访问控制列表和IP分段

前言

此白皮书解释这不同的访问控制表(ACL)条目并且什么发生当不同的种类信息包遇到这些多种条目。用于ACLs阻拦IP信息包从被路由器转发。

RFC 1858　报道IP段过滤的安 全注意事项并且突出显示对介入TCP信息包、微小的碎片攻击和交迭 的碎片攻击的IP段的主机的二次攻击。拦截这些攻击是理想 的因为他们能攻陷主机，或者阻塞所有其内部资源。

RFC 1858　也描述二个方法保卫这些攻 击，直接和间接。在直接方法，最小长度小于的初始分段被 丢弃。如果开始8个字节原始IP数据报，间接方法介入丢弃片 段集的第二个片段。请参阅 RFC 1858　关于更详细的细节。

传统上， 信息包过滤器类似ACLs被应用于不分片和IP信息包的初始分段因为 他们包含第三层和4 ACLs能匹配为允许或拒绝决策的信息。因为他们在信息包，可以被阻拦根据第三层信息非初始片段通过ACL 传统上允许; 然而，因为这些信息包不包含第四层信息，他 们在ACL条目不匹配第四层信息，如果存在。因为收到片段的 主机不能重新召集原始IP数据报没有初始分段，允许IP数据包的非 初始片段通过是可接受的。

防火墙可 能也使用对阻拦信息包通过维护信息包碎片表源和目的地IP地址、 协议和IP标注的ID。Cisco PIX防火墙和 ? Cisco IOS防火墙能过滤特定数据流的所有片段通过 维护信息此表，但它是太消耗大的以至于不能执行此在一个路由器 为基本的ACL功能。 防火墙的主要工作是对阻拦信息包，并 且其辅助角色是路由信息包; 路由器的主要工作是路由信息 包，并且其辅助角色是阻拦他们。

二 个变化做在Cisco IOS软件版本上12.1(2) 和12.0(11)解决包围TCP 片段的一些安全问题。 间接方法，如所描述在 RFC 1858　，是被实施 作为标准TCP/IP输入信息包充分检查一部分。变动也做了对 ACL 功能关于非初始片段。

ACL表项的类型

有六不同种类的ACL线路 ，并且其中每一有一个后果如果信息包执行或不配比。 在以 下列表，FO = 0指示不分片或一个初始分段在TCP流，FO > 0表明信 息包是一个非初始片段，L3意味着第三层，并且L4意味着第四层。

注意： 当有时第 三层和第四层信息在ACL线路和 片段 关键字存在，ACL活动为许可证是保守的并且拒绝动作 。动作是保守的因为您不想要偶然地拒绝流的一个分段的部 分因为片段不包含充足的信息匹配所有过滤器属性。 在拒绝 事例，而不是拒绝一个非初始片段，下ACL条目被处理。在许 可证事例，假设第四层信息在信息包，如果可用，在ACL 线路匹配 第四层信息。

许可证ACL线路带有L3仅信息
如果信息包的L3信息在ACL线路匹配 L3 信息，允许。

如果信息包的L3信 息在ACL线路不匹配L3信息，下ACL条目被处理。

拒绝ACL线路带有L3仅信息
如果信息包的L3信息 在ACL线路匹配L3 信息，它否认。

如果信息包的L3信息在ACL线路不匹配L3信息，下ACL条目被处理。

允许ACL线 路带有L3仅信息，并且片段关键字存在
如果信息包的L3信息在ACL线路匹配L3 信息，信息 包碎片偏移被检查。

如果信息包的 FO > 0，信息包允许。

如果信息包 的FO = 0，下ACL条目被处理。

拒绝ACL线路带有L3仅信息 ，并且片段关键字存在
如果信息包的L3信息在ACL线路匹配L3 信息，信息包碎片偏移被检 查。

如果信息包的FO > 0，信息包被 丢弃。

如果信息包的FO = 0，下条 ACL线路被处理。

允许ACL线路带有L3和L4信息
如果信息包的L3和L4信息匹配ACL线 路和FO = 0，信息包允许。

如果信息 包的L3信息匹配ACL线路和FO > 0，信息包允许。

拒绝ACL线路带有L3和L4信 息
如果信息包的L3和 L4信息匹配ACL条目和FO = 0，信息包被丢弃。

如果信息包的L3信息匹配ACL线路和FO > 0，下ACL 条目被处理。