Rozšířené seznamy přístupových práv (ACL) - dummy

Rozšířené seznamy řízení přístupu (ACL) umožňují povolit nebo zakázat provoz z konkrétních adres IP na konkrétní adresu a port určení. Umožňuje také určit různé typy přenosů, jako jsou například protokoly ICMP, TCP, UDP atd. Je třeba říci, že je velmi granulární a umožňuje vám být velmi specifická.

Pokud hodláte vytvořit firewall pro filtrování paketů pro ochranu sítě, je to rozšířená ACL, kterou budete muset vytvořit.

Příklad, který bude použit, zahrnuje směrovač, který je připojen k segmentu 192. 168. 8. 0/24 na interním rozhraní ( FastEthernet 0/0 ) pomocí adresa 192. 168. 8. 1/24 a 10. 0 2. 2. 0/24 segmentu na externím rozhraní ( FastEthernet 0/1 ) pomocí adresy 10. 0. 2. 1 / 24.

V tomto případě byste spravovali síť 192. 168. 8. 0/24 a některé neznámé a nedůvěryhodné skupiny spravují zbytek sítě, jak je znázorněno. V této síti chcete povolit uživatelům přístup pouze k webovým serverům mimo síť. Abyste to podpořili, musíte vytvořit dvě ACL, 101 a 102.

Chcete-li řídit provoz opouštějící kancelář a přístupový seznam 102 , použijte přístupový seznam 101 pro správu provozu z nedůvěryhodné sítě do kanceláře.

Vytvoření ACL 101

Router1> povolit Heslo: Konfigurační terminál Router1 # Zadejte konfigurační příkazy, jeden na každý řádek. Konec s CNTL / Z. Router1 (config) # přístupový seznam 101 poznámka Tato ACL má řídit provoz odchozího směrovače. Router1 (config) # přístupový seznam 101 umožňuje tcp 192. 168. 8. 0 0. 0. 0. 255 libovolný eq 80 Router1 (config) # přístupový seznam 101 umožňuje tcp 192. 168. 8. 0 0. 0. 0. 255 libovolný eq 443 Router1 (config) # end

Vytvoření ACL 102

Router1> povolit Heslo: Terminál pro konfiguraci směrovače Router1 Zadejte konfigurační příkazy, jeden na každý řádek. Konec s CNTL / Z. Router1 (config) # přístupový seznam 102 poznámka Tato ACL má řídit provoz příchozího směrovače. Router1 (config) # přístupový seznam 102 povolí tcp jakékoli 192. 168. 8. 0 0. 0. 0. 255 zaveden Router1 (config) # end

Pokud prozkoumáte ACL 101, rozdělení na formát z příkazu je následující:

• ACL je číslo 101

• Umožňuje provoz

• Umožňuje provoz TCP

• Zdroj, ze kterého je povoleno, je definován číslem 192. 168. 8. 0 s zástupná maska ​​0. 0. 0. 255

• Cílový hostitel je libovolný hostitel

• Povolený provoz TCP je na portu 80

• Druhý řádek je stejný, ale umožňuje provoz na TCP portu 443

Pokud provádíte stejnou kontrolu druhého ACL, ACL 102, měli byste skončit s následujícím:

• ACL je číslo 102

• Umožňuje provoz

• Umožňuje provoz TCP

• zdroj, který je povolen z je libovolný hostitel

• Cílový hostitel je definován jako 192.168. 8. 0 s maskou zástupných znaků 0. 0. 255

• Povolená komunikace TCP je jakákoli návštěva na zavedené relaci

Poslední položka na ACL 102 je něco, co se má podívat trochu víc. Na následujícím obrázku klientský počítač v síti 192. 168. 8. 0/24 vytvořil relaci protokolu TCP se vzdáleným serverem. Tato relace protokolu TCP měla proces handshaking, který stanovil, jaké porty se budou používat, což byl náhodně zvolený port na klientovi a port 80 na serveru.

Port, který se používá v ACE, závisí na cílové adrese av tomto případě je cílový port náhodně vybraným portem v klientovi. Spíše než specifikovat, že je každý otevřený port, který by nebyl bezpečný, je možné říci, že jakákoli zavedená relace v klientovi je povolena. Pokud tedy klient otevře připojení, povolí tato ACL provoz, aby se vrátil zpět.