Genişletilmiş Erişim Kontrol Listeleri (ACL) - mankenler

Genişletilmiş Erişim Kontrol Listeleri (ACL'ler) belirli IP adreslerinden belirli bir hedef IP adresine ve bağlantı noktasına giden trafiğe izin vermenize veya engellemenize izin verir. Ayrıca, ICMP, TCP, UDP gibi farklı trafik türlerini belirtmenize olanak tanır. Söylemeye gerek yok, çok ayrıntılıdır ve çok spesifik olmanızı sağlar.

Ağınızı korumak için bir paket filtreleme güvenlik duvarı oluşturmayı planlıyorsanız, oluşturmanız gereken Genişletilmiş ACL'dir.

Kullanılacak örnek, bir iç arabirimde ( FastEthernet 0/0 ) 192.168.8.0/24 segmentine bağlı bir yönlendirici içerir. adres 192. 168.8. 1/24 ve harici bir arabirimdeki ( FastEthernet 0/1 ) 10.0.2.0/24 segmentine bağlayın. 0. 2. 1 / 24.

Bu durumda, 192. 168. 8. 0/24 ağını yönetirsiniz ve bilinmeyen ve güvenilmeyen bir grup, gösterildiği gibi ağın geri kalanını yönetir. Bu ağda, kullanıcıların yalnızca ağ dışındaki web sunucularına erişmesine izin vermek istiyorsunuz. Bunu desteklemek için, 101 ve 102 olmak üzere iki ACL oluşturmanız gerekir.

Güvenilmeyen ağdan ofisten gelen trafiği yönetmek için ofisten çıkan trafiği yönetmek için erişim listesi 101 ve erişim listesi 102 kullanıyorsunuz.

Oluşturma ACL 101

Yönlendirici1> etkinleştir Parola: Yönlendirici1 yapılandır terminalleri Her satıra bir olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitiş yapın. Router1 (config) # access-list 101 remark Bu ACL, giden yönlendirici trafiğini kontrol etmek içindir. Router1 (config) # erişim listesi 101 permt tcp 192. 168. 8. 0 0. 0. 0. 255 herhangi bir eq 80 Router1 (config) # erişim listesi 101 izin tcp 192. 168. 8. 0 0. 0. 0 255 herhangi bir eq 443 Router1 (yapılandırma) # bitiş

Oluşturma ACL 102

Router1> enable Parola: Router1 # configure terminal Komut satırlarını her satıra bir girin. CNTL / Z ile bitiş yapın. Router1 (config) # access-list 102 remark Bu ACL, gelen yönlendirici trafiğini kontrol etmek içindir. Router1 (config) # access-list 102, tcp'ye herhangi 192 izin verir. 168. 8. 0 0. 0. 0. 255 kurulmuş Router1 (config) # end

ACL 101 incelerseniz, formattaki arıza

• ACL numarası 101

• Bu trafiğe izin verir

• TCP trafiğini

• sağlar İzin verilen kaynak 192 ile tanımlanır. 168. 8. 0 ile wildcard mask of 0. 0. 0. 255

• Hedef ana bilgisayar herhangi bir ana bilgisayardır

• İzin verilen TCP trafiği, 80 portunda

• İkinci satır da aynı, ancak 443 numaralı TCP portunda trafiğe izin veriyor

İkinci ACL, ACL 102 ile aynı incelemeyi yaparsanız, aşağıdakilerle sonuçlanmanız gerekir:

• ACL, 102 sayısıdır

• Trafiğe izin verir

• TCP trafiğine izin verir> kaynaktan herhangi bir ana bilgisayardan izin verilir

• Hedef ana bilgisayar 192 tarafından tanımlanır.168. 0 0 joker maske ile 0. 0. 0. 255

• İzin verilen TCP trafiği, kurulan bir oturumdaki herhangi bir trafiktir

• ACL 102'deki son madde biraz daha bakmak için bir şeydir. Aşağıdaki şekilde, 192. 168. 8. 0/24 ağındaki bir istemci bilgisayar uzak bir sunucu ile bir TCP oturumu hazırladı. Bu TCP oturumu, hangi bağlantı noktalarının kullanılacağını belirleyen bir el sıkışma işlemine sahipti. Bu bağlantı noktası istemcide rasgele seçilen bir bağlantı noktası ve sunucuda 80 numaralı bağlantı noktasıydı.

ACE'de kullanılan bağlantı noktası hedef adrese bağlıdır ve bu durumda hedef bağlantı noktası istemcide rasgele seçilen bir bağlantı noktasıdır. Her olası bağlantı noktasının açık olduğunu, bunun güvenli olmayacağını belirtmek yerine, seçenek, istemcide kurulmuş herhangi bir oturuma izin verildiğini söylemektir. Bu nedenle, müşteri bağlantıyı açarsa, bu ACL, trafiğin geri gelmesine izin verir.