Принцип работы ACL-списков по протоколу IP

Назначение ACL-списков

Каким образом ACL-список использует информацию, переданную в сеансе связи по протоколу TCP/IP, для фильтрации трафика?

С помощью фильтрации пакетов, иногда называемой статической фильтрацией пакетов, осуществляется управление доступом к сети путём анализа входящих и исходящих пакетов и пропускания или отбрасывания пакетов на основе заданных критериев, например, IP-адреса источника, IP-адреса назначения и протокола внутри пакета.

Маршрутизатор работает как фильтр пакетов, когда перенаправляет или отбрасывает пакеты на основе правил фильтрации. Фильтрующий пакеты маршрутизатор извлекает определённую информацию из поступающего на него пакета. Используя эту информацию, маршрутизатор принимает решения на основе установленных правил фильтрации относительно того, можно ли пропустить пакет или его необходимо сбросить. Как показано на рисунке, фильтрация пакетов может работать на разных уровнях модели взаимодействия открытых систем (OSI) или на уровне межсетевого протокола TCP/IP.

Маршрутизатор, фильтрующий пакеты, использует определённые правила пропуска или отклонения трафика. Маршрутизатор также может фильтровать пакеты на уровне 4 — транспортном уровне. Маршрутизатор может фильтровать пакеты на основе порта источника и порта назначения сегмента TCP или UDP. Эти правила задаются с помощью ACL-списков.

Список контроля доступа (ACL) — это последовательный список разрешающих или запрещающих операторов, называемых записями контроля доступа (ACE). Записи контроля доступа также часто называют правилами ACL-списка. ACE-записи можно создать для фильтрации трафика на основании определённых критериев, таких как адрес источника, адрес назначения, протокол и номера портов. При прохождении сетевого трафика через интерфейс, настроенный с ACL-списком, маршрутизатор последовательно сопоставляет информацию внутри пакета с каждой записью ACE, определяя, соответствует ли пакет одному из правил. Если совпадение найдено, пакет обрабатывается в соответствии с записями ACL-списка. Таким образом, ACL-списки можно настроить для управления доступом к сети или подсети.

Для оценки сетевого трафика, ACL-список извлекает следующую информацию из заголовка пакета уровня 3:

• IP-адрес источника;

• IP-адрес назначения;

• тип сообщения протокола ICMP.

ACL-список также может извлекать информацию более высокого уровня из заголовка уровня 4, включая:

• порт источника TCP/UDP;

• порт назначения TCP/UDP.