Лабораторная работа №1
Цель работы
Изучение access control list и возможностей deep packet inspection сетевого оборудования Cisco.
Теоретическая часть
Межсетевые экраны
Межсетевой экран - программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. Часто отделяет защищенные сегменты сет и от незащищенных.
ACL
ACL (access control list) - список правил межсетевого экрана, запрещающих или разрешающих использование ресурсов сети: доступа к интернету, телефонии, видеосвязи и т.д.
Списки ACL широко используются для обеспечения работы компьютерных сетей и сетевой безопасности с целью предотвращения атак и управления трафиком. Администраторы могут использовать списки ACL для определения классов трафика и управления ими на сетевых устройствах в соответствии с комплексными требованиями по безопасности. Списки ACL можно определять для уровней 2, 3, 4 и 7 OSI.
Список ACL представляет собой последовательный перечень разрешающих или запрещающих правил. Записи можно создавать для выполнения фильтрации трафика на основе определенного критерия, например адреса источника или адреса назначения, протокола и номера порта.
Стандартные списки ACL обрабатывают пакеты, проверяя поле IP-адреса источника. Такие списки ACL используются для фильтрации пакетов только на основании информации об источнике, соответс твующей уровню 3. Синтаксис создания стандартных нумерованных ACL:
access-list {acl-#} {permit | deny} source-addr [source-wildcard] [log]
, где:
acl-#
- десятичное число в диапазоне 1..99 или 1300..1999permit
- разрешает доступdeny
- запрещает доступsource-addr
- адрес сети или хоста-источника или словоany
(любой источник)source-wildcard
- опциональная 32-битная маска источника с единицами в позициях битов, которые игнорируютсяlog
- опционально выводит в журнал сообщение, включающее номер ACL, принятое решение (принять/отклонить), адрес источника
В расширенных ACL списках пакеты проверяются на основе информации уровней 3 и 4 об источнике и адресе назначения. По сравнению со стандартными расширенные списки ACL предоставляют более гибкие возможности по управлению доступом к сети. Синтаксис создания расширенных нумерованных списков ACL:
access-list {acl-#} {permit | deny} protocol source-addr [source-wildcard] dest-addr [dest-wildcard] [operator port] [established]
, где:
acl-#
- десятичное число в диапазоне 100..199 или 2000..2699permit
- разрешает доступdeny
- запрещает доступprotocol
- имя ил и номер протокола, например: ip, tcp, udp, icmpsource-addr
- адрес сети или хоста-источника илиany
(любой источник)source-wildcard
- опциональная 32-битная маска источника с единицами в позициях битов, которые игнорируютсяdest-addr
- адрес сети или хоста-получателя илиany
(любой получатель)dest-wildcard
- опциональная 32-битная маска получателя с единицами в позициях битов, которые игнорируютсяoperator
- опциональный оператор сравнения, допустимые значения:lt
,gt
,eq
,neq
,range
port
- опциональный номер TCP или UDP портаestablished
- опционально применяет правило только к установленному соединению (только TCP)
Применение ACL к интерфейсу:
Router(config-if)# ip access-group {acl-#} {in|out}
, где:
acl-#
- номер ACLin
- применить к входящему трафикуout
- применить к исходящему трафику
Просмотр ACL: Router# show access-lists