Главной функцией, выполняемой маршрутизаторами, была и остается передача пакетов из одной сети в другую.
Но поскольку одна из этих сетей может быть частной, а другая, скажем, Интернетом, маршрутизаторы выступают в роли первой линии обороны, защищая данные закрытой сети.
Также может иметь смысл заглянуть на сайт liga-dostavok.ru, ведь именно там можно узнать много нового на тему http://liga-dostavok.ru/. Тема доставка товаров для интернет магазинов может показаться на первый взгляд незначительной и даже не тематичной. Но стоит посетить сайт liga-dostavok.ru, и тема доставка товаров для интернет магазинов начинает проявлять себя с неожиданной стороны и вызывает всё больший интерес. Дело в том, что тема доставка товаров для интернет магазинов очень подробно представлена на сайте liga-dostavok.ru. Трудно найти более детальное освещение темы доставка товаров для интернет магазинов чем это сделано на сайте liga-dostavok.ru. Спасибо сайту liga-dostavok.ru за такое доскональное преподнесение темы доставка товаров для интернет магазинов.
Конечно, Интернет открывает безграничные источники информации для десятков миллионов пользователей, но этот факт означает и то, что любой пользователь, имеющий доступ к Интернету, способен проникнуть в корпоративную сеть. Таким пользователем могжет быть потенциальный покупатель товаров, предлагаемых через Интернет, либо просто любопытный человек. Но, к сожалению, это может быть и пользователь, пытающейся проникнуть в корпоративную сеть с определенной целью. Как правило, намерения людей, пытающихся это сделать, бывают очень недобрыми, а их самих принято называть хакерами.
Для защиты корпоративных сетей применяются различные методы и используются разные типы сетевого оборудования. Одним из таких методов защиты является обработка списка доступа, выполняемая на маршрутизаторе.
Списки доступа
В этом разделе мы расскажем о фильтрации поступающих на маршрутизатор пакетов с помощью списков доступа.
Список доступа содержит несколько операторов, предназначенных для управления потоком пакетов, которые приходят на порт маршрутизатора. Большинство производителей маршрутизаторов поддерживают два типа списков доступа: стандартный и расширенный. В стандартном, или базисном, списке доступа имеется один или более операторов, состоящих из IP-адреса источника и ключевого слова permit или deny. При поступлении пакета на порт маршрутизатора, где задействована функция защиты, использующая список доступа, проверяется 1Р-ад- рес источника. Если он совпадает с адресом, содержащимся в операторе списка доступа, и в этом операторе указано ключевое слово permit, маршрутизатор пропускает пакет в защищаемую сеть. Но если в операторе указано ключевое слово deny, пакет отбрасывается.
В маршрутизаторах Cisco стандартный список доступа имеет следующий формат:
access-1 іst номер_списка {permit|deny} ІР-адрес маска_адреса
Номером списка может быть любое значение из диапазона от 1 до 99, идентифицирующее группу операторов, принадлежащих одному списку доступа. Маска адреса, состоящая из 32 бит, указанных в десятичном представлении, служит в качестве специального оператора, идентифицирующего конкретный IP-адрес или группу адресов. В отличие от маски подсети значения битов маски адреса трактуются противоположным образом. То есть биты, имеющие значения 0, должны совпадать с битами, находящимися на этих же позициях в проверяемом адресе, а биты, имеющие значения 1, могут не совпадать.
Стандартные списки доступа
Чтобы лучше понять, как используются стандартные списки доступа, рассмотрим следующий пример. Предположим, что сеть вашей организации подключена к Интернету в двух географически удаленных точках. Если сеть А имеет адрес 205.131.195.0, то, для того чтобы сеть Б могла получать пакеты только из сети А, на ее маршрутизаторе должен быть следующий список доступа:
access-1ist 1 permit 205.131.195.0 0.0.0.255
В этом операторе маска адреса выглядит так: 0.0.0.255. Как уже упоминалось выше, значения 0 указывают, что биты адреса соответствующих позиций должны совпадать, а значениям 1 могут соответствовать как единицы, так и нули. Следовательно, поскольку в маске адреса первые 24 бита имеют значение 0, маршрутизатор пропустит в сеть Б только те пакеты, адрес сети которых будет в точности совпадать с IP-адресом, указанным в списке доступа, то есть только пакеты сети А. Последний байт маски имеет в десятичном представлении значение 255, что соответствует записи 11111111 в битовом представлении. Значит, маршрутизатор пропустит в сеть Б пакеты, отправленные любым компьютером сети А.
Следует отметить одну важную деталь, относящуюся к этому примеру, — оператор разрешает принять пакеты, поступающие из сети 205.131.195.0, однако здесь нет ни одного оператора, который бы запрещал маршрутизатору пропускать определенные пакеты. Большинство маршрутизаторов, в том числе и Cisco, сконфигурированы так, что в их списках доступа запрещается пропускать все пакеты, кроме тех, которые явно определены в операторах с ключевым словом permit. То есть можно считать, что в списках доступа после операторов permit следует бесконечная последовательность «скрытых» операторов deny.
Давайте рассмотрим еще несколько примеров. Предположим, что вы хотите пропускать в вашу сеть только пакеты, отправляемые хостом, IP-адрес которого 205.131.195.12. Для этого укажите в списке доступа следующий оператор:
access-11st 1 permit 205.131.195.12 0.0.0.0
Если ввод маски адреса 0.0.0.0 при работе с маршрутизатором Cisco вам покажется скучным занятием, то вместо этой последовательности нулей и точек можно воспользоваться ключевым словом host. Иными словами, предыдущий оператор может быть записан так:
access-list 1 permt host 205.131.195.12
Наряду с ключевым словом host в маршрутизаторах Cisco возможно применение ключевого слова any, позволяющего принимать пакеты, отправленные любым хостом.
Это ключевое слово заменяет и IP-адрес, и маску адреса; оно эквивалентно последовательности 0.0.0.0 255.255.255.255. |
Главная
Каталог файлов
