在工作中,我们经常需要修改访问控制列表 (ACL),以阻止任何存在安全违规行为的计算机,直到我们能够修补问题为止。目前,我们使用一台连接到主网络交换机的计算机。我们删除旧列表(命令“no access-list 101”),然后将新修改的 ACL 复制并粘贴到交换机的命令行中。我们一次执行 40 个左右的 permit/allow ip 命令。有没有其他方法,我们可以直接告诉交换机允许/允许特定 IP,而不是删除原始 IP 并粘贴新 IP?编辑:我们使用的交换机是思科品牌,不确定型号
答案1
我根据你的语法假设你正在使用 Cisco IOS。如果你的代码级别比较新,那么
access-list 101 deny ip 10.1.1.1 any
access-list 101 permit ip any any
你可以做:
ip access-list extended Name-of-ACL
deny ip 10.1.1.1 any
permit ip any any
当你“显示”它时,将会有一个带有行号的访问列表:
show ip access-lists
Extended IP access list Name-of-ACL
10 deny ip 10.1.1.1 any
20 permit ip any any
接下来,当您想要插入另一个 IP 时,您可以返回编辑 ACL,但这次添加一个序列号:
ip access-list extended Name-of-ACL
15 deny ip 192.168.1.1 any
然后它会将其插入到 ACL 中的该位置。您甚至可以使用单词“remark”代替“permit”或“deny”,以在列表中添加注释。
show ip access-lists
Extended IP access list Name-of-ACL
10 deny ip 10.1.1.1 any
15 deny ip 192.168.1.1 any
20 permit ip any any
答案2
您可以采用的另一种模型是,将一个 VLAN 用于未感染的机器,将另一个 VLAN 用于感染的机器。这可能需要使用 DHCP,因此必须在感染的机器上进行最少的重新配置。此时,您可以使用从 VLAN 子接口到网络的 ACL 来阻止对互联网的访问,同时(理想情况下)留下足够的漏洞来下载补丁或病毒更新。
如果您只关心确保无法在外部建立任何 TCP 会话,那么您可以始终使用黑洞路由(进入 Null0 的路由)并结合入站路由器接口上的反向路径验证,这应该能够阻止来自您想要隔离的主机的所有出站流量。它甚至可能对路由器造成更少的负载,因为它使用转发引擎而不是 ACL(尽管这取决于路由器硬件的具体情况,一些较大的 Cisco 套件可以通过编译 ACL 并在 ASIC 上运行它来以线速进行 ACL 过滤)。
答案3
不幸的是,要删除条目,我认为您必须“否”ACL 才能将其清除。
我已经编写了很多 PHP 来使用 Telnet 和 SNMP 向 Cisco 设备发送命令,这样可以很容易地自动执行这项任务。
如果您有兴趣,我可以找一个例子。
答案4
我最后找到了一个半解决方案,至少可以减少编辑 ACL 的麻烦。我们更改了 ASCII 设置,这样可以更慢地放置 ACL 的地址,这样我们就可以只复制并粘贴列表,然后离开一会儿。