Video: Web Programming - Computer Science for Business Leaders 2016 2025
Danh sách kiểm soát truy cập mở rộng (ACLs) cho phép bạn cho phép hoặc từ chối lưu lượng truy cập từ các địa chỉ IP cụ thể đến địa chỉ IP đích và cổng đích cụ thể. Nó cũng cho phép bạn chỉ định các loại lưu lượng truy cập khác nhau như ICMP, TCP, UDP, vv Không cần phải nói, nó rất chi tiết và cho phép bạn được rất cụ thể.
Nếu bạn định tạo một tường lửa lọc gói tin để bảo vệ mạng của mình, nó là một ACL mở rộng mà bạn sẽ cần phải tạo.
Ví dụ sẽ được sử dụng bao gồm một router được kết nối với 192. 168. 8. Phân đoạn 0/24 trên một giao diện nội bộ ( FastEthernet 0/0 ) bằng cách sử dụng địa chỉ 192. 168. 8. 1/24 và đến 10. 0. 2. Phân đoạn 0/24 trên giao diện bên ngoài ( FastEthernet 0/1 ) sử dụng địa chỉ 10. 0. 2. 1 / 24.
Trong trường hợp này, bạn sẽ quản lý 192. 168. 8. Mạng 0/24 và một số nhóm không biết và không tin cậy quản lý phần còn lại của mạng, như được hiển thị. Trên mạng này, bạn muốn cho phép người dùng chỉ truy cập vào máy chủ web bên ngoài mạng. Để hỗ trợ việc này, bạn cần tạo hai ACL, 101 và 102.
danh sách truy cập 101 để quản lý lưu lượng truy cập từ văn phòng và danh sách truy cập 102 để quản lý lưu lượng đến từ mạng không đáng tin cậy vào văn phòng. Tạo ACL 101
Router1>
enable Mật khẩu: Router1 # configure terminal Nhập các lệnh cấu hình, một trong mỗi dòng. Kết thúc với CNTL / Z. Router1 (config) # access-list 101 remark ACL này là để kiểm soát lưu lượng truy cập router đi. Router1 (config) # access-list 101 cho phép tcp 192. 168. 8. 0 0. 0. 0. 255 bất kỳ eq 80 Router1 (config) # access-list 101 cho phép tcp 192. 168. 8. 0 0. 0. 0. 255 bất kỳ eq nào 443 Router1 (config) # kết thúc Tạo ACL 102
cho phép
Mật khẩu: Router1 # configure terminal Nhập các lệnh cấu hình, một cho mỗi dòng. Kết thúc với CNTL / Z. Router1 (config) # access-list 102 remark ACL này là để kiểm soát lưu lượng truy cập router trong nước. Router1 (config) # access-list 102 cho phép tcp bất kỳ 192. 168. 8. 0 0. 0. 0. 255 Thiết lập Router1 (config) # end Nếu bạn kiểm tra ACL 101, phân tích về định dạng của lệnh là như sau: ACL là số 101
Nó cho phép lưu lượng
-
Cho phép lưu lượng TCP
-
Nguồn mà nó được cho phép được định nghĩa bởi 192. 168. 8. 0 với một ký tự đại diện là 0. 0. 255
-
Máy chủ đích là bất kỳ lưu trữ nào
-
Lưu lượng TCP được phép ở trên cổng 80
-
Dòng thứ hai giống nhau, nhưng cho phép lưu lượng trên cổng TCP 443
-
Nếu bạn kiểm tra ACL thứ hai, ACL 102, bạn nên kết thúc với những điều sau:
-
ACL là số 102
Cho phép lưu lượng
-
Cho phép lưu lượng TCP
-
source mà nó được cho phép từ bất kỳ host
-
Host đích được định nghĩa bởi 192.168. 8. 0 với mặt nạ ký tự đại diện là 0. 0. 255
-
Lưu lượng TCP được cho phép là bất kỳ lưu lượng truy cập nào trên một phiên đã được thiết lập
-
Mục cuối cùng trên ACL 102 là cái gì đó để xem xét nhiều hơn một chút. Trong minh hoạ dưới đây, một máy khách trên 192. 168. 8. Mạng 0/24 đã tạo ra một phiên TCP với một máy chủ từ xa. Phiên TCP này có một quá trình bắt tay thiết lập những cổng nào sẽ được sử dụng, đó là một cổng chọn ngẫu nhiên trên máy khách và cổng 80 trên máy chủ.
-
Cổng được sử dụng trong ACE phụ thuộc vào địa chỉ đích, và trong trường hợp này, cổng đích là một cổng chọn ngẫu nhiên trên máy khách. Thay vì chỉ định rằng mọi cổng có thể được mở, điều này sẽ không an toàn, tùy chọn có thể nói rằng bất kỳ phiên làm việc nào được thiết lập trên máy khách đều được cho phép. Do đó, nếu client mở kết nối, ACL này sẽ cho phép lưu lượng truy cập trở lại.
