Расширенные списки контроля доступа (ACL)

Расширенные списки контроля доступа (ACL) - макеты

Списки контроля расширенного доступа (ACL) позволяют разрешать или запрещать трафик с определенных IP-адресов на определенный IP-адрес и порт назначения. Он также позволяет вам указывать различные типы трафика, такие как ICMP, TCP, UDP и т. Д. Излишне говорить, что он очень подробный и позволяет вам быть очень конкретным.

Если вы намерены создать брандмауэр для фильтрации пакетов для защиты своей сети, это расширенный ACL, который вам нужно будет создать.

Пример, который будет использоваться, включает маршрутизатор, который подключен к 192. 168. 8. 0/24 сегмент на внутреннем интерфейсе ( FastEthernet 0/0 ), используя адрес 192. 168. 8. 1/24 и 10. 0. 2. 0/24 сегмент на внешнем интерфейсе ( FastEthernet 0/1 ) с использованием адреса 10. 0. 2. 1 / 24.

В этом случае вы должны управлять сетью 192. 168. 8. 0/24, а некоторая неизвестная и ненадежная группа управляет остальной частью сети, как показано. В этой сети вы хотите разрешить пользователям доступ только к веб-серверам за пределами сети. Чтобы поддержать это, вам нужно создать два списка ACL, 101 и 102.

Вы используете список доступа 101 для управления трафиком, покидающим офис, и список доступа 102 для управления трафиком, поступающим из ненадежной сети, в офис ,

Создание ACL 101

 Router1>  enable  Пароль: Router1 # configure terminal Введите команды конфигурации по одному на строку. Завершить CNTL / Z. Router1 (config) # access-list 101 note Этот ACL предназначен для управления трафиком исходящего маршрутизатора. Router1 (config) # access-list 101 allow tcp 192. 168. 8. 0 0. 0. 0. 255 any eq 80 Router1 (config) # access-list 101 разрешает tcp 192. 168. 8. 0 0. 0. 0. 255 any eq 443 Router1 (config) #  end 

Создание ACL 102

 Router1>  enable  Пароль: Router1 # configure terminal Введите команды конфигурации по одному в строке. Завершить CNTL / Z. Router1 (config) # access-list 102 note Этот ACL предназначен для управления входящим трафиком маршрутизатора. Router1 (config) # access-list 102 allow tcp any 192. 168. 8. 0 0. 0. 0. 255 Установленный Router1 (config) #  end 

Если вы изучите ACL 101, разбивка по формату команды:

  • ACL - это номер 101

  • Он разрешает трафик

  • Он разрешает трафик TCP

  • Источник, из которого он разрешен, определяется 192. 168. 8. 0 с Маска подстановочного знака 0. 0. 0. 255

  • Конечным хостом является любой хост

  • Трафик TCP, который разрешен, находится на порту 80

  • Вторая строка такая же, но она позволяет трафик на TCP-порт 443

Если вы выполните одно и то же рассмотрение второго ACL, ACL 102, вы должны получить следующее:

  • ACL - это номер 102

  • Он разрешает трафик

  • Он разрешает трафик TCP

  • источник, из которого разрешен какой-либо хост

  • Хост назначения определяется 192.168. 8. 0 с подстановочной маской 0. 0. 0. 255

  • Трафик TCP, который разрешен, является любым трафиком в установленном сеансе

Последний элемент ACL 102 - это что-то, чтобы посмотреть немного больше , На следующем рисунке клиентский компьютер в сети 192. 168. 8. 0/24 создал сеанс TCP с удаленным сервером. На этом сеансе TCP был проведен процесс установления связи, который установил, какие порты будут использоваться, который был случайно выбранным портом на клиенте и портом 80 на сервере.

Порт, который используется в ACE, зависит от адреса назначения, и в этом случае порт назначения является случайно выбранным портом на клиенте. Вместо того, чтобы указывать, что все возможные порты открыты, что не будет безопасным, можно сказать, что разрешен любой установленный сеанс на клиенте. Поэтому, если клиент открывает соединение, этот ACL позволит возврату трафика.