Лекция 14. Сетевые фильтры
14.1. Функционирование списков доступа
Сетевой администратор должен иметь возможность управления потоком данных, обеспечивая доступ к требуемым ресурсам зарегистрированным пользователям и запрещая нежелательный доступ к сети. Для защиты информации широко используются пароли, криптографирование передаваемой информации, физические устройства безопасности. Наряду с перечисленными устройствами и методами для повышения гибкости фильтрации трафика широко применяются сетевые фильтры или списки доступа (Access Lists – ACL), которые способствуют эффективности и оптимизации сети. Списки доступа могут использоваться, чтобы разрешать (permit) или запрещать (deny) продвижение пакетов через маршрутизатор, разрешать или запретить доступ в сеть информации из Интернета, а также по командам Telnet.
Списки доступа ACL могут быть созданы для всех сетевых протоколов, функционирующих на маршрутизаторе, например, IP или IPX, и устанавливаются на интерфейсах маршрутизаторов. Запрет или разрешение сетевого трафика через интерфейс маршрутизатора реализуется на основании анализа совпадения определенных условий. Для этого списки доступа представляются в виде последовательных записей, в которых используют адреса и протоколы. Сетевые фильтры (списки доступа) создаются для входящих или исходящих пакетов на основании адреса источника, адреса назначения, протокола и номера порта верхнего уровня, указанных в списке доступа ACL (рис. 14.1).
Списки доступа должны быть определены для каждого установленного на интерфейсе протокола и для каждого направления сетевого трафика (исходящего и входящего). Поэтому для входящего и исходящего трафиков через интерфейс создаются отдельные списки. Например, для двух интерфейсов маршрутизатора, сконфигурированных для трех протоколов (IP, AppleTalk и IPX), может быть создано 12 отдельных списков доступа (на каждом интерфейсе по 6 списков, 3 для входящего и 3 для исходящего трафика).
Рис. 14.1. Принятие решения при тестировании пакета
Списки доступа повышают гибкость сети. Например, списки, ограничивающие видео трафик, могут уменьшить нагрузку сети и повысить ее пропускную способность для передачи данных или аудио сигналов. Можно определить, какие типы трафика могут быть отправлены, а какие заблокированы в интерфейсах маршрутизатора, например, можно разрешить маршрутизацию электронной почте, но блокировать трафик Telnet. Можно использовать разрешение или запрет доступа различным типам файлов, таким как FTP или HTTP.
Если списки доступа не формируются на маршрутизаторе, то все проходящие через маршрутизатор пакеты, будут иметь доступ к сети.
Список доступа ACL составляется из утверждений (условий), которые определяют, следует ли пакеты принимать или отклонять во входных и выходных интерфейсах маршрутизатора. Программное обеспечение IOS Cisco проверяет пакет последовательно по каждому условию. Если условие, разрешающее продвижение пакета, расположено наверху списка, никакие условия, добавленные ниже его, не будут запрещать продвижение пакета. Если в списке доступа необходимы дополнительные условия, то список целиком должен быть удален и создан новый с новыми условиями.
Функционирование маршрутизатора по проверке соответствия принятого пакета требованиям списка доступа производится следующим образом. Когда кадр поступает на интерфейс, маршрутизатор проверяет МАС-адрес. Если адрес назначения соответствует адресу интерфейса, то маршрутизатор извлекает (декапсулирует) из кадра пакет и проверяет его на соответствие условиям списка ACL входного интерфейса. При отсутствии запрета или отсутствии списка доступа пакет инкапсулируется в новый кадр второго уровня и отправляется интерфейсу следующего устройства.
Проверка условий (утверждений) списка доступа производится последовательно. Если текущее утверждение верно, пакет обрабатывается в соответствие с командами permit или deny списка доступа, остальная часть условий ACL не проверяется. Если все утверждения ACL неверны, то неявно заданная по умолчанию команда deny any (запретить все остальное) в конце списка не позволит передавать дальше по сети несоответствующие пакеты.
Существуют разные типы списков доступа: стандартный (standard ACLs), расширенный (extended ACLs) и именованный (named ACLs). Когда список доступа конфигурируются на маршрутизаторе, каждый список должен иметь уникальный идентификационный номер. Это число идентифицирует тип созданного списка доступа и должно находиться в пределах определенного диапазона, заданного для этого типа списка (табл.14.1).
Таблица 14.1
Диапазоны идентификационных номеров списков доступа
| Диапазон номеров | Название списка доступа |
| 1-99 | IP standard access-list |
| 100-199 | IP extended access-list |
| 1300-1999 | IP standard access-list (extended range) |
| 2000-2699 | IP extended access-list (extended range) |
| 600-699 | Appletalk access-list |
| 800-899 | IPX standard access-list |
| 900-999 | IPX extended access-list |
Стандартные списки доступа (Standard access lists) для принятия решения в IP пакете анализируется только адрес источника сообщения, чтобы фильтровать сеть (IPX стандарт может фильтровать как адрес источника, так и назначения).
Расширенные списки доступа (Extended access lists) проверяют как IP-адрес источника, так и IP-адрес назначения, поле протокола в заголовке пакета Сетевого уровня и номер порта в заголовке Транспортного уровня.
Таким образом, для каждого протокола, для каждого направления трафика и для каждого интерфейса может быть создан свой список доступа. Исходящие фильтры не затрагивают трафик, который идет из местного маршрутизатора.
Из рекомендаций по установке списков доступа можно отметить следующее. Стандартные списки доступа рекомендуется устанавливать по возможности ближе к адресату назначения, а расширенные – ближе к источнику. Поэтому стандартные списки доступа должны блокировать устройство назначения и располагаться поближе к нему, а расширенные списки доступа должны быть установлены близко к источнику сообщений.
Список доступа производит фильтрацию пакетов по порядку, поэтому в строках списков следует задавать условия фильтрации, начиная от специфических условий до общих. Условия списка доступа обрабатываются последовательно от вершины списка к основанию, пока не будет найдено соответствующее условие. Если никакое условие не найдено, то тогда пакет отклоняется и уничтожается, поскольку неявное условие deny any (запретить все остальное) есть в конце любого списка доступа. Не удовлетворяющий списку доступа пакет протокола IP будет отклонен и уничтожен, при этом отправителю будет послано сообщение ICMP. Новые записи (линии) всегда добавляются в конце списка доступа.
- Федеральное агентство связи
- Государственное образовательное учреждение высшего профессионального образования «Поволжский государственный университет телекоммуникаций и информатики»
- Оглавление
- Предисловие Настоящий курс лекций предназначен для студентов дневной и заочной форм обучения, изучающих аналогичную дисциплину, специальностей:
- Введение
- Лекция 1. Основы построения сетей
- 1.1. Основы сетевых технологий
- 1.2. Классификация сетей передачи данных
- 1.3. Семиуровневая модель взаимодействия открытых систем
- Контрольный тест по Лекции 1
- Лекция 2. Верхние уровни моделей osi, tcp/ip
- 2.1. Прикладной уровень
- Система доменных имен dns
- Протокол http
- Протоколы передачи файлов ftp и tftp
- Протокол разделения сетевых ресурсов smb
- Приложение peer-to-peer (p2p)
- Протоколы передачи электронной почты
- Протокол удаленного доступа Telnet
- 2.2. Транспортный уровень моделей osi, tcp/ip
- Установление соединения
- Управление потоком данных
- Контрольный тест по Лекции 2
- Лекция 3. Нижние уровни модели сети
- 3.1. Физический уровень. Медные кабели
- 3. 2. Волоконно-оптические кабели
- 3.3. Беспроводная среда
- 3.4. Топология сетей
- Контрольный тест по Лекции 3
- Лекция 4. Канальный уровень. Локальные сети
- 4.1. Подуровни llc и mac
- 4.2. Локальные сети технологии Ethernet
- 4.3. Коммутаторы в локальных сетях
- Режимы коммутации
- Протокол охватывающего дерева (Spanning-Tree Protocol)
- Контрольный тест по Лекции 4
- Лекция 5. Ethernet-совместимые технологии
- 5.1. Технология Fast Ethernet
- 5.2. Технология Gigabit Ethernet
- 5.3. Технология 10-Gigabit Ethernet
- Контрольный тест по Лекции 5
- Лекция 6. Принципы и средства межсетевого взаимодействия
- 6.1. Маршрутизаторы в сетевых технологиях
- 6.2. Принципы маршрутизации
- Протокол arp
- Контрольный тест по Лекции 6
- Лекция 7. Адресация в ip - сетях
- 7.1. Логические адреса версии iPv4
- 7.2. Формирование подсетей
- 7.3. Частные и общедоступные адреса
- Контрольный тест по Лекции 7
- Лекция 8. Функционирование маршрутизаторов
- 8.1. Назначение ip-адресов
- 8.2. Передача данных в сетях с маршрутизаторами
- 8.3. Сетевые протоколы. Формат пакета протокола ip
- Контрольный тест по Лекции 8
- Лекция 9. Протоколы маршрутизации
- 9.1. Общие сведения о маршрутизирующих протоколах
- 9.2. Протоколы вектора расстояния и состояния канала
- Меры борьбы с маршрутными петлями
- Контрольный тест по Лекции 9
- Лекция 10. Основы конфигурирования маршрутизаторов
- 10.1. Режимы конфигурирования маршрутизаторов
- 10.2. Создание начальной конфигурации маршрутизатора
- 10.3. Конфигурирование интерфейсов
- Контрольный тест по Лекции 10
- Лекция 11. Конфигурирование маршрутизации
- 11.1. Конфигурирование статической маршрутизации
- Конфигурирование статической маршрутизации по умолчанию
- 11.2. Конфигурирование конечных узлов и верификация сети
- 11.3. Динамическая маршрутизация. Конфигурирование протокола rip
- Конфигурирование динамической маршрутизации по умолчанию
- Контрольный тест по Лекции 11
- Лекция 12. Протокол маршрутизации eigrp
- 12.1. Общие сведения о протоколе eigrp
- 12.2. Конфигурирование протокола eigrp
- Контрольный тест по Лекции 12
- Лекция 13. Протокол маршрутизации ospf
- 13.1. Общие сведения о протоколе ospf
- Метрика протокола ospf
- 13.2. Конфигурирование протокола ospf
- Контрольный тест по Лекции 13
- Лекция 14. Сетевые фильтры
- 14.2. Конфигурирование стандартных списков доступа
- 14.3. Конфигурирование расширенных списков доступа
- Для этого создается список доступа:
- Именованные списки доступа
- Контроль списков доступа
- Контрольный тест по Лекции 14
- Лекция 15. Конфигурирование коммутаторов
- 15.1. Общие вопросы конфигурирования коммутаторов
- Адресация коммутаторов, конфигурирование интерфейсов
- 15.2. Управление таблицей коммутации
- 15.3. Конфигурирование безопасности на коммутаторе
- Контрольный тест по Лекции 15
- Лекция 16. Виртуальные локальные сети
- 16.1. Общие сведения о виртуальных сетях
- 16.2. Конфигурирование виртуальных сетей
- 16.3. Маршрутизация между виртуальными локальными сетями
- Конфигурирование транковых соединений
- Контрольный тест по Лекции 16
- Заключение
- Список литературы
- Список терминов и сокращений