Списки контролю доступу

Одним з найбільш розповсюджених способів фільтрації трафіку є використання списків контролю доступу (ACL-списків). ACL-списки можна використовувати для керування вхідним і вихідним трафіком у мережі і його фільтрації.

ACL – це скрипт конфігурації маршрутизатора, який визначає, чи буде маршрутизатор дозволяти або забороняти передачу пакетів на основі критеріїв, які містяться в заголовку пакета. Списки ACL також використовуються для вибору типів трафіку, які будуть проаналізовані, передані чи оброблені іншими способами.

Кожен пакет проходить через інтерфейс з певними ACL. ACL перевіряються зверху вниз, рядок за рядком, шукаючи співпадіння шаблону у пакетах. ACL забезпечує корпоративну політику безпеки, застосовуючи правила заборони/дозволу для пакетів.

Розмір ACL-списку може змінюватись від однієї інструкції, по якій дозволяється або блокується трафік від одного джерела, до сотні інструкцій, що дозволяють або забороняють пакети з різних джерел. В основному, ACL-списки використовуються для визначення типів пакетів, які приймаються чи відхиляються.

Розширені ACL-списки

Розширений ACL-список використовується для фільтрації не тільки по ІP-адресі джерела, а також і по ІP-адресі призначення пакету, протоколу, номерах tcp портів. Розширені ACL-списки використовуються частіше стандартних, оскільки, вони є більш гнучкими і дозволяють забезпечити більш високий рівень контролю. Розширеним ACL-спискам привласнюються номери з діапазону від 100 до 199 і від 2000 до 2699.