ACL管理网络利器

    第二个表项允许从任何源I P地址来的报文，如果其源端口是域名系统，且目标网络位于205.131. 175.0/24,目的端口大于1023的话，这将允许DNS应答到达202.131.175.0/24网络。所有有效DNS请求的源端口应该为1024 或更大，因此有效DNS的应答就应发送到此1024或更高的端口。如果我们不指定目的端口大于1023,则攻击者可以从源端口53发送UDP报文到达我们 的网络，从而导致对内部服务器的拒绝服务（denia l-of-service, DOS）攻击。大量的服务器端口都处于小于1024的保留区间内，所以我们应阻塞目的端口小于1024的报文，以关闭潜在的安全漏洞。
   
    第三和第四 个表项允许具有如下特征的报文进入：源端口为www或FTP,目标位于205.131.175.0/24网络，目标端口大于1023,且TCP头中设置了 ACK和RST位。这两个表项允许由内部主机发起的WWW和FTP会话的返回报文。指定源端口和目的端口的原因与第二个表项相同。使用 established意味着只有设置了应答位（ack）和复位位（est）的报文才能够匹配并允许通过访问表项。只有那些已经建立了TCP会话的报文才 会设置这些位，这样增加了访问表的安全层次。值得注意的是，攻击者很容易在向内的报文中手工设置这些位，所以这种检测是十分简单的。但如果内部网络采用正确的TCP/IP协议栈，它们就会忽略这些带ack和est位的向内报文，因为它们不是主机上合法TCP会话的一部 分，这就是为什么established关键字仍然十分重要的原因。
   
    注意：这种检验对UDP报文是无用的，这就是为什么在第二个访问表项中没有该关键字的原因。
   
    第五个表项允许那些源端口为20的任何主机向内报文到达网络205.131.175.0/24的主机，如果其目的端口大于1023的话，允许那些由内部主机 发起的FTP部分数据的报文连接到内部主机。FTP协议实现的标准实现需要FTP服务器发回一个到源FTP客户机连接。该连接的初始报文没有设置ack或 rst位，所以我们在表项中不能使用established关键字。有一种版本的FTP称为被动模式（passive mode）的FTP,它不需要服务器发起一个向源FTP客户机的连接。在这种模式的FTP中，客户机需要发起到FTP服务器非20端口的另一个连接，该端 口是大于1023的一种随机选择。我们允许所有大于1023TCP端口的报文通过，是因为我们不能进一步确定FTP服务器会选择哪一个端口（被动模式 FTP服务器的数据端口不为20,这与普通模式FTP是不同的）。尽管我们不能让该表项如我们所希望的那样确切，established关键字仍能使该表 项比允许外部发起向内部网络的会话要安全一些。
   
    第六个表项（也是最后一个表项）为动态访问表项，它允许来自被认证主机的报文到达服务器 198.78.46.12.我们定义的绝对超时时间为3小时（180分钟），并对该表项进行了日志记录（我们还开启了路由器缓冲区的日志）。通过将匹配动 态表项的报文进行记录，我们可以跟踪用户的行为，并建立一个普通的基线。这样，我们可以发现不正常的行为，并由此判断这是否是由攻击者产生的。我们还将动 态访问表项的空闲时间设置成了10分钟，这是在vty线配置中通过autocommand设置的。最好是将这两个值都设上，这样我们能减少动态表项处于活 跃状态的时间，因此也减少了攻击者冲破动态表项的可能性。
   
    空闲计时器在没有一个报文匹配动态访问表项时进行复位，而绝对计时器是不复位的，即使一个会话仍然处于活跃状态，如果绝对超时达到，动态表项就会被删除， 用户需要再经过一个认证过程。如果他们有经过路由器的活跃会话，这些会话将被终止。因此，建议将绝对超时设置得相对大一些，一般为一个小时或更长一些时 间。但我们应该将空闲时间设置得小一些，一般为10分钟或更短的时间。笔者认为，不应将空闲时间的设置大于30分钟。