Cisco

有沒有一種方法可以更輕鬆地與我們網路的 ACL 互動?

  • July 26, 2019

在工作中,我們經常不得不更改我們的訪問控制列表 (ACL),以阻止任何違反安全的電腦,直到我們解決問題為止。目前,我們使用一台連接到我們的主網路交換機的電腦。我們刪除舊列表(命令“no access-list 101”)並將新修改的 ACL 複製並粘貼到交換機的命令行中。我們一次執行 40 條左右允許/允許 ip 命令。是否有替代方法我們可以告訴交換機允許/允許特定 IP,而不是刪除原始 IP 並粘貼到新 IP 中?編輯:我們使用的交換機是 cisco 的品牌,不確定型號

我根據您的語法假設您正在談論 Cisco IOS。如果您的程式碼級別較新,則不要

access-list 101 deny ip 10.1.1.1 any
access-list 101 permit ip any any

你可以做:

ip access-list extended Name-of-ACL
 deny ip 10.1.1.1 any
 permit ip any any

當你“顯示”它時,會有一個帶有行號的訪問列表:

show ip access-lists
Extended IP access list Name-of-ACL
 10 deny ip 10.1.1.1 any
 20 permit ip any any 

接下來,當您想要插入另一個 IP 時,您將返回編輯 ACL,但這次添加一個序列號:

ip access-list extended Name-of-ACL
 15 deny ip 192.168.1.1 any

它會將其插入 ACL 中的那個位置。您甚至可以使用“remark”一詞代替“permit”或“deny”在列表中添加評論。

show ip access-lists
Extended IP access list Name-of-ACL
 10 deny ip 10.1.1.1 any
 15 deny ip 192.168.1.1 any
 20 permit ip any any 

您可以做的另一種模型是對未受感染的機器使用一個 VLAN,對受感染的機器使用一個 VLAN。這可能需要使用 DHCP,因此必須在受感染的機器上進行最少的重新配置。那時,您可以使用從 VLAN 子介面到網路的 ACL 來阻止對 Internet 的訪問,同時(理想情況下)留下足夠的漏洞來下載更新檔或病毒更新。

如果您感興趣的只是確保不能在外部建立 TCP 會話,您總是可以只使用黑洞路由(到 Null0 的路由)並在入站路由器介面上加上反向路徑驗證,這應該能夠停止來自您要隔離的主機的所有出站流量。它甚至可以減少路由器上的負載,因為它使用轉發引擎而不是 ACL(儘管這取決於路由器硬體的具體情況,一些較大的 Cisco 套件可以通過編譯 ACL 以線速進行 ACL 過濾和在 ASIC 上執行它)。

引用自:https://serverfault.com/questions/15209