Скачать презентацию Управление IP трафиком Списки доступа и их использование Скачать презентацию Управление IP трафиком Списки доступа и их использование

ACL.ppt

  • Количество слайдов: 34

Управление IP трафиком Списки доступа и их использование Управление IP трафиком Списки доступа и их использование

Цели • Протоколы транспортного уровня • Фильтрация трафика и списки доступа Access Control Lists Цели • Протоколы транспортного уровня • Фильтрация трафика и списки доступа Access Control Lists (ACL) • Использование wildcard маски • Конфигурация ACL • Создание и применение ACL для управления трафиком • Логгирование ACL активностей и применение ACL best practices

Роль протоколов транспортного уровня • Протоколы транспортного уровня передают данные между приложениями Роль протоколов транспортного уровня • Протоколы транспортного уровня передают данные между приложениями

Роль протоколов транспортного уровня • Надежная доставка данных • Быстрая доставка данных Роль протоколов транспортного уровня • Надежная доставка данных • Быстрая доставка данных

Заголовки протоколов TCP и UDP Заголовки протоколов TCP и UDP

Применение и функционирование TCP • Роль портов в установлении TCP сессии Применение и функционирование TCP • Роль портов в установлении TCP сессии

Функционирование TCP • Этапы установления TCP сессии Функционирование TCP • Этапы установления TCP сессии

Функционирование TCP • Этапы терминирования TCP сессии Функционирование TCP • Этапы терминирования TCP сессии

Управление сессиями TCP • TCP использует номера SEQ и ACK для управления обменом сегментов Управление сессиями TCP • TCP использует номера SEQ и ACK для управления обменом сегментов в определенном порядке

Управление сессиями TCP • Механизм плавающего окна Управление сессиями TCP • Механизм плавающего окна

Функционирование UDP • Роль портов в передаче UDP сегментов Функционирование UDP • Роль портов в передаче UDP сегментов

Фильтрация трафика • • ACL состоит из правил Анализ содержимого пакета Разрешение или блокирование Фильтрация трафика • • ACL состоит из правил Анализ содержимого пакета Разрешение или блокирование IP источника, IP адресата, MAC адрес, протокол, тип приложения

Фильтрация трафика Устройства осуществляющие фильтрацию: • Firewall в integrated routers • Специальные узлы безопасности Фильтрация трафика Устройства осуществляющие фильтрацию: • Firewall в integrated routers • Специальные узлы безопасности • Сервера

Фильтрация трафика Использование ACL: • Обозначение внутренних узлов для работы службы NAT • Классификация Фильтрация трафика Использование ACL: • Обозначение внутренних узлов для работы службы NAT • Классификация трафика для Qo. S • Запрет распространения обновлений маршрутизаторов, контроль доступа к виртуальным терминалам

Фильтрация трафика Возможные проблемы с ACL: • Увеличение загрузки роутера • Возможная дезинтеграция сети Фильтрация трафика Возможные проблемы с ACL: • Увеличение загрузки роутера • Возможная дезинтеграция сети • Негативные последствия, вызванные неверным размещением списков доступа

Фильтрация трафика • Стандартные ACL фильтры основаны на IP адресе источника • Расширенные ACL Фильтрация трафика • Стандартные ACL фильтры основаны на IP адресе источника • Расширенные ACL фильтры – на IP адресе источника и получателя, типе протокола и номере порта

Фильтрация трафика • Как минимум одно правило должно быть разрешающим • Для работы ACL Фильтрация трафика • Как минимум одно правило должно быть разрешающим • Для работы ACL должны быть применены на интерфейс • Switch(config-if)#ip access-groupe 1 in|out

Фильтрация трафика • ACL применяются на вход или выход • Каждый интерфейс должен иметь Фильтрация трафика • ACL применяются на вход или выход • Каждый интерфейс должен иметь один ACL на направление для каждого сетевого протокола

Использование Wildcard масок • Wildcard маска может заблокировать диапазон адресов или целую сеть • Использование Wildcard масок • Wildcard маска может заблокировать диапазон адресов или целую сеть • 0 определяют какая часть IP адреса должна совпадать с ACL • 1 определяют какая часть IP адреса может не совпадать с ACL

Использование Wildcard масок • Использование параметра host вместо 0. 0 wildcard маски • Использование Использование Wildcard масок • Использование параметра host вместо 0. 0 wildcard маски • Использование параметра any вместо 255 wildcard маски

Конфигурация ACL • • Определение требований к фильтрации типа ACL интерфейсов для ACL направления Конфигурация ACL • • Определение требований к фильтрации типа ACL интерфейсов для ACL направления фильтрации

Конфигурация ACL (стандартные списки) • access-list - ввод правила доступа • Использование одного номера Конфигурация ACL (стандартные списки) • access-list - ввод правила доступа • Использование одного номера для всех правил • Диапазон номеров: 1 -99, 1300 -1999 • Применение как можно ближе к месту назначения

Конфигурация ACL (расширенные) • access-list - ввод правила доступа • Использование одного номера для Конфигурация ACL (расширенные) • access-list - ввод правила доступа • Использование одного номера для всех правил • Применение как можно ближе к источнику • Указание протокола (запретразрешение) • Диапазон номеров: 100 -199, 2000 -2699

Конфигурация ACL (именные) • • ip access-list - ввод правила доступа Указание имени вместо Конфигурация ACL (именные) • • ip access-list - ввод правила доступа Указание имени вместо номера из диапазона В начале правила – permitdeny Применение по такому же механизму, как и в случае стандартныхрасширенных списков

Конфигурация ACL для VTY доступа • • Применение ACL в line configuration mode Использование Конфигурация ACL для VTY доступа • • Применение ACL в line configuration mode Использование access-class инициации ACL Использование стандартных ACL Применение правила для всех VTY

Конфигурация ACL • Использование специальных условий для фильтрации по номеру порта: eq, lt, gt Конфигурация ACL • Использование специальных условий для фильтрации по номеру порта: eq, lt, gt • Запрет всех соответствующих портов для мультипортовых приложений (FTP) • Использование range оператора (диапазона) для фильтрации группы портов

Конфигурация ACL • Ping: разрешение echo ответов и запрещение echo запросов из вне • Конфигурация ACL • Ping: разрешение echo ответов и запрещение echo запросов из вне • Stateful Packet Inspection

Конфигурация ACL • Account for NAT при создании и применении ACL на NAT интерфейсе Конфигурация ACL • Account for NAT при создании и применении ACL на NAT интерфейсе • Фильтр публичных адресов на внешнем NAT интерфейсе • Фильтр частных адресов на внутреннем NAT интерфейсе

Конфигурация ACL • Проверка каждого ACL для предотвращения неверных правил и условий Конфигурация ACL • Проверка каждого ACL для предотвращения неверных правил и условий

Конфигурация ACL • Применение ACL для VLAN интерфейсов или сабинтерфейсов точно таким же образом, Конфигурация ACL • Применение ACL для VLAN интерфейсов или сабинтерфейсов точно таким же образом, как и для физических

Логгирование ACL активностей и ACL best practices • Логирование предоставляет дополнительную информацию о фильтрации Логгирование ACL активностей и ACL best practices • Логирование предоставляет дополнительную информацию о фильтрации пакетов • Добавление log опции в конце каждого правила для получения дополнительных сведений

Логгирование ACL активностей и ACL best practices • Всегда проверяйте соединение до применения ACL Логгирование ACL активностей и ACL best practices • Всегда проверяйте соединение до применения ACL • Добавляйте deny ip any в конце ACL при логгировании

Обобщение • ACL позволяют управлять трафиком и организовывать безопасный доступ • ACL используются для Обобщение • ACL позволяют управлять трафиком и организовывать безопасный доступ • ACL используются для фильтрации входящего и исходящего трафика • ACL типы: стандартные, расширенные, именные • Использование wildcard маски определяет гибкость правил • Необходимо учитывать механизмы NAT при использовании списков доступа • Логгирование предоставляет дополнительную информацию о работе списков доступа

Вопросы Вопросы