动态访问控制列表：lock-and-key

  
   lock-and-key是cisco ios的一种安全特性，它使用户能在防火墙中临时打开一个缺口，而不会破坏其它已配置的安全限制。该特性通过一种被称为动态访问控制列表的扩展访问控制列表来配置。在实践中，lock-and-key的用户一般都是高级用户或系统管理员，因为用户必须登录到cisco路由器上才能在防火墙打开一条通道。然而，有些管理员可能会配置一些脚本（或其它自动化的过程），以让中级用户也能利用该特性。
   动态访问控制列表使指定的用户能够获得对受保护资源的临时访问权，而不管它们是通过什么ip源地址进行访问。在配置之后，lock-and-key特性将修改接口上的现有ip访问控制列表，以让它允许指定用户的ip地址访问特定的目的地。在用户切断连接之后，lock-and-key特性将复原该访问列表
   为了让lock-and-key特性能工作，用户必须先要telnet到路由器上。telnet给用户一个机会来告诉路由器它使谁（通过用户名和口令进行认证），以及它目前在使用哪个源ip地址。如果用户成功地通过认证，该用户的源ip地址就被授权临时通过路由器进行访问的权限。由动态访问控制列表的配置决定所允许访问的范围。/Y
  下面的步骤总结了lock-and-key的操作：4
1：用户向一台配置了lock-and-key特性的防火墙或路由器发起一个telnet会话。用户的连接时通过路由器上的某条vty线路进行的。0j$NQn
2：cisco ios收到telnet数据包，打开一个telnet会话，提示用户输入一个口令，并执行一个认证过程。认证可以由路由器本身或通过一台安全服务器（例如tacacs+或radius服务器）执行。当一个用户通过了认证之后，该telnet会话就会被切断，ios软件将在动态访问控制列表中创建一个临时性条目（根据具体的配置，该临时性条目可以限制用户被授权临时访问权的目的网络范围）!E<
3：用户通过防火墙中的临时通道交换数据$hNK8a
4：当达到了一个预先配置好的超时限制后，或当管理员手工清除它时，ios软件就删除该临时性访问控制列表条目。该超时限制可以是一个空闲超时值，或一个绝对超时值。临时性访问控制列表条目不是在用户结束一个会话后自动被删除的，它在达到超时限制或被系统管理员手工清除之前将一直存在。

配置一个动态访问控制列表：
rta(config)#access-list 101 permit tcp any host 1.1.1.1 eq telnet
rta(config)#access-list 101 dynamic test timeout 120 permit ip any any}
rta(config)#int s0
rta(config-if)ip access-group 101 in`)
例子中的第一条访问控制列表语句允许到路由器rta接口（地址为1.1.1.1）的telnet数据流。如果防火墙不允许用户telnet到路由器的话，lock-and-key特性就无法工作。因为我们必须要能通过telnet到达路由器，所以配置一条明确允许语句是一个好主意。
   第二条语句使用关键字“dynamic”，它创建了一个名叫“test”的动态访问控制列表。注意，带关键字“dynamic”的语句是同一个扩展访问控制列表101的一部分。记住，对于一种协议.一个接口和一个方向只能有一个访问控制列表。对于这个例子，我们假定还有其它语句也被配置作为访问控制列表的101的一部分。
   “timeout 120”参数指定了动态访问控制列表的绝对超时值，它代表该动态访问控制列表中每个条目的最大限制（以分钟为单位）。在本例中，用户连接将在120分钟被切断,即使我们的连接还一直在传输数据。如果我们不指定一个超时值，ios将允许动态条目（防火墙的缺口）永远存在，如果配置了空闲超时值，则在到达该值之后删除动态条目。
    最后，“ip access-group 101 in 领命将该列表应用在接口的入方向上.
    配置和应用动态访问控制列表之后，我们就可以继续完成lock-and-key特性的配置了。因为lock-and-key特性必须要能够对用户进行认证，所以我们必须配置路由器来使用认证。/|
   设置认证功能的一种方法是在路由器上建立一个用户名和口令数据库（本地认证）。
配置路由器用本地数据库来认证vty用户：
  rta(config)#username test password test
  rta(config)#line vty 0 4
  rta(config-line)login local
   我们可以看到，例子中只配置了一个用户“test”。“login local”命令将所有5条vty线路配置为根据本地用户名/口令数据库对用户进行认证。
配置lock-and-key特性的最后步骤是让路由器能在动态访问控制列表创建一个临时性的访问控制列表条目。缺省情况下，路由器是不会这么做的。我们可以用下面的命令语法来启用临时性条目的创建：
 rta#access-enable { [ host ]  [ timeout ] }6
   一条简单的"access-enable"命令就能够完成该任务,但cisco路由器强烈建议用户使用该命令的任选关键字.如果使用了关键字“host”，临时性条目将只为用户所用的单个源ip地址创建。如果不使用关键字“host”，则用户的整个网络（或ip子网）都将被该临时性条目所允许。
   关键字“timeout”规定了空闲超时值，它提示连接在被切断之前允许保持的空闲时间。如果动态访问控制列表条目在空闲超时值所规定时间内没有被使用，它就会自动删除，需要用户再次重新进行认证。缺省值是让动态条目可以永远存在.
   注意：如果我们既配置空闲超时值也配置绝对超时值，那么空闲超时值必须要比绝对超时值小。如果只配置空闲之间没有配置绝对超时值，那么当空闲值到的时候，基本上还要等上这个空闲值的时间，才会删除这条临时的访问控制列表。
   为了设置lock-and-key特性，我们可以配置vty线路让路由器自动发布access-enable命令，然后切断用户的telnet会话。该任务可以在下面的“autocommand”命令特性来实现，如下面的例子：
rta（config）#line vty 0 4
rta（config-line）#autocommand access-enable host timeout 20
  通过用“autocommand access-enable”命令配置vty线路，每当用户通过telnet进行认证后，在防火墙中就会为它自动打开一个访问通道。到此为止，lock-and-key特性的配置就完毕了。: