<檢查Source port的ACL>
使用來源的port number作為ACL的過濾條件
避免其他種類流量向server請求回應
需求:
Web Server(207.16.10.1)只回應HTTP封包,其它流量都禁止
PCA(192.168.10.1)
PCB(192.168.10.2)
指令:
eq80寫在來源IP後面,表示檢查該封包的source port number
R(config)#access-list 100 permit tcp host 207.16.10.1 eq 80 any
阻擋所有封包通過
R(config)#access-list 100 deny ip any any
R(config)#int fa0/1
R(config-if)#ip access-group 100 in
<Established ACL>
ACL演進到達防火牆功能的技術
Established ACL→Reflexive ACL→Context-based ACL→Zone-Based ACL
只能針對TCP的連線
無敵防火牆:
deny ip any any(in)
封包出的去,但回不來
簡易防火牆規劃
網際網路(Outside)禁止連進公司內網(Inside),但內網能連外網
使用Established指令:
permit tcp any any established
檢查連線的目的端所回應的TCP表投檔,Flag欄位是否有被標記
※TCP的連線檢查很好欺騙,駭客可直接修改TCP中的Flag欄位,就可騙過Established功能,入侵防火牆
需求:192.168.10.0/24可用http連到server
來源端為一個網路,使用萬用遮罩(wildcard mask)表示一個網路
指令:
permit tcp 192.168.10.0 0.0.0.255 any eq www
<萬用遮罩運作(wildcard mask)>
萬用遮罩=255.255.255.255-該網路的子網遮罩
萬用遮罩在ACL中表示路由器應該檢查封包中的IP的哪部分
萬用遮罩位元=0:必須檢查符合位址中對應位元的值
萬用遮罩位元=1:不需檢查符合位址中對應位元的值
ex:
deny 10.0.0.0 0.255.255.255
=deny 10.X.X.X 0.255.255.255
檢查來源IP前八個位元等於00001010
私有IP範圍:
Class A
10.0.0.0/8
子遮罩255.0.0.0
萬用遮罩0.255.255.255
ClassB
172.16.0.0/16172.31.0.0/16
子遮罩255.255.0.0
※萬用遮罩0.15.255.255
因172.16.0.0/16172.31.0.0/16中前面12位元都一樣
所以萬用遮罩只要設定前12位元來檢查
ClassC
192.168.0.0/24192.168.255.0/24
子遮罩255.255.255.0
萬用遮罩0.0.255.255
<vty啟動ACL>
限制telnet連線
需求:只有PCA(10.10.10.1)能用Telnet連到路由器R,其他電腦不行
指令:
R(config)#access-list 10 permit host 10.10.10.1
R(config)#access-list 10 deny any
R(config)#line vty 0 4
R(config-line)#password ccna
R(config-line)#login
R(config)#access-class 10 in
※vty啟動指令跟實體見面啟動指令不一樣
<IPv6 ACL>
無分standard與extended
1.啟動指令改為ipv6 traffic-filter
2.不只用Wildcard Mask,使用Prefix
3.統一使用類似extended語法,只支援命名方式
需求:
阻擋2001:AAAA::/64網路連線到Server(2001:CCCC::2)
R(config)#ipv6 access-list prefixacl 使用命名方式
R(config-ipv6-acl)#deny ipv6 2001:AAAA::/64 host 2001:CCCC::2
R(config-ipv6-acl)#permit ipv6 any any
R(config)#int fa0/0
R(config-if)#ipv6 traffic-filter prefixacl in在fa0/0介面啟動prefixacl ACL
CCNA筆記 (17)