至顶网›网络频道 ›访问控制列表和IP分段

访问控制列表和IP分段

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

此白皮书解释这不同的访问控制表(ACL)条目并且什么发生当不同的种类信息包遇到这些多种条目。如果信息包的L3信息在ACL线路不匹配L3信息，下ACL条目被处理。如果信息包的L3信息匹配ACL线路和FO > 0，下ACL 条目被处理。

作者：中国IT实验室 2007年9月19日

关键字：信息包访问控制路由器 ACL

前言

此白皮书解释这不同的访问控制表(ACL)条目并且什么发生当不同的种类信息包遇到这些多种条目。用于ACLs阻拦IP信息包从被路由器转发。

RFC 1858　报道IP段过滤的安全注意事项并且突出显示对介入TCP信息包、微小的碎片攻击和交迭的碎片攻击的IP段的主机的二次攻击。拦截这些攻击是理想的因为他们能攻陷主机，或者阻塞所有其内部资源。

RFC 1858　也描述二个方法保卫这些攻击，直接和间接。在直接方法，最小长度小于的初始分段被丢弃。如果开始8个字节原始IP数据报，间接方法介入丢弃片段集的第二个片段。请参阅 RFC 1858　关于更详细的细节。

传统上，信息包过滤器类似ACLs被应用于不分片和IP信息包的初始分段因为他们包含第三层和4 ACLs能匹配为允许或拒绝决策的信息。因为他们在信息包，可以被阻拦根据第三层信息非初始片段通过ACL 传统上允许; 然而，因为这些信息包不包含第四层信息，他们在ACL条目不匹配第四层信息，如果存在。因为收到片段的主机不能重新召集原始IP数据报没有初始分段，允许IP数据包的非初始片段通过是可接受的。

防火墙可能也使用对阻拦信息包通过维护信息包碎片表源和目的地IP地址、协议和IP标注的ID。Cisco PIX防火墙和 Cisco IOS防火墙能过滤特定数据流的所有片段通过维护信息此表，但它是太消耗大的以至于不能执行此在一个路由器为基本的ACL功能。防火墙的主要工作是对阻拦信息包，并且其辅助角色是路由信息包; 路由器的主要工作是路由信息包，并且其辅助角色是阻拦他们。

二个变化做在Cisco IOS软件版本上12.1(2) 和12.0(11)解决包围TCP 片段的一些安全问题。间接方法，如所描述在 RFC 1858　，是被实施作为标准TCP/IP输入信息包充分检查一部分。变动也做了对 ACL 功能关于非初始片段。

ACL表项的类型

有六不同种类的ACL线路，并且其中每一有一个后果如果信息包执行或不配比。在以下列表，FO = 0指示不分片或一个初始分段在TCP流，FO > 0表明信息包是一个非初始片段，L3意味着第三层，并且L4意味着第四层。

注意：当有时第三层和第四层信息在ACL线路和片段关键字存在，ACL活动为许可证是保守的并且拒绝动作。动作是保守的因为您不想要偶然地拒绝流的一个分段的部分因为片段不包含充足的信息匹配所有过滤器属性。在拒绝事例，而不是拒绝一个非初始片段，下ACL条目被处理。在许可证事例，假设第四层信息在信息包，如果可用，在ACL 线路匹配第四层信息。

许可证ACL线路带有L3仅信息

如果信息包的L3信息在ACL线路匹配 L3 信息，允许。

如果信息包的L3信息在ACL线路不匹配L3信息，下ACL条目被处理。

拒绝ACL线路带有L3仅信息

如果信息包的L3信息在ACL线路匹配L3 信息，它否认。

如果信息包的L3信息在ACL线路不匹配L3信息，下ACL条目被处理。

　　允许ACL线路带有L3仅信息，并且片段关键字存在

　　如果信息包的L3信息在ACL线路匹配L3 信息，信息包碎片偏移被检查。

　　如果信息包的 FO > 0，信息包允许。

　　如果信息包的FO = 0，下ACL条目被处理。

　　拒绝ACL线路带有L3仅信息，并且片段关键字存在

　　如果信息包的L3信息在ACL线路匹配L3 信息，信息包碎片偏移被检查。

　　如果信息包的FO > 0，信息包被丢弃。

　　如果信息包的FO = 0，下条 ACL线路被处理。

　　允许ACL线路带有L3和L4信息

　　如果信息包的L3和L4信息匹配ACL线路和FO = 0，信息包允许。

　　如果信息包的L3信息匹配ACL线路和FO > 0，信息包允许。

　　拒绝ACL线路带有L3和L4信息

　　如果信息包的L3和 L4信息匹配ACL条目和FO = 0，信息包被丢弃。

　　如果信息包的L3信息匹配ACL线路和FO > 0，下ACL 条目被处理。

　　ACL规则流程图

　　当不分片、初始分段和非初始片段被检查ACL时，以下流程图说明ACL规则。

　　注意：非初始片段包含仅第三层，从未第四层信息，虽然ACL可能包含第三层和第四层信息。

　　信息包如何能匹配 ACL

　　示例 1

　　以下五个可能的情况介入遇到ACL 100的不同种类的信息包。参见表和流程图您跟随什么在每个情况发生。网络服务器的IP地址是171.16.23.1。

　　 access-list 100 permit tcp any host 171.16.23.1 eq 80

　　 access-list 100 deny ip any any

　　信息包是为服务器或不分片注定的初始分段在端口80：

　　ACL的第一条线路包含第三层和第四层信息，在信息包匹配第三层和第四层信息，因此信息包允许。

　　信息包是为服务器或不分片注定的初始分段在端口21：

　　ACL的第一条线路包含第三层和第四层信息，但第四层信息在ACL不匹配信息包，因此下条 ACL线路被处理。

　　ACL的第二条线路丢弃所有信息包，因此信息包被丢弃。

　　信息包是非初始片段到服务器在端口80流：

　　ACL的第一条线路包含第三层和第四层信息，第三层信息在ACL匹配信息包，并且ACL 活动是允许，因此信息包允许。

　　信息包是非初始片段到服务器在端口21流：

　　ACL的第一条线路包含第三层和第四层信息。第三层信息在ACL匹配信息包，没有第四层信息在信息包，并且ACL活动是允许，因此信息包允许。

　　信息包是初始分段、不分片或者非初始片段到另一台主机在服务器子网：

　　ACL的第一条线路包含在信息包的第三层信息(目的地地址)不匹配第三层信息，因此下条ACL线路被处理。

　　ACL的第二条线路丢弃所有信息包，因此信息包被丢弃。

　　示例 2

　　下列同样五个可能的情况介入遇到ACL 101的不同种类的信息包。再次，参见表和流程图您跟随什么在每个情况发生。网络服务器的IP地址是171.16.23.1。

　　 access-list 101 deny ip any host 171.16.23.1 fragments

　　 access-list 101 permit tcp any host 171.16.23.1 eq 80

　　 access-list 101 deny ip any any

　　信息包是为服务器或不分片注定的初始分段在端口 80：

　　ACL的第一条线路包含在信息包匹配第三层信息的第三层信息。ACL活动是拒绝，但因为片段关键字存在，下ACL条目被处理。

　　ACL的第二条线路包含第三层和第四层信息，匹配信息包，因此信息包允许。

　　信息包是为服务器或不分片注定的初始分段在端口21：

　　ACL的第一条线路包含第三层信息，匹配信息包，但ACL条目也有片段关键字，不匹配信息包因为FO = 0 ，因此下ACL条目被处理。

　　ACL的第二条线路包含第三层和第四层信息。在这种情况下，第四层信息不配比，因此下ACL条目被处理。

　　ACL的第三条线路丢弃所有信息包，因此信息包被丢弃

　　信息包是非初始片段到服务器在端口80流：

　　ACL的第一条线路包含在信息包匹配第三层信息的第三层信息。切记即使这是端口80流的一部分，没有第四层信息在非初始片段。因为第三层信息配比，信息包被丢弃。

　　信息包是非初始片段到服务器在端口21流：

　　ACL的第一条线路包含仅第三层信息，并且匹配信息包，因此信息包被丢弃。

　　信息包是初始分段、不分片或者非初始片段到另一台主机在服务器子网：

　　ACL的第一条线路包含仅第三层信息，并且不匹配信息包，因此下条ACL线路被处理。

　　ACL的第二条线路包含第三层和第四层信息。第四层信息在信息包不匹配那ACL，因此下条ACL线路被处理。

　　ACL的第三条线路丢弃此信息包

　　分段关键字情形

　　方案1

　　路由器B接通到网络服务器，并且网络管理员不想要允许任何片段到达服务器。此方案显示发生了什么如果网络管理员实现ACL 100与ACL 101。ACL是应用Inbound在路由器 Serial0 (s0)接口并且应该允许仅不可成片断的信息包到达网络服务器。参见 ACL规则流程图和信息包如何能匹配 ACL部分当您跟随方案。

　　使用片段关键字的后果