CISCO访问表配置指南－－第1章

                                             第1章引言
我们在序言中讲过，路由器的访问表是网络防御的前沿阵地。我们还讲过，访问表提供
了一种机制，可以控制通过路由器的不同接口的信息流。这种机制允许用户使用访问表来管
理信息流，以制定公司内网络相关策略。这些策略可以描述安全功能，并且反映流量的优先
级别。例如，某个组织可能希望允许或拒绝I n t e r n e t对内部We b服务器的访问，或者允许内部
局域网（ Local Area Network ，L A N）上一个或多个工作站能够将流量发到广域网（ Wi d e
Area Network，WA N）的AT M骨干网络上。这些情形，以及其他的一些功能，都可以通过访
问表来达到目的。
本章的目标是让读者了解全书的内容。首先，向读者介绍C i s c o专业领域的一些概念，先
简要描述路由器的功能，以及C i s c o访问表的一些基本知识。然后，对全书提供一个概括性的
描述，主要是讲述后续章节中将介绍的知识内容。
1.1 Cisco专业参考指南
C i s c o专业参考指南系列提供了操作C i s c o设备的一些信息和一系列的实践实例，读者可以
使用这些知识来满足自己单位的特别需要。参考指南系列的第一本书集中阐述访问表，并提
供了各种类型的访问表的使用方法、访问表的创建和格式，以及应用到接口和进行操作的详
细信息。我们为各种截然不同的访问表类型提供了一系列的实例，在实例中，先给出一个通
用的格式，包括应用场景或问题的一个概括性描述，用来说明路由器L A N或WA N接口的网络
示意图。然后，再讲述访问表的I O S语句，这些I O S语句可以用来解决应用或问题。每一个访
问表实例都包括用来实现的访问表的基本原理。
1.2 路由器的任务
从操作的观点上看来，路由器的作用是将报文（ P a c k e t）从一个网络传输到另外一个网络。
路由器工作于网络层，根据开放式系统互连（ Open Systems Interconnection，O S I）参考模型，
它实现的是第三层的功能。通过检测报文的网络地址，路由器可以用来决定报文流的去向，
并且创建和维护路由表。在过去的2 0年中，人们开发了5 0多种路由协议，而路由信息协议
（Routing Information Protocol，R I P）、开放式最短路径优先（Open Shortest Path First，O S P F）、
边界网关协议（Border Gateway Protocol）只是这5 0多种协议中的3种。从安全的角度上看来，
路由器是保护网络的“前沿阵地”。这种保护措施是通过创建访问表来允许或拒绝报文通过路
由器的接口来实现的。
C i s c o公司的路由器支持两种类型的访问表：基本访问表和扩展访问表。基本访问表控制
基于网络地址的信息流。扩展访问表通过网络地址和传输中的数据类型进行信息流控制。尽
管访问表可以认为是保护网络的第一关，当前实现的路由器并不实际检验报文中的信息域，
也不维护关于连接状态的信息。换句话说，每一个报文被分别检验，路由器并不判断某个报
文是否为一个合法对话流中的一部分。

在过去的两年中， C i s c o系统公司对访问表的能力进行了一些重要的功能增强，包括根据某天的某个时间、某星期的某一天对向内或向外的流量进行检测的新功能，在标准和扩展访问表中插入动态表项的能力，以及防止黑客攻击We b服务器和其他网络设备的能力。我们将讲述C i s c o访问表的类型和特征，包括基于上下文的访问控制表（ C o n t e x t - B a s e dAccess Control list，C B A C）和自反访问控制表（ reflexive ACL）。C B A C是C i s c o防火墙特征集（Firewall Feature Set，F F S）的核心。F F S是某些C i s c o路由器模型中特定代码的修订版本。从IOS 12.0T开始， C B A C出现在8 0 0、1 6 0 0、1 7 2 0、3 6 0 0和7 2 0 0系列路由器中。其特征是能
够维护一个已有连接的状态信息，对有限的T C P和U D P协议进行应用层信息检验，它比传统
的访问表增加了更高的安全性。自反访问控制表是Cisco IOS 1 1 . 3开始出现的新特征。
Reflexive ACL维护一定程度的“伪状态（ p s e u d o s t a t e）”信息，一旦合法的对话建立起来，它
就在传统A C L中创建动态的表项。以后的报文与自反A C L中的动态表项进行比较评估，以确
定这些报文是否为已存在连接的一部分。会话结束后， A C L中的动态表项被删除。但是，反
访问控制表不能理解高层协议，并且不适宜于与文件传输协议（ File Transfer Protocol，F T P）
等多通道协议一起使用。C B A C和自反访问控制表将在本书稍后章节中进行详细阐述。
1.3 全书预览
本节将对全书的后续章节做一个概括性的描述。作者建议那些对I O S的基础知识和如何使用访问表不太熟悉的读者，应该按照本书的顺序首先阅读前面一些章节。最后五章采用的是模块化结构，每一章集中阐述一种类型的访问表，所以，如果读者对开始的章节比较熟悉的话，就可以根据自己的需要阅读后面五章中的信息和特定类型的访问表实例。
1.3.1 路由器的软硬件
编写和应用访问表需要读者对C i s c o路由器的软硬件有基本的认识。了解路由器的硬件便
于读者了解路由器如何工作，以及如何配置路由器。第2章将简单介绍C i s c o路由器的基本软
硬件，包括如何通过E X E C操作模式配置一台路由器。
1.3.2 Cisco访问表基础
读者理解了路由器的基本软硬件之后，将讨论C i s c o访问表的基础知识。第3章定义和阐
述了各种类型的访问表及其格式，以及阐述了在各种类型的访问表格式中如何使用关键字，
并且介绍了在一系列的实例和I S O语句中，如何通过标准访问表和扩展访问表达到预期的功
能。
1.3.3 动态访问表
第4章讨论路由器的高级报文过滤技术，并且讨论如何使用动态访问表，动态访问表通常
又称为l o c k - a n d - k e y安全。使用动态访问表允许用户在路由器中编写I O S语句，从而将动态表
项插入到标准访问表或扩展访问表中。在用户认证过程中，动态访问表将会被开启。相比而
言，普通的访问表关于报文过滤能力是固定的，而l o c k - a n d - k e y安全特性比普通访问表更具有
灵活性。
1.3.4 基于时间的访问表
传统的访问表存在一个缺陷，一旦访问表应用到某个接口，如果不删除，它们就一直保
持有效。这样，如果希望根据某一天的不同时间、某一星期的不同天来实现不同的规则和策
略，用户就必须删除当前的访问表，然后使用新的访问表。路由器管理员可能不大愿意老是
做这样的事情，尤其是要在星期五的下午五点使用一种新的过滤机制的时候。C i s c o系统公司
现在解决了这个问题，在I O S中增加了基于时间的访问表，所以现在，安全策略和其他报文过
滤可以基于一天中的某个时间段和/或一星期中的某天产生作用。第5章讲述基于时间的访问
表的操作，并包含了一些能够满足某些单位特殊需要的访问表实例。
1.3.5 自反访问表
自反访问表是动态访问表更加灵活的一个版本。我们将讲述如何让访问表根据需要进
行动态的开启，自反访问表适应于单通道的应用程序。其他章中也包含了一系列的访问表配置实例，读者可以直接引用这些实例，或者进行一些简单的修改以满足特殊的操作需要。
1.3.6 基于上下文的访问控制
尽管基于上下文的访问表是对传统访问表的一种功能增强，但是它只能支持单通道应用
程序。也就是说，读者不能使用自反访问表来支持F T P等多通道应用程序。
第7章将学习基于上下文的访问控制，这种技术类似于自反访问表，但是它能够支持多通
道应用程序和J a v a模块，并且能够提供实时警告和审核跟踪功能。在讲述C B A C的过程中，将
讲述一系列用来管理报文过滤的超时命令。
1.3.7 TCP拦截和网络地址转换
第8章讨论两种相对较新的路由器功能，一种功能用来访问一种比较普遍的黑客攻击（称
为S Y N泛洪），另一种则用于基于安全的需要，或者某个组织需要更多的有效地址而必须让路
由器进行地址转换的情形。首先将讨论T C P的三阶段握手过程，在We b服务器负载过重时，这
个过程对We b功能能够产生一定的影响， We b服务器可能会拒绝合法的服务请求。在理解了
S Y N泛洪如何吞食计算机的资源之后，将阐述T C P拦截的任务，包括其拦截过程和监视模式、
配置每一种模式的步骤，以及让该特征得以体现的I O S语句。第8章其他部分讨论网络地址转
换（Network Address Tr a n s l a t i o n，N AT），包括将组织的内部I P地址转换成可以在I n t e r n e t上
进行路由的I P地址等内容。
1.3.8 IPSec
第9章讨论的是那些希望实现基于路由器的虚拟专用网络（ Virtual Private Network，V P N）的人所感兴趣的内容。I P安全（IP Security，I P S e c）是在任何（而不管其物理拓扑结构如何）基于I P的网络中创建加密通道的技术集合。I P S e c可以让用户在运行Windows 95/98、N T或者甚至L i n u x的工作站中建立加密通道。在C i s c o路由器上建立I P S e c通道可以在路由器之间建立通信关系。

1.3.9 流量整形
最后一章讲述C i s c o路由器处理报文流的不同方法，包括扼杀通过某些接口的流量，或者
基于流量的类型选择性地丢弃一些报文的能力。这些技术统称为流量整形（ Tr a ffic Shapping），
而它们是第1 0章要讲述的内容。