Slik konfigurerer ACL

Slik konfigurerer ACL


Beskytte nettverket er nummer én jobb av alle administratorer. Opprettholde et sikkert nettverk bør ikke forstyrre den tjenesten du gir til brukerne, men det er en prioritet hvis du ønsker å sikre at kundene får den tjenesten de betaler for. Bruk av tilgangskontrollister (ACL) på inntrengning porten på nett, der trafikken først kommer, er din beste sjanse til å redusere sikkerhetstrusler og angrep.

Bruksanvisning

1 Bestem hvilke Internett-protokollen (IP) adresser du ønsker å tillate, og som du må blokkere. Det er en liste over vanlige elementer folk blokkere når det gjelder inntrengning port, for eksempel trafikk fra en privat IP-adresse. Grunnen til at det kalles private er fordi det er for internt bruk; du må aldri få trafikk fra en privat adresse kommer inn på Internett-tilkoblingen. IP-adresser som tilhører ryggraden grensesnitt bør være klarert på denne listen, slik at de kan tillate kundetrafikk til å flyte. Det er ingen grense for hvor mange IP-adresser du kan tillate eller avslå.

2 Bygg din liste av ord, enhetsnavn eller IP-adresser i formatet ruteren vil akseptere; bruke en notisblokk, og gjøre det på forhånd. Syntaksen for en grunnleggende tilgangsliste kan skrives som "aksess-liste x tillatelse / nekte IP xxxx xxxx noen." Tenk på trafikken som et brev som kommer til huset ditt. Hver bokstav har en kilde postadresse (som en kilde IP) og en destinasjonsadresse for den som mottar brevet (destinasjon IP-adresse).

3 Velg et nummer for å ta plassen til den første x. Hver ACL har et unikt nummer eller navn som identifiserer den listen. En gjennom 99 anses standard ACL tall; noe høyere eller med en faktisk tekst navn regnes som en utvidet liste. Du kan manipulere lengre lister med flere alternativer og kreativitet enn standard lister, som er bygget bare én måte. Utvidede lister kan du redigere uten å fjerne hele listen og begynne på nytt.

4 Velg en handling for ruteren for å utføre, enten for å tillate eller nekte. Dette er viktig fordi det forteller ruteren til å akseptere (tillatelse) eller slipp (nekte) trafikk basert på en IP-adresse som matcher en av oppføringene. På slutten av hver liste er det en skjult "fornekte" statement. Husk mens du konfigurerer liste som bestiller saker. En ruter vil sammenligne en innkommende kilde og destinasjon IP fra en pakke i rekkefølgen på listen fra topp til bunn. Når den har funnet en kamp for å tillate eller nekte, utfører ruteren handlingen uten å sammenligne resten av listen til IP-adresser. Når en IP-kamp blir funnet, skyver router trafikken på eller synker den og ikke bruke resten av oppføringene i listen.

5 Velg en protokoll. I dette eksempelet bruker vi IP, som det er standard, og er den mest brukte valg. Hvis du konfigurerer en utvidet liste, ville flere valg være Transmission Control Protocol (TCP), User Datagram Protocol (UPD) eller Internet Control Message Protocol (ICMP).

6 Plukk en IP. Det første settet med xxxx står for IP-adressen du ønsker å tillate eller nekte for kilden IP-adressen. Fyll inn tallene som trengs, som spenner fra 0 til 255. Hvis du noen gang ser en IP med et tall over 255 så er det en feil.

7 Plukk et wild card maske. En maske forteller ruteren hvilke tall for å sjekke og å ignorere for kilden. Hvis det finnes en 0 hvor x er, da ignorere det nummeret. Hvis det er en 1 til 255, og ruteren kontrollerer at antall for å se om det er tillatt. Tall for masken også variere fra 0 til 255; Et eksempel kan se slik ut: 0.0.0.255. Denne masken ignorerer de 3 første posisjoner, og tillater alle tall i den siste stilling.

8 Logg inn og søk konfigurasjonene til ruteren. For eksempel vil en tilgangsliste nekte alle 10.0.0.0 IP-adresser og tillater alt annet se slik ut (bare skriv hva som er inni sitater, mer tekst er referansemateriale for å gi flere detaljer om hvilke tiltak som hver kommando utfører):

"Konfigurere terminalen" trykk enter-tasten (kommando for å gå til konfigurasjonsmodusen)
"Access-list 4 nekte 10.0.0.0 0.255.255.255 noen" trykk enter-tasten (kommando for å nekte alle 10.0.0.0 IP-adresser)
"Access-list 4 tillatelse alle alle" trykk enter-tasten (kommando for å tillate alle andre IP-adresser)
"End" trykk enter-tasten (kommando for å avslutte konfigurasjonsmodus)
"Skrive minne" trykk enter-tasten (kommando for å lagre endringer)

Hvert tilgangslisten ender med at skjult "fornekte" statement, men du kan endre dette ved hjelp av "tillate noen noen" kommando for å tillate alle, og ruteren vil la alle andre IP i grensesnittet før den prøver å matche "nekte all" ved enden av tilgangslisten.

"Enhver" er en kommando som tar plassen til en ekstra IP-adresse og maske for destinasjonen. For en standard tilgangsliste, dette er det som vanligvis brukes fordi du prøver å begrense kilden IP-adressen i stedet for mål-IP-adresse hvor denne kilden prøver å gå.

Hint

  • Tilgangslister vil ikke fungere før de blir brukt til et grensesnitt.