在向大家詳細介紹Cisco 路由器ACL之前，首先讓大家了解下防止Cisco 分組泄露，然后給出全面的介紹，在解決相似問題的時候，找到了這篇文章，感覺還不錯。防止路徑追蹤，檢測和確認網(wǎng)絡設備（路由器或防火墻）只需要用到traceroute、netcat、nmap或SuperScan等工具就夠了。針對路徑追蹤的對策：在Cisco路由器上限制對TTL已過期的分組進行響應：access-list 101 deny icmp anyany 11 0也可以只允許對某些信任的網(wǎng)絡通過ICMP分組，而拒絕其他任何網(wǎng)絡：

access-list 101 permit icmpany 10.16.10.0 0.255.255.255 11 0
access-list 101 deny ip anyany log

1．防止Cisco 分組泄露，Cisco分組泄露脆弱點最初是JoeJ在Bugtraq上公開的，他與Cisco設備在1999端口(ident端口)上對TCP SYN請求的響應有關。下面就是針對這個脆弱點的方法：access-list 101 deny tcp anyanyeq 1999 log ! Block Ciscoident scan。

2．防止Cisco旗標攫取與查點，Cisco finger 及2001，4001，6001號虛擬終端端口都對攻擊者提供不少信息，比如訪問URL為http://10.16.10.254:4001那么所的結果可能大體是：User Access VerificationPassword: Password: % Bad passwords，另外Cisco Xremote 服務（9001端口），當攻擊者用netcat連接該端口時，路由器也會發(fā)送回一個普通旗標。針對這些查點，采取的措施就是使用安全的Cisco 路由器ACL規(guī)則限制訪問這些服務，比如：

access-list 101 deny tcp anyany 79
access-list 101 deny tcp anyany 9001

3．防止TFTP下載，幾乎所有路由器都支持TFTP，攻擊者發(fā)掘TFTP漏洞用以下載配置文件通常輕而易舉，在配置文件里含有很多敏感信息，比如SNMP管理群名字及任意Cisco 路由器ACL。執(zhí)行下面措施可去除TFTP脆弱點：access-list 101 deny udp anyany eq 69 log ! Block tftp access

4．防止RIP欺騙，支持RIP v1或RIP v2的路由器很容易被RIP攻擊。針對這類攻擊在邊界路由器上禁止所有RIP分組（端口號為520的TCP/UDP分組），要求使用靜態(tài)路由，禁止RIP。

5．保護防火墻，比如CheckPoint的Firewall-1在256，257，258TCP端口上監(jiān)聽，Microsoft的Proxy Server在1080和1745 TCP端口上監(jiān)聽，使用掃描程序發(fā)現(xiàn)這些防火墻就很容易了。為了防止來自因特網(wǎng)上的防火墻掃描，就需要在防火墻之前的路由器上使用Cisco 路由器ACL規(guī)則阻塞這些掃描：

access-list 101 deny tcp anyanyeq 256 log ! Block Firewall-1scan
access-list 101 deny tcp anyanyeq 257 log ! Block Firewall-1scan
access-list 101 deny tcp anyanyeq 258 log ! Block Firewall-1scan
access-list 101 deny tcp anyanyeq 1080 log ! Block Socks scan
access-list 101 deny tcp anyanyeq 1745 log ! Block Winsockscan

ICMP和UDP隧道攻擊能夠繞過防火墻，（參見http://phrack.infonexus.com/search.phtml?view&article=p49-6）針對這種攻擊可以對ICMP分組采用限制訪問控制，比如下面Cisco 路由器ACL規(guī)則將因管理上的目的而禁止穿行不是來往于10.16.10.0子網(wǎng)的所有ICMP分組：

access-list 101 permit icmpany 10.16.10.0 0.255.255.255 8 ! echo
access-list 101 permit icmpany 10.16.10.0 0.255.255.255 0 ! echo-reply
access-list 102 deny ip anyany log ! deny and log all else

6．防止非授權用戶控制VTY（Telnet）訪問，比如如下規(guī)則就只允許主機10.16.10.8遠程登陸到路由器：

Router(config)#access-list 50permit 10.16.10.8
Router(config)#line vty 0 4
Router(config-line)#access-list 50 in

7．防止IP地址欺騙，在面向Internet的接口S0/0應該有一個規(guī)則來阻止任何源地址在200.200.200.xxx范圍內的數(shù)據(jù)包：

access-list 101 deny ip200.200.200.0 0.0.0.255 any
access-list 101 deny ip10.0.0.0 0.0.0.255 any （禁止非法地址訪問內網(wǎng)）
access-list 101 deny ip172.16.0.0 0.15.255.255 any （禁止非法地址訪問內網(wǎng)）
access-list 101 deny ip192.168.0.0 0.0.255.255 any （禁止非法地址訪問內網(wǎng)）
access-list 101 permit ip anyany

8．控制蠕蟲病毒傳播，在控制蠕蟲病毒傳播方面ACL也有其作用，比如Nachi蠕蟲是通過ICMP報文來造成網(wǎng)絡擁塞的，我們只要阻止ICMP報文傳播就可以：access-list 101 deny icmp anyany echo，對付其他一些通過固定端口傳播的蠕蟲病毒則可以通過ACL規(guī)則封閉這些端口，比如Blaster蠕蟲（傳播通常使用4444、69、135、139、445、593等）。以上只是Cisco 路由器ACL安全性的部分總結，希望是拋磚引玉，由于作者水平有限，如有錯誤請斧正。