下载
第4章动态访问表
本章集中阐述动态访问表,动态访问表是对传统访问表的一种重要功能增强。我们从动
态访问表的名称就可以看出,动态访问表是能够创建动态访问表项的访问表。传统的标准访
问表和扩展的访问表不能创建动态访问表项。一旦在传统访问表中加入了一个表项,除非手
工删除,该表项将一直产生作用。而在动态访问表中,读者可以根据用户认证过程来创建特
定的、临时的访问表。
用户一般通过提供用户名和口令,就能够开启一个到路由器的t e l n e t会话。也可以配置路
由器,让其只需要口令,而不需要用户名;但我们并不推荐这样做。在用户被认证之后,路
由器关闭t e l n e t会话,并将一个动态访问表项置于某个访问表中,以允许源地址为认证用户工
作站地址的报文通过。这样,读者可以在安全边界上配置访问表,只允许那些能够通过用户
认证的工作站才能发送向内的报文。
这种方式所带来的好处是很明显的。在传统的访问表中,如果处于路由器不可信任端的
用户需要访问内部的资源,就必须永久性地在访问表中开启一个突破口,以允许这些用户的
工作站上的报文进入可信任网络。这些在访问表中的永久性的突破口给黑客发送报文进入安
全边界,并达到内部网络提供了机会。这种情况可以通过只允许特定的可信I P源地址的报文
进入内部,解决部分问题。但是,假设用户不是使用静态的I P地址呢?则上述的方法就不起
作用了。例如,用户可以通过I n t e r n e t服务提供者( Internet Service Provider,I S P)拨号进入
I n t e r n e t。一般情况下,家庭用户每次拨入I S P时,其I P地址都是不同的,所以,如果不在安全
边界上开启一个很大的突破口的话,就不能够允许来自这些用户的报文通过,而如果这样做,
又给黑客们提供了可乘之机。在这种情况下使用动态访问表,能够比使用传统I P访问表提供
更高的安全级别。
注意:即使可以在传统的扩展访问表中将报文限制成可信任的源I P地址,这种方法也
可能被黑客使用I P欺骗所破解。I P欺骗(IP Spoofing)是指黑客改变其报文的源地址,
并将报文发送到要进行攻击的网络的一种过程。I P欺骗所带来的危险是时刻存在的,
我们几乎没有什么办法能够判断到达安全边界的报文是否真正来自其所申明的主机。
通过临时的开启通道,动态访问表项也只是减少了发生I P欺骗的可能性,黑客找到可
信任源I P地址的时间只能是表项开启之时。在后面的章节中将会发现,可以使用I P S e c
来确定发送报文到自己网络来的设备的身份。
4.1 概述
前面讲过,动态访问表是一种新型的访问表。事实上确实如此,但是动态访问表的语法
与传统访问表项的格式非常相似,这些知识在前面的章节中也介绍过。动态访问表项的语法
如下所示:
第4章动态访问表39
下载
其中第一项<access-list number>与传统的扩展访问表的格式相同,其号码介于1 0 0~1 9 9之
间。第二个参数< n a m e >是动态访问表项的字符串名称。[ t i
