logo search
Программа Сетевой академии Cisco CCNA 3 и 4 (Вс

Фильтры пакетов

Фильтры пакетов могут устанавливаться на маршрутизаторах и серверах для того, чтобы принимать или отвергать пакеты с конкретных адресов или от заданных служб. Фильтры пакетов усиливают действие механизмов аутентификации и автори­зации. Они помогают защитить сетевые ресурсы от несанкционированного исполь­зования, кражи информации, от разрушения данных и DoS-атак.

Политика безопасности должна указывать, должны ли фильтры пакетов выпол­нять одну из приведенных ниже функций.

Первая функция требует глубокого понимания характера возможных угроз безо­пасности и может оказаться трудной в реализации. Вторая функция легче реализует­ся и обеспечивает более высокий уровень безопасности, поскольку администратору по вопросам безопасности не обязательно заранее знать тип атак на сеть, пакеты ко­торых должны быть отвергнуты. Вторую функцию также легче тестировать, по­скольку количество разрешенных способов использования сети конечно. Для эф­фективной реализации второй функции необходимо глубокое понимание требова­ний сети в сфере безопасности. Для определения типов пакетов, которые должны приниматься проектировщик сети должен работать в тесном контакте с администра­тором по вопросам безопасности.

Устройства Cisco реализуют вторую функцию в фильтрах пакетов, которые Cisco называет списками управления доступом (access control listACL). Список ACL на маршрутизаторе или коммутаторе, на котором функционирует операционная систе­ма Cisco IOS (Cisco Internetwork Operating System — IOS), всегда содержит неявную команду deny-any в конце. Конкретные команды permit и deny обрабатываются до неявной директивы deny-any (Директива является неявной поскольку в дейст­вительности администратору не обязательно вводить ее в явном виде, хотя рекомен­дуется делать это для того, чтобы сделать список более наглядным).

Списки ACL позволяют пересылать или блокировать на интерфейсах маршрути­заторов или коммутаторов передаваемые по сети данные. Определения списков ACL задают критерии, применяемые к пакетам, поступающим на интерфейс или отправ­ляемым с него. Типичными критериями являются адрес источника, адрес получате­ля или протокол верхнего уровня пакета.

Поскольку программное обеспечение IOS Cisco проверяет соответствие пакета каждому критерию до тех пор пока такое соответствие не будет найдено, для дости­жения высокой производительности сети списки ACL должны составляться внима­тельно и аккуратно. Изучив характер потоков данных можно составить список дос­тупа так, чтобы большинство пакетов удовлетворяли критериям в начальной части списка. Уменьшение количества условий, которые приходится проверять для каж­дого пакета повышает пропускную способность сети. Рекомендуется располагать в верхней части списка наиболее общие директивы, а более специфичные — в ниж­ней части; последней директивой является неявная команда denyany.