Cisco访问表基础
读者理解了路由器的基本软硬件之后,将讨论C i s c o访问表的基础知识。第3章定义和阐述了各种类型的访问表及其格式,以及阐述了在各种类型的访问表格式中如何使用关键字,并且介绍了在一系列的实例和I S O语句中,如何通过标准访问表和扩展访问表达到预期的功能。
1.3.3 动态访问表
第4章讨论路由器的高级报文过滤技术,并且讨论如何使用动态访问表,动态访问表通常又称为l o c k - a n d - k e y安全。使用动态访问表允许用户在路由器中编写I O S语句,从而将动态表项插入到标准访问表或扩展访问表中。在用户认证过程中,动态访问表将会被开启。相比而言,普通的访问表关于报文过滤能力是固定的,而l o c k - a n d - k e y安全特性比普通访问表更具有
灵活性。
2 C i s c o访问表配置指南
下载
1.3.4 基于时间的访问表
传统的访问表存在一个缺陷,一旦访问表应用到某个接口,如果不删除,它们就一直保
持有效。这样,如果希望根据某一天的不同时间、某一星期的不同天来实现不同的规则和策
略,用户就必须删除当前的访问表,然后使用新的访问表。路由器管理员可能不大愿意老是
做这样的事情,尤其是要在星期五的下午五点使用一种新的过滤机制的时候。C i s c o系统公司
现在解决了这个问题,在I O S中增加了基于时间的访问表,所以现在,安全策略和其他报文过
滤可以基于一天中的某个时间段和/或一星期中的某天产生作用。第5章讲述基于时间的访问
表的*作,并包含了一些能够满足某些单位特殊需要的访问表实例。
1.3.5 自反访问表
自反访问表是动态访问表更加灵活的一个版本。我们将讲述如何让访问表根据需要进
行动态的开启,自反访问表适应于单通道的应用程序。其他章中也包含了一系列的访问表
配置实例,读者可以直接引用这些实例,或者进行一些简单的修改以满足特殊的*作需
要。
1.3.6 基于上下文的访问控制
尽管基于上下文的访问表是对传统访问表的一种功能增强,但是它只能支持单通道应用
程序。也就是说,读者不能使用自反访问表来支持F T P等多通道应用程序。
第7章将学习基于上下文的访问控制,这种技术类似于自反访问表,但是它能够支持多通
道应用程序和J a v a模块,并且能够提供实时警告和审核跟踪功能。在讲述C B A C的过程中,将
讲述一系列用来管理报文过滤的超时命令。
1.3.7 TCP拦截和网络地址转换
第8章讨论两种相对较新的路由器功能,一种功能用来访问一种比较普遍的黑客攻击(称
为S Y N泛洪),另一种则用于基于安全的需要,或者某个组织需要更多的有效地址而必须让路
由器进行地址转换的情形。首先将讨论T C P的三阶段握手过程,在We b服务器负载过重时,这
个过程对We b功能能够产生一定的影响, We b服务器可能会拒绝合法的服务请求。在理解了
S Y N泛洪如何吞食计算机的资源之后,将阐述T C P拦截的任务,包括其拦截过程和监视模式、
配置每一种模式的步骤,以及让该特征得以体现的I O S语句。第8章其他部分讨论网络地址转
换(Network Address Tr a n s l a t i o n,N AT),包括将组织的内部I P地址转换成可以在I n t e r n e t上
进行路由的I P地址等内容。
1.3.8 IPSec
第9章讨论的是那些希望实现基于路由器的虚拟专用网络( Virtual Private Network,V P N)
的人所感兴趣的内容。I P安全(IP Security,I P S e c)是在任何(而不管其物理拓扑结构如何)
基于I P的网络中创建加密通道的技术集合。I P S e c可以让用户在运行Windows 95/98、N T或者
甚至L i n u x的工作站中建立加密通道。在C i s c o路由器上建立I P S e c通道可以在路由器之间建立
通信关系。
第1章引言3
下载
1.3.9 流量整形
最后一章讲述C i s c o路由器处理报文流的不同方法,包括扼杀通过某些接口的流量,或者
基于流量的类型选择性地丢弃一些报文的能力。这些技术统称为流量整形( Tr a ffic Shapping),
而它们是第1 0章要讲述的内容。
__
