Uitgebreide toegangscontrolelijsten (ACL's) - dummies

Met Extended Access Control Lists (ACL's) kunt u verkeer van specifieke IP-adressen toestaan ​​of weigeren naar een IP-adres en poort van een specifieke bestemming. Het biedt u ook de mogelijkheid om verschillende typen verkeer te specificeren, zoals ICMP, TCP, UDP, enz. Het is onnodig om te zeggen dat het erg gedetailleerd is en u in staat stelt zeer specifiek te zijn.

Als u een pakketfilterfirewall wilt maken om uw netwerk te beschermen, is dit een uitgebreide ACL die u moet maken.

Het voorbeeld dat zal worden gebruikt, omvat een router die is verbonden met het 192. 168. 8. 0/24 segment op een interne interface ( FastEthernet 0/0 ) met behulp van adres 192. 168. 8. 1/24, en naar het 10. 0. 2. 0/24 segment op een externe interface ( FastEthernet 0/1 ) met behulp van adres 10. 0. 2. 1 / 24.

In dit geval beheert u het 192. 168. 8. 0/24-netwerk en een onbekende en niet-vertrouwde groep beheert de rest van het netwerk, zoals weergegeven. In dit netwerk wilt u toestaan ​​dat gebruikers alleen toegang hebben tot webservers buiten het netwerk. Om dit te ondersteunen, moet u twee ACL's maken, 101 en 102.

U gebruikt toegangslijst 101 om het verkeer dat het kantoor verlaat en toegangslijst 102 te beheren om verkeer afkomstig van het niet-vertrouwde netwerk naar het kantoor te beheren.

ACL 101 maken

Router1> inschakelen Wachtwoord: router1 # terminal configureren Configuratieopdrachten invoeren, één per regel. Einde met CNTL / Z. Router1 (config) # toegangslijst 101 remark Deze ACL moet het uitgaande routerverkeer regelen. Router1 (config) # toegangslijst 101 staat tcp 192 toe. 168. 8. 0 0. 0. 0. 255 elke eq 80 Router1 (config) # toegangslijst 101 staat tcp 192 toe. 168. 8. 0 0. 0. 0. 255 elke eq 443 Router1 (config) # einde

ACL 102 maken

Router1> enable Wachtwoord: Router1 # terminal configureren Configuratieopdrachten invoeren, één per regel. Einde met CNTL / Z. Router1 (config) # toegangslijst 102 opmerking Deze ACL moet het inkomende routerverkeer regelen. Router1 (config) # toegangslijst 102 laat tcp om het even welke 192. 168. 8. 0 0. 0. 0. 255 vastgesteld Router1 (config) # einde

Als u ACL 101 onderzoekt, is de indeling naar het formaat van de opdracht is als volgt:

• De ACL is nummer 101

• Het staat verkeer toe

• Het staat TCP-verkeer toe

• De bron waarvan dit toegestaan ​​is, wordt gedefinieerd door 192. 168. 8. 0 met een wildcardmasker van 0. 0. 0. 255

• De bestemmingshost is elke host

• Het TCP-verkeer dat is toegestaan, bevindt zich op poort 80

• De tweede regel is hetzelfde, maar hiermee is verkeer op TCP-poort 443 mogelijk

Als u hetzelfde onderzoek doet naar de tweede ACL, ACL 102, moet u eindigen met het volgende:

• De ACL is nummer 102

• Het staat verkeer toe

• Hiermee is TCP-verkeer

• mogelijk bron waarvan het is toegestaan, is elke host

• De doelhost wordt gedefinieerd door 192.168. 8. 0 met een jokerteken van 0. 0. 0. 255

• Het TCP-verkeer dat is toegestaan, is verkeer op een bestaande sessie

Het laatste item op ACL 102 is iets om iets meer naar te kijken. In de volgende illustratie heeft een clientcomputer in het 192. 168. 8. 0/24-netwerk een TCP-sessie met een externe server gemaakt. Deze TCP-sessie had een handshaking-proces dat vastlegde welke poorten zouden worden gebruikt, wat een willekeurig gekozen poort op de client en poort 80 op de server was.

De poort die wordt gebruikt in de ACE is afhankelijk van het bestemmingsadres en in dit geval is de bestemmingspoort een willekeurig gekozen poort op de client. In plaats van te specificeren dat elke mogelijke poort open is, wat niet veilig zou zijn, is de optie om te zeggen dat elke gevestigde sessie op de client is toegestaan. Daarom zal deze ACL, als de client de verbinding opent, toestaan ​​dat het verkeer weer binnenkomt.