Файловый архив студентов. Файловый архив студентов.
1305 вузов, 5172 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный университет Львовская политехника
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
dpksm_part2_1(1-210).doc
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
25.21 Mб
Скачать
►Содержание►

Вашингтонський проект: списки керування доступом

У справжній главі наведені основні поняття й команди файлу конфігурації, які будуть полезны при використанні списків керування доступом у Вашингтонському проекті. Крім того, у міру введення понять і команд, пов'язаних з використанням списків керування доступом, стане можливим їхнє застосування при проектуванні й реалізації цієї мережі.

Огляд списків керування доступом

Списки керування доступом являють собою набір інструкцій, застосовуваних до інтерфейсу маршрутизатора. Вони вказують маршрутизатору, які пакети слід прийняти, а які відкинути. Розв'язок про це може ґрунтуватися на певних критеріях, таких як адреса джерела, адреса одержувача або номер порту.

Списки керування доступом дозволяють управляти потоком даних і обробляти конкретні пакети шляхом угруповання інтерфейсів пунктів призначення в списку доступу. При такім угрупованні на інтерфейсі встановлюється відповідна конфігурація, після чого всі минаючі через нього дані тестуються й перевіряйся на відповідність умовам, що втримуються в списку.

Списки керування доступом можуть бути створені для всіх маршрутизируемых мережних протоколів, таких, наприклад, як Internet Protocol (IP) або Internetwork Packet exchange (IPX) з метою фільтрації пакетів у міру їх вступу на маршрутизатор. Для списків керування може бути встановлена конфігурація, що дозволяє управляти доступом у мережу або подсеть. Наприклад, у Вашингтонському навчальному окрузі списки можуть бути використані для відділення потоків даних студентів від інформації, розповсюджуваної в адміністративній мережі.

Списки керування доступом фільтрують потік даних за допомогою розв'язку питання про те, чи направити пакет далі або заблокувати його на інтерфейсі. Кожний пакет досліджується на його відповідність умовам, наявним у списку. У якості умов можуть виступати адреса джерела, адреса одержувача, протокол більш високого ровня або інша інформація.

Список керування доступом повинен складатися для кожного окремого протоколу. Іншими словами, для кожного протоколу, використовуваного на інтерфейсі маршрутизатора, повинен бути складений список, який буде регулювати проходження потоку даних для цього протоколу. Відзначимо, що в деяких протоколах списки керування доступом називаються фільтрами. Наприклад, якщо інтерфейс маршрутизатора сконфигурирован для IP, Appletalk і IPX, те необхідно буде визначити, щонайменше, три списки керування доступом. Як показано на мал. 6.1, списки можуть бути використані в якості гнучкого засобу фільтрації пакетів, що надходять на інтерфейс маршрутизатора або, що відправляються з нього.

Рис. 6.1. Використання списків керування доступом дозволяє виповнити тестування пакетів на основі адресації або типа потоку даних і на цій основі дозволити аба закрити доступ потоку даних на маршрутизатор або вихід з нього

Вашингтонський проект: рекомендації із забезпечення безпеки

Проектування локальної мережі для Вашингтонського навчального округу вимагає, щоб кожна школа мала дві мережі — одну для студентів, а іншу для адміністрації. Кожний конкретний сегмент повинен бути приєднаний до окремого Ethernet-Порту маршрутизатора й обслуговуватися ім. Міркування безпеки вимагають створити списки керування доступом, які б перешкоджали доступу студентів до адміністративного сегмента мережі, залишаючи разом з тим можливість доступу адміністративного персоналу до студентського сегмента.

Єдиним виключенням із цього правила є те, що маршрутизатор повинен надавати всім користувачам доступ до сервера системи доменних імен (Domain Name System, DNS) і до повідомлень електронної пошти на сервері DNS/email, розташованому в адміністративному сегменті. Цей потік даних починається в локальній мережі, до якого мають доступ студенти. Отже, якщо студент працює в Web і йому потрібно, щоб Dns-Сервер перетворив імена хостов, те список керування доступом повинен дозволити йому це. Крім того, цей список дозволяє студентам одержувати й відправляти електронну пошту.

Причини створення списків керування доступом

Для створення списків керування доступом є багато причин, деякі з них перераховані нижче.

• Для обмеження потоку даних у мережі й підвищення її ефективності. Зокрема, списки можуть бути використані для того, щоб деякі пакети якого-небудь протоколу оброблялися маршрутизатором раніше інших. Таке явище називається черговістю (queuing) і використовується для того, щоб маршрутизатор не обробляв пакети, які в цей момент не є необхідними. Установка черговості обмежує потік даних у мережі й зменшує ймовірність перевантаження.

• Для керування потоком даних. Наприклад, з помошью списків можна обмежити або зменшити кількість повідомлень про зміни в мережі. Ці обмеження використовуються для запобігання поширення інформації про окремі мережі на всю мережу.

  • Для забезпечення базового рівня захисту від несанкціонованого доступу. Наприклад, списки дозволяють дозволити одному хосту доступ до деякого сегмента мережі, а іншому закрити доступ до цієї ж області. На мал. 6.2 показане, що хосту А дозволений доступ до мережі користувачів, а хосту В такий доступзапрещен. Якщо на маршрутизаторі не встановлений список керування доступом, то всі пакети, що проходять через маршрутизатор, надходять в усі частини мережі.

  • Для визначення типу даних, які будуть направлятися далі або блокуватися на інтерфейсі маршрутизатора. Наприклад, можна дозволити маршрутизацію електронної пошти й у той же час заблокувати весь потік данныхпротокола Telnet.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности