- •Уральский государственный Технический университет
- •2. Стандартные списки доступа
- •Ip access-group номер acl in | out
- •192.168.1.1 192.168.5.4
- •Interface ethernet e0
- •Ip access-group 2 in
- •3. Просмотр и редактирование acl
- •Show running-config
- •4. Расширенные списки доступа
- •Применение в правилах ключевого слова tcp
- •Interface ethernet e0
- •Применение в правилах ключевого слова icmp
- •Interface ethernet e0
- •Ip access-group 106 in
- •5. Исследовательская составная ip-сеть и подготовка ее к работе
- •6. Задачи защиты сетей с применением acl
- •Содержание отчета
- •Библиографический список
4. Расширенные списки доступа
Расширенные списки в принципе подобны стандартным, только содержат больше контролируемых параметров. Правило фильтрации IP-пакета для расширенного списка определяется следующим общим выражением:
access-list номер ACL deny | permit протокол адр.шаблон отправ.адр.шаблон получат. [дополнит.спецификации протокола верхн.уровня]
Здесь:
номер ACL – любой номер из диапазона100…199 или2000…2699;
протокол – один из протоколовtcp (6),udp (17),icmp (1),ospf (89),ip (0)и некоторые др.Internet-протоколы. Можно указывать или имя протокола или его числовой код (приведен в скобках). Если правило относится к любому протоколу, то указывается протоколip.
адр.шаблон отправ.иадр.шаблон получат.– это пары <адрес отправителяспец.маска адреса> и <адрес получателяспец.маска адреса>. Работа с адресными шаблонами рассмотрена в разделе 2;
дополнительные спецификации – зависят от конкретного протокола, указанного в полепротокол. Дляtcp,udp,icmpэти спецификации приведены ниже.
Проходящий пакет проверяется на совпадение со всемипараметрами, указанными в текущем правиле. При полном совпадении выполняется, как обычно, предписанное в правиле действие. Если совпадения нет хотя бы с одним параметром, то данное прави-ло игнорируется и рассматривается следующее.
В конец ACLавтоматически так же помещается неотображаемая команда:
access-list номер ACL deny ip any any
Активизация расширенного списка производится такой же командой, какой активи-зируется стандартный ACL.
Остановимся на специфике определения правил ACLдля фильтрацииIP-пакетов с контролем параметров протоколов верхнего уровняtcp,udp,icmp, как наиболее важных и применяемых чаще других.
Применение в правилах ключевого слова tcp
access-list номер ACL deny | permit tcp адр.шаблон отправ. [оператор порт отправ.] адр.шаблон получат. [оператор порт получат.] [established]
Здесь:
порт отправ.,порт получат. –TCP-порты отправителя и получателя. Порт можно указывать или символьным именем, или его числовым кодом (0-65535). Некоторые общеизвестные имена портов и их коды (в скобках):
ftp-data(20)FTP-данные;ftp(21)FTP-управление;telnet(23)Telnet-сервер;smtp(25) Почтовый сервер;domain(53) СерверDNS;www(80)Web-сервер;
оператор – один из операторов сравнения:lt (меньше, чем),eq(равно),gt(больше, чем),neq(не равно),range (для указания диапазона номеров портов, на- пример,range 20 21);
established – ключевое слово, требующее проверки того, установлен ли битack(под- тверждение) илиrst(рестарт) в заголовке сегмента, проходящего в соста- веIP-пакета. ЕслиTCP-соединение уже существует, то как известно, битack всегда установлен. Если соединение только запрашивается, то битack сброшен (установлен только битsyn- синхронизация счетчиков байтов).
Пример 3. В сети (рис.1) разрешить доступ пользователей подсети 192.168.5.0 кFTP-,WWW- и файл-серверам подсети 192.168.1.0. Пользователям другой подсети дос-туп к подсети 192.168.5.0 запретить. Возможное решение задачи:
access-list 103 permit tcp any any established