扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
前言
此白皮书解释这不同的访问控制表(ACL)条目并且什么发生当不同的种类信息包遇到这些多种条目。用于ACLs阻拦IP信息包从被路由器转发。
RFC 1858 报道IP段过滤的安 全注意事项并且突出显示对介入TCP信息包、微小的碎片攻击和交迭 的碎片攻击的IP段的主机的二次攻击。拦截这些攻击是理想 的因为他们能攻陷主机,或者阻塞所有其内部资源。
RFC 1858 也描述二个方法保卫这些攻 击,直接和间接。在直接方法,最小长度小于的初始分段被 丢弃。如果开始8个字节原始IP数据报,间接方法介入丢弃片 段集的第二个片段。请参阅 RFC 1858 关于更详细的细节。
传统上, 信息包过滤器类似ACLs被应用于不分片和IP信息包的初始分段因为 他们包含第三层和4 ACLs能匹配为允许或拒绝决策的信息。因为他们在信息包,可以被阻拦根据第三层信息非初始片段通过ACL 传统上允许; 然而,因为这些信息包不包含第四层信息,他 们在ACL条目不匹配第四层信息,如果存在。因为收到片段的 主机不能重新召集原始IP数据报没有初始分段,允许IP数据包的非 初始片段通过是可接受的。
防火墙可 能也使用对阻拦信息包通过维护信息包碎片表源和目的地IP地址、 协议和IP标注的ID。Cisco PIX防火墙和 ? Cisco IOS防火墙能过滤特定数据流的所有片段通过 维护信息此表,但它是太消耗大的以至于不能执行此在一个路由器 为基本的ACL功能。 防火墙的主要工作是对阻拦信息包,并 且其辅助角色是路由信息包; 路由器的主要工作是路由信息 包,并且其辅助角色是阻拦他们。
二 个变化做在Cisco IOS软件版本上12.1(2) 和12.0(11)解决包围TCP 片段的一些安全问题。 间接方法,如所描述在 RFC 1858 ,是被实施 作为标准TCP/IP输入信息包充分检查一部分。变动也做了对 ACL 功能关于非初始片段。
ACL表项的类型
有六不同种类的ACL线路 ,并且其中每一有一个后果如果信息包执行或不配比。 在以 下列表,FO = 0指示不分片或一个初始分段在TCP流,FO > 0表明信 息包是一个非初始片段,L3意味着第三层,并且L4意味着第四层。
注意: 当有时第 三层和第四层信息在ACL线路和 片段 关键字存在,ACL活动为许可证是保守的并且拒绝动作 。动作是保守的因为您不想要偶然地拒绝流的一个分段的部 分因为片段不包含充足的信息匹配所有过滤器属性。 在拒绝 事例,而不是拒绝一个非初始片段,下ACL条目被处理。在许 可证事例,假设第四层信息在信息包,如果可用,在ACL 线路匹配 第四层信息。
许可证ACL线路带有L3仅信息
如果信息包的L3信息在ACL线路匹配 L3 信息,允许。
如果信息包的L3信 息在ACL线路不匹配L3信息,下ACL条目被处理。
拒绝ACL线路带有L3仅信息
如果信息包的L3信息 在ACL线路匹配L3 信息,它否认。
如果信息包的L3信息在ACL线路不匹配L3信息,下ACL条目被处理。
允许ACL线 路带有L3仅信息,并且片段关键字存在
如果信息包的L3信息在ACL线路匹配L3 信息,信息 包碎片偏移被检查。
如果信息包的 FO > 0,信息包允许。
如果信息包 的FO = 0,下ACL条目被处理。
拒绝ACL线路带有L3仅信息 ,并且片段关键字存在
如果信息包的L3信息在ACL线路匹配L3 信息,信息包碎片偏移被检 查。
如果信息包的FO > 0,信息包被 丢弃。
如果信息包的FO = 0,下条 ACL线路被处理。
允许ACL线路带有L3和L4信息
如果信息包的L3和L4信息匹配ACL线 路和FO = 0,信息包允许。
如果信息 包的L3信息匹配ACL线路和FO > 0,信息包允许。
拒绝ACL线路带有L3和L4信 息
如果信息包的L3和 L4信息匹配ACL条目和FO = 0,信息包被丢弃。
如果信息包的L3信息匹配ACL线路和FO > 0,下ACL 条目被处理。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。