Для обеспечения фильтрации пакетов, на маршрутизаторах Cisco настраивают списки контроля доступа. Это набор параметров и фильтров, которые позволяют гибко настраивать параметры безопасности. Системный администратор получает возможность выбирать, какой входящий и исходящий трафик пропускать, используя большое число доступных критериев.
Сейчас мы более подробно познакомимся со списками контроля доступа ACL, и научимся их настраивать.
Оглавление:
Введение
Итак представим, что наша небольшая локальная сеть создана, и в ней в качестве активного оборудования используется маршрутизатор Cisco. Через него проходит большое количество самого разного трафика. И сетевому инженеру необходимо его фильтровать. Здесь и начинается знакомство со списками управления доступом.
Это одно из основных средств обеспечения сетевой безопасности. Суть заключается в блокировке или предотвращения доступа как трафику в определенный сегмент сети, так и пользователю к определенному типу трафика.
ACL разделяют на стандартные и расширенные.
Основные особенности
- Фильтрация трафика возможно как на входе, так и на выходе трафика из выбранного интерфейса
- Для данных, которые должны быть допущены, применяется атрибут permit. Для тех, которые следует отбросить - deny
- Списки управления доступом настраиваются таким образом, что если трафик не попадает не под одно правило, указанное в списке, он автоматически будет запрещен
На рисунке ниже указана логика фильтрации пакетов, относительно расположения ACL на маршрутизаторе.
Таким образом, когда трафик начинает свое движение, маршрутизатор проверяет поля пакета, на соответствие списку правил из ACL. Если они будут найдены, то применится действие, настроенное для такого типа пакета - разрешить или запретить. Если соответствие не будет найдено - трафик автоматически заблокируется.
Стандартные списки ACL
Команда для настройки на маршрутизаторах Cisco имеет следующий синтаксис.
access-list номер-списка {deny | permit} отправитель [инвертированная маска отправителя]
Вы можете последовательно указывать несколько правил, для одного ACL, указывая его номер в соответствующем месте.
Обратите внимание. Нумерация стандартных списков ACL доступна в диапазоне 1-99 и 1300-1999.
Таким образом, алгоритм настройки можно описать следующим образом:
- Определяем место расположения списка ACL - интерфейс и направленность данных
- В режиме глобальной конфигурации указываем правила, используя команду access-list. Используйте справку "?", для просмотра доступных параметров.
- В режиме конфигурацирования интерфейса назначаем для него соответствующий список - ip access-group number {in | out}
Расширенные ACL
Данный тип фильтрации позволяет проверять трафик на большое количество параметров. Доступны следующие критерии:
Настройка
Общий принцип не изменился. Вам нужно определить интерфейс и направление трафика, затем задать список параметров фильтрации. Сам список создается и настраивается следующим образом:
IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] ICMP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} icmp source source-wildcard destination destination-wildcard [icmp-type | [[icmp-type icmp-code] | [icmp-message]] [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] TCP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] UDP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] cisco.com
Видео к статье:
Заключение
Списки контроля доступа ACL Cisco - мощное средство обеспечения безопасности в сети. Используйте его, чтобы фильтровать ваш трафик. Но помните про особенности. Если вы некорректно укажите параметры фильтрации, "правильный" трафик может не попасть к адресату.
Наши рекомендации
Настройка маршрутизатора cisco выполняется техническими специалистами.
Настройка IPsec vpn позволит повысить уровень безопасности.
Для выхода в интернет нескольких компьютеров, используется технология NAT.
Стоит почитать
Зачем искать информацию на других сайтах, если все собрано у нас?
спасибо!