IP訪問控制列表算是Cisco IOS一個內在的security feature，以下是對常用的動態訪問控制列表做了個總結。

Pt.1 Lock-and-Key Security

Lock-and-Key Overview

lock-and-key動態ACL使用IP動態擴展ACL過濾IP流量。當配置了lock-and-key動態ACL之后，臨時被拒絕掉的IP流量可以獲得暫時性的許可。 lock-and-key動態ACL臨時修改路由器接口下已經存在的ACL，來允許IP流量到達目標設備。之后lock-and-key動態ACL把接口狀態還原。

通過lock-and-key動態ACL獲得訪問目標設備權限的用戶，首先要開啟到路由器的telnet會話。接著lock-and-key動態ACL自動對用戶進行認證。如果認證通過，那么用戶就獲得了臨時性的訪問權限。

Configuring Lock-and-Key

配置lock-and-key動態ACL的步驟如下：

1.設置動態ACL：

BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}

2.擴展動態ACL的絕對計時器。可選：

BitsCN(config)# access-list dynamic-extend

3.定義需要應用ACL的接口：

BitsCN(config)#interface {interface}

4.應用ACL：

BitsCN(config-if)#ip access-group {ACL}

5.定義VTY線路：

BitsCN(config)#line vty {line-number [ending-line-number]}

6.對用戶進行認證：

BitsCN(config)#username {username} password {password}

7.采用TACACS認證或本地認證方式。可選：

BitsCN(config-line)#login {tacacs|local}

8.創建臨時性的訪問許可權限，如果沒有定義參數host，默認為所有主機：

BitsCN(config-line)#autocommand access-enable {host} [timeout minutes]

Case 1

在5分鐘內開啟到172.16.1.2的telnet會話，如果認證成功，對用戶給予120秒的訪問許可權：

!
interface Ethernet0
description this document is written by *****
description powered by BitsCN 
ip address 172.16.1.1 255.255.255.0
ip access-group 101 in
!
access-list 101 permit tcp any host 172.16.1.2 eq telnet
access-list 101 dynamic BitsCN timeout 120 permit ip any any
! 
line vty 0 4
login tacacs
autocommand access-enable timeout 5
! 

Monitoring and Maintaining Lock-and-Key

查看ACL信息：

BitsCN#show access-lists
Pt.2 TCP Intercepting
TCP Intercepting Overview 

一般情況下，TCP連接的建立需要經過三次握手的過程：

1.建立發起者向目標計算機發送一個TCP SYN數據包。

2.目標計算機收到這個TCP SYN數據包后，在內存中創建TCP連接控制塊(TCB)，然后向發送源回復一個TCP確認(ACK)數據包，等待發送源的響應。

3.發送源收到TCP ACK數據包后，再以一個TCP ACK數據包，TCP連接成功。

TCP SYN洪水攻擊的過程：

1.攻擊者向目標設備發送一個TCP SYN數據包。

2.目標設備收到這個TCP SYN數據包后，建立TCB，并以一個TCP ACK數據包進行響應，等待發送源的響應。

3.而發送源則不向目標設備回復TCP ACK數據包，這樣導致目標設備一致處于等待狀態。

4.如果TCP半連接很多，會把目標設備的資源(TCB)耗盡，而不能響應正常的TCP連接請求。，從而完成拒絕服務的TCP SYN洪水攻擊。

TCP攔截特性可以防止TCP的SYN洪水攻擊。TCP攔截特性的兩種模式：

1.攔截(intercept)：軟件將主動攔截每個進站的TCP連接請求(TCP SYN)，并以服務器的身份，以TCP ACK數據包進行回復，然后等待來自客戶機的TCP ACK數據包。當再次收到客戶機的TCP ACK數據包后，最初的TCP SYN數據包被移交給真正的服務器，軟件進行TCP三次握手，建立TCP連接。

2.監控(watch)：進站的TCP連接請求(TCP SYN)允許路由器移交給服務器，但是路由器將對連接進行監控，直到TCP連接建立完成。如果30秒內TCP連接建立不成功，路由器將發送重置(Reset)信號給服務器，服務器將清除TCP半連接。