Жұмыс мақсаты: IP пакеттерін фильтрация негізінде желі қауіпсіздігін баптауды меңгеру.
Сабақтың ұзақтығы (академиялық сағатпен): 270 минут
Жұмыс тапсырмасы
- Коммутаторды тиісті порттарда баптау;
- Компьютерлердің және сервердің Интернет желісіне қосылуын тексеру;
- Кеңейтілген access list құру;
- Access list арқылы серверлерді тексеру;
- Стандартты access list құру.
Тәжірибелік жұмысты орындауға қажетті бейнематериал:
Cisco Packet Tracer. Access List.
Теориялық мәліметтер
Кіру тізімдерінің (ACCESS-LISTS) басты міндеті - бұл фильтрация және трафик класификациясы, интерфейстарда пакеттердің алмасуын қадағалау, құрылғыға кіруді қадағалау және т. б. Кіру тізімдері құрылғыны қорғау үшін қарапайым брандмаузер ретінде қолданыла алады. Сонымен қоса басты көздің IP адресі, тағайындаудың IP адресі, протокол, басты көздің порты және тағайындаудың порты секілді әртүрлі параметрлер бойынша трафикті классификациялауда қолданылады.
11.1 сурет. Standard Access-List
Кіру тізімдері екі түрлі бола алады - Стандартты (Standard) және Кеңейтілген (Extended), сонымен қоса олар номерленген және атаулы бола алады. Стандартты кіру тізімдері басты көздің IP адресі секілді жалғыз критерия бойынша трафикті фильтрлеуге жол береді. Кеңейтілген кіру тізімдері аталған бес параметрлер бойынша фильтрлеуге жол береді.
11.2 сурет. Extended Access-List
Кіру тізімдері ережелерді еңгізуден тұрады. Әр ережеде сіз фильтрация параметрлерін таңдайсыз (адрестер, порттар және т. б.) және ережелердің барлық критерияларына сәйкес келетін пакеттерге жасалатын әрекет. Әреекеттер екі түрлі болады: рұқсат беру permit және тыйым салу deny. Рұқсат беруде пакетәрі қарай өңделеді, ал тыйым салуда түсіріледі. Пакет сәйкес келетін табылғанша дейін ережелер ретті түрде тексеріледі. Пакетке әрекет орындалып (permit/deny), әрі қарай ережелерді тексерудің жолы тоқтатылады. Әрбір кіру тізімінің соңында барлық трафикке тыйым салатын ереже айқын емес табылады, яғни кіруді шектейтін (restrictive) бақылау қолданылады: рұқсат берілмеген барлығына тыйым салынған.
Номерленген кіру тізімін жасағанда сәйкестендіру үшін номерлер қолданылады. Стандартты кіру тізіміне 1-99 және 1300-1999 номерлері тіркелген, кеңейтілгенге - 100-199 және 2000-2699. Атаулы кіру тізімдерін жасағанда сәйкестендіру үшін қолданушымен таңдалған атау қолданылады. Екінші амал ыңғайлы болып табылады. Өйткені тізімді сәйкестендіру үшін сіз номер емес атауды қолданасыз, атау арқылы кіру тізімін не үшін қолданып жатқанын түсінуге болады. Атаулы кіру тізімі регистрге сезгіш екеніне назар аударыңыздар, мысалы, Test_acl және test_acl кіру тізімдері құрылғымен әр түрлі кіру тізімдері ретінде қабылданады. Сонымен қоса желі асты маскасына назар аудару керек, кіру тізімдерінде ол аударылған күйде көрсетіледі, яғни кіру тізімінде 192.168.0.0 255.255.255.0 желісін 192.168.0.0 0.0.0.255 түрінде көрсету қажет. Обратите внимание, что именованный список доступа чувствителен к регистру, к примеру, списки доступа Test_acl и test_acl будут, воспринимается устройством как два разных списка доступа. Так же необходимо обратит внимание на маску подсети, в списках доступа она указывается в перевернутом виде, т.е. сеть 192.168.0.0 255.255.255.0 в списке доступа нужно указывать так 192.168.0.0 0.0.0.255.
Достарыңызбен бөлісу: |