Расширенные списки доступа предоставляют дополнительные возможности при фильтрации пакетов.
Они обеспечивают фильтрацию на основе как IP-адреса отправителя, так и IP-адреса получателя, фильтрацию на основе номера порта протокола и т. д.
Номер расширенного списка доступа может быть представлен значением из диапазана от 100 до 199. Как и в стандартном списке доступа, номер расширенного списка идентифицирует тип списка, а также операторы, из которых он состоит.
Также на сайте sliv.ru можно узнать много интересного на тему http://www.sliv.ru/catalog/. Что означает вообще тема холодильная витрина бу купить - про это написано на сайте sliv.ru. Спасибо сайту за информацию.
В любой момент времени для проверки пакетов, поступающих на один порт маршрутизатора, может использоваться только один список доступа, однако вы можете создать несколько списков доступа и применять их по мере необходимости. Кроме того, для потоков пакетов, входящих и выходящих через один интерфейс, можно применять различные списки доступа.
В списках доступа маршрутизаторов Cisco можно указывать либо имя протокола, либо номер его порта. Например, для управления web-трафиком можно использовать число 80 или идентификатор http, поскольку в обоих случаях идентифицируется TCP-порт, предназначенный для работы с web-трафиком.
Операционной системой Cisco, которая также известна как межсетевая операционная система, поддерживается много дополнительных параметров, которые могут быть добавлены в расширенный список доступа. Например, при использовании ключевого слова 1 од все пакеты, пропущенные в систему, регистрируются в журнале. При использовании в расширенном списке доступа ключевого слова establ ished через интерфейс пропускаются только пакеты, принадлежащие потоку данных уже установленного соединения. Такая фильтрация применяется для ограничения потока пакетов, адресованных хостам сети в ответ на TCP-запросы, которые были ими сгенерированы. Для ее выполнения в заголовке TCP-пакета проверяются поля АСК или RST. К сожалению, в заголовке UDP-пакета эти поля отсутствуют, поэтому ключевое слово establ т shed неприменимо для фильтрации пакетов данного протокола.
Уделим немного внимания методике обработки операторов списка доступа. При проверке пакета операторы списка доступа обрабатываются последовательно сверху вниз до первого соответствия содержимого заголовка пакета параметрам оператора списка доступа. После обнаружения совпадения пакет либо пропускается в сеть, либо отбрасывается — других действий не предусмотрено. Поэтому очень важно при создании списка доступа учитывать не только содержание операторов, но и порядок их перечисления.
Списки доступа, используемые на маршрутизаторах, обеспечивают хороший метод защиты корпоративных сетей от несанкционированного проникновения, но, к сожалению, они не всегда эффективны. В принципе, существует возможность имитировать соединение и тем самым пройти через барьер, установленный с помощью списка доступа. С таким методом взлома можно бороться, запретив, например, пропуск всех пакетов, но это равносильно отключению от Интернета. Кроме того, при фильтрации пакетов посредством списков доступа не проверяется их содержимое. Это означает, что кто-нибудь может попытаться проникнуть в закрытую пользовательскую группу на сервере путем последовательного перебора различных паролей. Данная технология взлома называется атакой со словарем, а для ее выполнения пишется программа, которая в цикле считывает все записи электронного словаря и подставляет их в качестве пароля. С целью преодоления подобных проблем были разработаны устройства сетевой защиты еще одного типа — брандмауэры.
Защита сети с помощью брандмауэров
Брандмауэр обычно устанавливается между маршрутизатором и защищаемой сетью и представляет собой компьютер с двумя сетевыми адаптерами. Один адаптер подключен к концентратору так называемой демилитаризованной сети, другой — к концентратору защищаемой сети. Схема описанного выше подключения приведена ранее
Заметьте, что, поскольку доступ к DMZ-концентратору имеют только маршрутизатор и брандмауэр, весь обмен данными с Интернетом проходит через брандмауэр.
Программным обеспечением брандмауэра осуществляется целый ряд мероприятий, призванных обеспечить защиту сети: проверка содержимого пакета, выполнение прокси-служб, шифрование, аутентификация и генерирование предупреждений. Для проверки подозрительного трафика производится анализ содержимого пакетов с одинаковым ІР-адресом пункта назначения. Предпринимаемые далее действия зависят от конфигурации брандмауэра: или отбрасываются все последующие подозрительные пакеты, или об этой ситуации уведомляется администратор брандмауэра, для чего используется либо пейджинговая связь, либо электронная почта.
Прокси-служба является посредником между хостом, запрашивающим службу, и самой службой и применяется с такими приложениями, как FTP, Telnet. При ее использовании пакеты не проходят беспрепятственно через брандмауэр к пункту назначения, а обслуживаются таковым, после чего отправляются по адресу. Иными словами, брандмауэр обрабатывает запросы на соединения, а это означает, что он функционирует в качестве прокси-службы. Благодаря применению прокси-службы становится возможным на достаточно высоком уровне управлять определенными прикладными службами. Например, многие прокси-службы FTP позволяют задействовать или отключить определенные FTP-команды. В частности, запретив использование команды MGET, вы можете избежать перегрузки участка сети, соединяющего сеть вашей организации с Интернетом, поскольку пользователь, обращающийся к FTP- серверу, может случайно или преднамеренно задать команду MGET *. *, а это приведет к передаче на компьютер всех файлов каталога.
Одной из функций, сравнительно недавно добавленных в арсенал брандмауэра, является выборочное шифрование, позволяющее шифровать только те данные, которые по пути к пункту назначения проходят через определенные сети, оставляя другие данные незашифрованными. Используя выборочное шифрование и аутентификацию, можно создать логический туннель, соединяющий географически удаленные сети вашей организации через Интернет. Создаваемые таким образом виртуальные частные сети приобрели особую популярность, поскольку стали альтернативой дорогим выделенным линиям, оплата за использование которых насчитывается в зависимости от их протяженности и должна вноситься ежемесячно.
Напомним, что оплата доступа к Интернету насчитывается исходя из пропускной способности линии, к которой подключен компьютер, и не зависит от расстояний, преодолеваемых пакетами. Это означает следующее: если организация имеет один офис в Нью-Йорке, а другой в Лос-Анджелесе, то за использование арендованной полосы частот, выделенной в магистрали Т1, организация вынуждена будет ежемесячно платить по 4 доллара за каждую из 2600 миль, разделяющих эти города. При оплате за доступ к Интернету по магистрали Т1 организация будет ежемесячно платить по 1000 долларов за каждый офис. Согласитесь, что перспектива платить по 2000 долларов вместо 10 400 долларов, положенных за использование выделенной линии, весьма привлекательна. |
Главная
Каталог файлов
