理;工业领域则借助大数据进行设备维护、故障预测及质量控制。
ly~
114 2
|
6月前
|
安全 网络安全 数据安全/隐私保护
【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
【4月更文挑战第28天】访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限。ACL工作原理包括定义规则、匹配规则和执行操作。标准ACL基于源IP过滤,扩展ACL则提供更多筛选条件。时间及用户基础的ACL提供更细化的控制。优点在于增强安全性和精细管理,但管理复杂性和性能影响也是挑战。未来,ACL将趋向智能化和自动化,与更多安全技术结合,以提升网络安全。**
406 0
下一篇
无影云桌面