Extended Access Control Lists (ACLs)

Extended Access Control Lists (ACLs) können Sie Datenverkehr von bestimmten IP-Adressen zu einem bestimmten Ziel-IP-Adresse und Port zu erlauben oder zu verweigern. Es ermöglicht Ihnen auch verschiedene Arten von Datenverkehr wie ICMP, TCP, UDP, usw. Es erübrigt sich zu sagen, es ist sehr körnig ist und ermöglicht es Ihnen, sehr spezifisch zu spezifizieren.

Wenn Sie beabsichtigen, eine Paketfilter-Firewall zu erstellen Ihr Netzwerk zu schützen ist es eine erweiterte ACL, die Sie erstellen müssen.

Das Beispiel, das verwendet wird, enthält einen Router, der mit dem 192.168.8.0/24 Segment auf einer internen Schnittstelle verbunden ist (FastEthernet- 0/0) Unter Verwendung von Adressen 192.168.8.1/24 und zum 10.0.2.0/24 Segment auf einer externen Schnittstelle (FastEthernet- 0/1Verwendung) Adresse 10.0.2.1/24.

In diesem Fall würde verwalten Sie die 192.168.8.0/24 Netzwerk und einige unbekannte und nicht vertrauenswürdigen Gruppe verwaltet den Rest des Netzes, wie dargestellt. In diesem Netzwerk wollen Sie Benutzern zu erlauben, nur Web-Server außerhalb des Netzwerks zuzugreifen. Um dies zu unterstützen, müssen Sie zwei ACLs, 101 und 102 zu schaffen.

bild0.jpg

Sie nutzen access-list 101 den Verkehr zu verlassen, das Büro zu verwalten und access-list 102 Datenverkehr von dem nicht vertrauenswürdigen Netzwerk in das Büro zu verwalten.

Erstellen von ACL-101

Router1>aktivierenPasswort: Router1 # configure terminalEnter Konfigurationsbefehle, eine pro Zeile. Ende mit CNTL / Z.Router1 (config) # access-list 101 Bemerkung Diese ACL ist der Outbound-Router traffic.Router1 (config) # access-list 101 Erlaubnis-TCP 192.168.8.0 0.0.0.255 irgendein eq 80Router1 (config) # zu steuern access-list 101 Erlaubnis-TCP 192.168.8.0 0.0.0.255 irgendein eq 443Router1 (config) #Ende

Erstellen von ACL-102

Router1>aktivierenPasswort: Router1 # configure terminalEnter Konfigurationsbefehle, eine pro Zeile. Ende mit CNTL / Z.Router1 (config) # access-list 102 Bemerkung Diese ACL ist die Inbound-Router traffic.Router1 (config) # access-list 102 Erlaubnis-TCP irgendein 192.168.8.0 0.0.0.255 establishedRouter1 (config) # zu steuernEnde

Wenn Sie ACL 101 untersuchen, ist der Abbau auf das Format des Befehls wie folgt:

  • Die ACL ist die Nummer 101

  • Es ermöglicht das Verkehrs

  • Es ermöglicht TCP-Datenverkehr

  • Die Quelle, die es von ist definiert durch 192.168.8.0 mit einer Wildcard-Maske von 0.0.0.255 ist erlaubt

  • Der Ziel-Host ist irgendein Gastgeber

  • Der TCP-Datenverkehr, der erlaubt ist, ist auf Port 80

  • Die zweite Zeile ist die gleiche, aber es erlaubt den Verkehr auf TCP-Port 443

Wenn Sie die gleiche Prüfung der zweiten ACL tun, ACL 102, sollten Sie sich mit dem folgenden Ende:

  • Die ACL ist die Nummer 102

  • Es ermöglicht das Verkehrs

  • Es ermöglicht TCP-Datenverkehr

  • Die Quelle, die es erlaubt ist, aus ist, irgendein Gastgeber

  • Der Ziel-Host wird von 192.168.8.0 mit einer Wildcard-Maske von 0.0.0.255 definiert

  • Der TCP-Datenverkehr, der erlaubt ist, ist kein Verkehr auf einer etablierten Sitzung

Der letzte Punkt auf ACL 102 ist etwas, auf ein bisschen mehr zu suchen. In der folgenden Abbildung ist ein Client-Computer auf dem 192.168.8.0/24 Netzwerk eine TCP-Sitzung mit einem Remote-Server erstellt. Diese TCP-Sitzung hatte ein Handshaking Prozess, gegründet, welche Ports verwendet werden würden, die eine zufällig ausgewählte Port auf dem Client und Port 80 auf dem Server war.

Der Port, in dem ACE verwendet wird, ist abhängig von der Zieladresse, und in diesem Fall ist der Zielport ein zufällig ausgewählten Port auf dem Client. Anstatt die Angabe, dass jeder mögliche Port offen ist, was nicht sicher wäre, ist die Möglichkeit, zu sagen, dass jede etablierte Sitzung auf dem Client erlaubt ist. Deshalb, wenn der Client die Verbindung öffnet, ermöglicht diese ACL der Verkehr in zurück zu kommen.

image1.jpg

Ähnliche

Menü