în lumea rețelelor de calculatoare, un ACL este una dintre cele mai fundamentale componente ale securității.

o listă de control al accesului ” ACL ” este o funcție care urmărește traficul de intrare și de ieșire și o compară cu un set de declarații definite.în acest articol, vom aprofunda funcționalitatea ACL-urilor și vom răspunde la următoarele întrebări frecvente despre ACL-uri?

  1. ce este o listă de control acces?
  2. De ce să folosiți un ACL?,
  3. unde puteți plasa un ACL?
  4. care sunt componentele unui ACL?
  5. care sunt tipurile de ACL-uri?
  6. cum să implementați un ACL pe un Router?

ce este o listă de control acces?

listele de control al accesului „ACL-urile” sunt filtre de trafic de rețea care pot controla traficul de intrare sau de ieșire.

ACL-urile funcționează pe un set de reguli care definesc modul de redirecționare sau blocare a unui pachet la interfața routerului.

un ACL este același cu un Firewall apatrid, care restricționează, blochează sau permite doar pachetele care curg de la sursă la destinație.,

când definiți un ACL pe un dispozitiv de rutare pentru o anumită interfață, tot traficul care curge prin va fi comparat cu instrucțiunea ACL, care fie va bloca sau permite.criteriile pentru definirea regulilor ACL ar putea fi sursa, destinația, un protocol specific sau mai multe informații.

ACL-urile sunt comune în routere sau firewall-uri, dar le pot configura și în orice dispozitiv care rulează în rețea, de la gazde, dispozitive de rețea, servere etc.

De ce să folosiți un ACL?

ideea principală a utilizării unui ACL este de a oferi securitate rețelei dvs., Fără aceasta, orice trafic este permis să intre sau să iasă, făcându-l mai vulnerabil la traficul nedorit și periculos.pentru a îmbunătăți securitatea cu un ACL, puteți, de exemplu, să refuzați anumite actualizări de rutare sau să asigurați controlul fluxului de trafic.

după Cum se arată în imaginea de mai jos, dispozitiv de dirijare a un ACL care este refuzarea accesului la gazdă C în rețea Financiară, și, în același timp, este de a permite accesul la gazdă D.

Cu un ACL puteți filtra pachetele pentru un singur sau un grup de adrese IP sau protocoale diferite, cum ar fi TCP sau UDP.,de exemplu, în loc să blocați o singură gazdă în echipa de inginerie, puteți refuza accesul la întreaga rețea și puteți permite doar una. Sau puteți restricționa, de asemenea, accesul la gazdă C.

dacă inginerul de la gazdă C, trebuie să acceseze un server web situat în rețeaua financiară, puteți permite doar portul 80 și puteți bloca orice altceva.

unde puteți plasa un ACL?

dispozitivele care se confruntă cu rețele externe necunoscute, cum ar fi Internetul, trebuie să aibă o modalitate de a filtra traficul. Deci, unul dintre cele mai bune locuri pentru a configura un ACL este pe routerele edge.,un dispozitiv de rutare cu un ACL poate fi plasat cu fața la Internet și conectând DMZ (zona de-militarizată), care este o zonă tampon care împarte Internetul public și rețeaua privată.DMZ este rezervat serverelor care au nevoie de acces din exterior, cum ar fi servere Web, servere de aplicații, servere DNS, VPN-uri etc.după cum se arată în imaginea de mai jos, designul arată un DMZ împărțit la două dispozitive, unul care separă zona de încredere de DMZ și altul care o separă de Internet (Rețea publică).,

routerul cu care se confruntă internetul acționează ca un gateway pentru toate rețelele externe. Acesta oferă securitate generală prin blocarea subrețele mai mari de la a ieși sau în.de asemenea, puteți configura un ACL în acest router pentru a vă proteja împotriva anumitor porturi cunoscute (TCP sau UDP).routerul intern, situat între DMZ și zona de încredere, poate fi configurat cu reguli mai restrictive pentru a proteja rețeaua internă. Cu toate acestea, acesta este un loc minunat pentru a alege un firewall stateful peste un ACL.

dar de ce este mai bine să plasați un ACL vs., Firewall de stat pentru a proteja DMZ?

ACL-urile sunt configurate direct în hardware-ul de redirecționare al unui dispozitiv, astfel încât să nu compromită performanța finală.

plasarea unui firewall stateful pentru a proteja un DMZ poate compromite performanța rețelei.

alegerea unui router ACL pentru a proteja activele de înaltă performanță, cum ar fi aplicațiile sau serverele, poate fi o opțiune mai bună. Deși este posibil ca ACL-urile să nu ofere nivelul de securitate pe care îl oferă un firewall stateful, acestea sunt optime pentru punctele finale din rețea care au nevoie de viteză mare și de protecție necesară.

care sunt componentele unui ACL?,

implementarea pentru ACL-uri este destul de similară în majoritatea platformelor de rutare, toate având orientări generale pentru configurarea acestora.nu uitați că un ACL este un set de reguli sau intrări. Puteți avea un ACL cu intrări unice sau multiple, în cazul în care fiecare dintre ele ar trebui să facă ceva, poate fi pentru a permite totul sau bloca nimic.când definiți o intrare ACL, veți avea nevoie de informațiile necesare.

  1. număr secvență:
    identificați o intrare ACL folosind un număr.
  2. nume ACL:
    definiți o intrare ACL folosind un nume., În loc să folosească o secvență de numere, unele routere permit o combinație de Litere și numere.
  3. observație:
    unele routere vă permit să adăugați comentarii într-un ACL, ceea ce vă poate ajuta să adăugați descrieri detaliate.
  4. declarație:
    neagă sau permite o anumită sursă bazată pe adresa și masca wildcard. Unele dispozitive de rutare, cum ar fi Cisco, configurează implicit o declarație de refuzare implicită la sfârșitul fiecărui ACL în mod implicit.
  5. protocol de rețea:
    specificați dacă deny / permis IP, IPX, ICMP, TCP, UDP, NetBIOS, și mai mult.,
  6. sursă sau destinație:
    definiți sursa sau destinația țintă ca un singur IP, un interval de adrese (CIDR) sau toate adresele.
  7. jurnal:
    unele dispozitive sunt capabile să păstreze jurnalele atunci când se găsesc potriviri ACL.
  8. alte criterii:
    ACL-urile avansate vă permit să utilizați controlul traficului prin prioritatea tipului de serviciu (ToS), IP precedence și servicii diferențiate codepoint (DSCP).

care sunt tipurile de ACL-uri?există patru tipuri de ACL-uri pe care le puteți utiliza în scopuri diferite, acestea sunt ACL-uri standard, extinse, dinamice, reflexive și bazate pe timp.,

standard ACL

standardul ACL are scopul de a proteja o rețea folosind doar adresa sursă.este tipul cel mai de bază și poate fi folosit pentru implementări simple, dar, din păcate, nu oferă o securitate puternică. Configurația pentru un ACL standard pe un router Cisco este următoarea:

ACL extins

cu ACL extins, puteți bloca, de asemenea, sursa și destinația pentru gazde unice sau rețele întregi.de asemenea, puteți utiliza un ACL extins pentru a filtra traficul pe baza informațiilor protocolului (IP, ICMP, TCP, UDP).,configurarea unui ACL extins într-un router Cisco pentru TCP este următoarea:

ACL dinamic

ACL dinamic, se bazează pe ACL-uri extinse, Telnet și autentificare. Acest tip de ACL-uri sunt adesea denumite „blocare și cheie” și pot fi utilizate pentru intervale de timp specifice.aceste liste permit accesul unui utilizator la o sursă sau destinație numai dacă utilizatorul se autentifică pe dispozitiv prin Telnet.ceea ce urmează este configurația unui ACL dinamic într-un router Cisco.,

Reflexive ACL

Reflexive ACL sunt, de asemenea, denumite ACL-uri de sesiune IP. Aceste tipuri de ACL-uri, trafic filtru bazat pe informații sesiune strat superior.ei reacționează la sesiunile originare din interiorul routerului pentru a permite traficul de ieșire sau pentru a restricționa traficul de intrare. Routerul recunoaște traficul ACL de ieșire și creează o nouă intrare ACL pentru intrare.

când sesiunea se termină, intrarea este eliminată.,configurarea unui ACL reflexiv într-un router Cisco este următoarea:

cum să implementați un ACL pe Router?

înțelegerea traficului de intrare și ieșire (sau de intrare și de ieșire) într-un router este esențială pentru implementarea corectă a ACL.când setați reguli pentru un ACL, toate fluxurile de trafic se bazează pe punctul de vedere al interfeței routerului (nu pe celelalte rețele).după cum puteți vedea din imaginea de mai jos, traficul ingress este fluxul care vine dintr-o rețea, fie că este externă sau internă, în interfața routerului., Traficul de ieșire, pe de altă parte, este fluxul de la interfață care iese într-o rețea.

pentru ca un ACL să funcționeze, aplicați-l pe interfața unui router. Deoarece toate deciziile de rutare și redirecționare sunt luate din hardware-ul routerului, declarațiile ACL pot fi executate mult mai rapid.

când creați o intrare ACL, adresa sursă merge mai întâi, iar destinația merge după. Luați exemplul configurației ACL extinse pentru IP pe un Router Cisco. Când creați o regulă de refuz/permis, trebuie să definiți mai întâi sursa și apoi IP-ul de destinație.,

fluxul de intrare este sursa tuturor gazdelor sau rețelei, iar ieșirea este destinația tuturor gazdelor și rețelelor.

care este sursa dacă doriți să blocați traficul care vine de pe Internet? nu uitați că traficul de intrare vine din rețeaua exterioară către interfața routerului.deci, sursa este o adresă IP de pe Internet (o adresă IP publică a serverului web) sau totul (masca wildcard din 0.0.0.0), iar destinația este o adresă IP internă.,dimpotrivă ,ce se întâmplă dacă ce să blocați o gazdă specifică pentru a vă conecta la Internet?

traficul de intrare vine din rețeaua interioară către interfața routerului și iese pe Internet. Deci sursa este IP – ul de la gazda internă, iar destinația este adresa IP de pe Internet.

rezumat

ACL-urile sunt filtrele de pachete ale unei rețele.acestea pot restricționa, permite sau refuza traficul care este esențial pentru securitate., Un ACL vă permite să controlați fluxul de pachete pentru o singură sau un grup de adrese IP sau diferite pentru protocoale, cum ar fi TCP, UDP, ICMP etc.plasarea unui ACL pe o interfață greșită sau schimbarea greșită a sursei/destinației poate crea un impact negativ asupra rețelei. O singură declarație ACL poate lăsa o întreagă afacere fără Internet.pentru a evita performanța negativă este esențial să înțelegeți fluxurile de trafic de intrare și de ieșire, cum funcționează ACL-urile și unde să le plasați., Amintiți-vă că un router de locuri de muncă este de a transmite trafic prin interfața dreapta, astfel încât un flux poate fi fie vine (inbound) sau ieși (outbound).deși un firewall stateful oferă o securitate mult mai bună, acestea pot compromite performanța rețelei. Dar un ACLs este implementat chiar pe interfață, iar routerul își folosește capacitățile hardware pentru a-l procesa, făcându-l mult mai rapid și oferind în continuare un nivel bun de securitate.