پس از تنظيمات اينترفيس هاي روتر ، باید ببينيم آيا شبکه اي که از طريق اين اينترفيس ها، امکان اتصال به آن فراهم شده است شبکه امني خواهد بود.ممکن است شما يک وب سرور داشته باشيد و تنها مايليد به بسته هايي اجازه ورود به شبکه خود را بدهيد که فقط مربوط به وب سرور مي باشند و مايليد که اجازه هرگونه ارتباط ديگر را با سرورهاي داخل شبکه خود را از اينترنت بگيريد.در چنين مواردي روش معمولي که بکار مي رود استفاده از access list ها مي باشد.
شما در روتر خود با تعريف يکسري access list خاص اجازه ورود هر بسته اي به شبکه بجز بسته هاي مربوط به وب سرور را مي گيريد.
سيسکو دو نوع کلاس متفاوت از access list در درون روترهاي خود قرار داده است.در اولين کلاس که به آن access list استاندارد مي گويند تنها مي توان آدرس مبدا(source address) را فيلتر کرد.براي نامگذاري اين access list ها از شماره 1 تا 99 مي توان استفاده کرد.کلاس دوم که access list توسعه يافته ناميده مي شود از شماره 100 شروع شده و تا199 ادامه مي يابد و مي توان فيلتر مورد نظر را روي فيلدهاي آدرس مبدا(source address)، آدرس مقصد (destination address)، پروتکل(protocol) و پورت(protocol port) اعمال نمود.
شما در روتر خود با تعريف يکسري access list خاص اجازه ورود هر بسته اي به شبکه بجز بسته هاي مربوط به وب سرور را مي گيريد.
سيسکو دو نوع کلاس متفاوت از access list در درون روترهاي خود قرار داده است.در اولين کلاس که به آن access list استاندارد مي گويند تنها مي توان آدرس مبدا(source address) را فيلتر کرد.براي نامگذاري اين access list ها از شماره 1 تا 99 مي توان استفاده کرد.کلاس دوم که access list توسعه يافته ناميده مي شود از شماره 100 شروع شده و تا199 ادامه مي يابد و مي توان فيلتر مورد نظر را روي فيلدهاي آدرس مبدا(source address)، آدرس مقصد (destination address)، پروتکل(protocol) و پورت(protocol port) اعمال نمود.
پس از آنکه يک access list ساخته شد بايد آنرا به يک اينترفيس نسبت داد تا مورد استفاده قرار گيرد.در تنظيمات اينترفيس،از عبارت access-group براي اعمال يا حذف يک access-list از ان اينترفيس استفاده مي شود.به مثال زير توجه کنيد:
Interface serial0
Ip access-group 101 in
Ip access-group 6 out
در مجموعه دستورات فوق فيلترهاي موجود در access list توسعه يافته شماره 101 بر روي بسته هاي ورودي به اينترفيس serial0 اعمال خواهد شد.همچنين فيلترهاي موجود در access list استاندارد شماره 6 بر روي بسته هاي خروجي از اينترفيس serial0 اعمال مي شوند.
به عنوان مثال access list شماره 6 را به صورت زير تعريف مي کنيم:
Access-list 6 permit 234.5.6.12
Access-list 6 deny 5.10.10.32 0.0.0.31
access-list 10 permit 5.10.0.0 0.0.255.255
در خط اول به ترافيک ارسالي از آدرس 234.5.6.12 اجازه عبور داده مي شود.
خط دوم ترافيک ارسالي از آدرسهاي 5.10.10.32 تا 5.10.10.63 را رد مي کند.
در access list ها، سيسکو به جاي netmask از wildcard mask استفاده مي کند. تفاوت آن با netmask در اين است که netmask از چپ به راست عمل مي کند ولي wildcard از راست به چپ.در خط انتهايي با استفاده از wildcard mask حوزه آدرسها مشخص شده است.آدرسهايي که با 5،10، شروع مي شوند. يعني اين خط به ترافيک ارسالي از آدرسهاي 5.10.0.0 تا 5.10.255.255 اجازه عبور مي دهد.
خط دوم ترافيک ارسالي از آدرسهاي 5.10.10.32 تا 5.10.10.63 را رد مي کند.
در access list ها، سيسکو به جاي netmask از wildcard mask استفاده مي کند. تفاوت آن با netmask در اين است که netmask از چپ به راست عمل مي کند ولي wildcard از راست به چپ.در خط انتهايي با استفاده از wildcard mask حوزه آدرسها مشخص شده است.آدرسهايي که با 5،10، شروع مي شوند. يعني اين خط به ترافيک ارسالي از آدرسهاي 5.10.0.0 تا 5.10.255.255 اجازه عبور مي دهد.
در رابطه با access list ها بايد به چند مسئله توجه کرد:
1- access list ها طراحي شده اند تا به ترافيکهاي مورد نظر اجازه عبور داده شود.يعني فرض بر آن است که تمام ترافيکها deny مي شوند و براي ترافيکي که مي خواهيم عبور داده شود با استفاده از access list اجازه عبور صادر مي کنيم.
2- پردازش access list وقت زيادي از پردازنده را مي گيرد.بنابراين وروديهايي که بيشتر مورد استفاده قرار مي گيرند را بايد در ابتداي access list قرار داد تا تعداد پردازش انجام شده کاهش يابد زيرا پردازش access list از ابتدا به انتها انجام مي شود و اولين ورودي که شرايط مورد نظر را داشته باشد نتيجه اعمال شده و بقيه access list پردازش نخواهد شد.
3- نکته ديگري که بايد مورد توجه قرار گيرد اين است که تغييرات در روتر بصورت آني اعمال مي شوند.بنابراين به هنگام تغيير محتويات يک access list بهتر است ابتدا آنرا از اينترفيس مربوطه پس بگيريم و سپس پس از پايان تغييرات دوباره آنرا به اينترفيس مورد نظر اعمال کنيم.
ساختن access list توسعه يافته معمولا دشوارتر است.از آنجائيکه access list توسعه يافته هم آدرس مبدا و هم آدرس مقصد را تحت تاثير قرار مي دهد بنابراين در هر ورودي access list دو قسمت مورد نياز است.يک مثال کوتاه در ادامه آمده است
:
access-list 101 permit tcp any any established
access-list 101 permit tcp any 204.34.5.25 host eq 80
access-list 101 permit ip 203.45.34.0 0.0.0.255 204.34.5.0 0.0.0.255
access-list 101 permit tcp 203.44.32.0 0.0.0.31 204.34.5.0 0.0.0.255 eq telnet
access-list 101 permit tcp any 204.34.5.25 host eq 80
access-list 101 permit ip 203.45.34.0 0.0.0.255 204.34.5.0 0.0.0.255
access-list 101 permit tcp 203.44.32.0 0.0.0.31 204.34.5.0 0.0.0.255 eq telnet
access-list 101 permit tcp any 204.34.5.10 eq smtp
خط اول به ترافيک مربوط به tcp که داراي فلگ established باشند اجازه عبور مي دهد.اين بدان معني است که access list به ترافيک ورودي مربوط به کليه اتصالاتي که از داخل با بيرون برقرار شده اجازه عبور به داخل را مي دهد.اين خصيصه بسيار مهمي است چون ترافيک مربوط به اتصالات tcp که با خارج برقرار شده است بر روي پورتي که به صورت random انتخاب مي شود ارسال مي شوند با استفاده از فيلد فلگ ترافيک مي توان به آنها اجازه عبور داد و نيازي به دانستن شماره پورت نمي باشد.
نکته ديگري که در مورد اين خط اول وجود دارد اين است که اتصالات tcp از خارج به داخل تنها براي برقراري ارتباط اوليه نياز به پردازش چند خط از access list را دارند و بعدا که ارتباط برقرار شد فيلد فلگ ترافيک ارسالي برابر established شده و در access list تنها همين خط اول پردازش شده و چون تطابق برقرار است به ترافيک اجازه عبور داده شده و پردازش access list پايان مي يابد.بنابراين محل قرار گيري اين خط در ابتداي access list بسيار مهم است.
در خط دوم ديده مي شود که به جاي فيلد wildcard mask عبارت Host قرار گرفته است.هر گاه که يک آدرس IP مشخص را استفاده کنيم در wildcard همين عبارت host قرار مي گيرد.در بقيه خطوط نيز مطلب جديدي وجود ندارد و با توجه به توضيحات قبلي قابل فهم مي باشد..
نکته ديگري که در مورد اين خط اول وجود دارد اين است که اتصالات tcp از خارج به داخل تنها براي برقراري ارتباط اوليه نياز به پردازش چند خط از access list را دارند و بعدا که ارتباط برقرار شد فيلد فلگ ترافيک ارسالي برابر established شده و در access list تنها همين خط اول پردازش شده و چون تطابق برقرار است به ترافيک اجازه عبور داده شده و پردازش access list پايان مي يابد.بنابراين محل قرار گيري اين خط در ابتداي access list بسيار مهم است.
در خط دوم ديده مي شود که به جاي فيلد wildcard mask عبارت Host قرار گرفته است.هر گاه که يک آدرس IP مشخص را استفاده کنيم در wildcard همين عبارت host قرار مي گيرد.در بقيه خطوط نيز مطلب جديدي وجود ندارد و با توجه به توضيحات قبلي قابل فهم مي باشد..
| نویسنده مقاله : | |
| ایمیل نویسنده: | |
| منبع مقاله : |