Списки контроля доступа

Списки контроля доступа (Access Control Lists – ACLs) маршрутизатора RAPIRA RS3 позволяют пропускать или отклонять пакеты, поступающие с определенных IP-адресов отправителя на определенные IP-адреса или порты получателя. Они также позволяют назначать различные типы трафика, как например, ICMP, TCP или UDP.

Типичная запись ACL включает в себя четыре основных части:

  • Identifier (идентификатор) списка ACL – положительное целое число, идентифицирующее список. Новые записи добавляются в конец списка.
  • Action (действие) На данный момент возможны два действия: разрешить (permit) и отклонить (deny).
  • Source (источник) – указывает хост или сетевой адрес, после которого опционально указывается TCP или UDP порт.
  • Destination (получатель) – параметр идет после source и имеет тот же самый формат (подробное описание формата см. ниже).

Запись также может содержать несколько необязательных полей:

  • тип протокола, возможные значения: icmp, tcp или udp.
  • состояние соединения, возможные значения: new (новое), established (установленное) или related (связанное с уже установленным соединением). RAPIRA применяет тип многоуровневого брандмауэра SPI (stateful packet inspection), т.е. отслеживает пакеты в контексте предыдущих соединений между тем же самым источником и получателем. Можно комбинировать ключевые слова состояния (соединения) в одной и той же записи АСL, отделяя их запятой («,»).

С учетом вышеизложенного, команды АСL имеют следующий формат:

access-list {id} {permit | deny} [protocol] {source} {destination} [state state]

Проходящие пакеты сравниваются с записями списка ACL в том порядке, в каком эти записи появляются в списке. Новые записи добавляются в конец списка. Когда соответствующая запись найдена, к пакету немедленно применяется действие: либо разрешить (permit) – либо отклонить (deny) прохождение пакета. Поэтому следует поставить часто употребляемые записи в начало списка. Кроме этого, последней записью в ACL списке должна стоять политика по умолчанию, которая блокирует или пропускает все не соответствующие списку пакеты.

Отложено позиций: 0
Просмотреть