القائمة الرئيسية

الصفحات

قوائم التحكم في الوصول الواردة والصادرة في اجهزة Cisco ASA

قوائم التحكم في الوصول الواردة والصادرة في اجهزة Cisco ASA


قوائم التحكم في الوصول الواردة والصادرة في اجهزة Cisco ASA

قد تؤدي مشكلة قوائم Cisco ACL للداخل والخارج إلى إحباط العديد من مستخدمي أجهزة Cisco. متى يتم تطبيق ACL داخل الوصلة أو خارجها؟ سوف نشارك تجربة من شخص يعمل عادة بجدران الحماية. دعونا نتحقق من أفكاره حول الموضوع.


يتم تطبيق قوائم التحكم في الوصول (ACL) عادةً على حركة المرور الواردة على الوصلة في معظم جدران الحماية ؛ ومع ذلك ، يمكنك تطبيق قائمة التحكم في الوصول (ACL) على حركة المرور الصادرة. تحجب بعض جدران الحماية هذا قليلاً وتطلب منك تحديد اسم الوصلة التي تأتي منها حركة المرور وأين ستذهب ، على Cisco ASA ولكن يمكنك تطبيق قائمة التحكم بالوصول إما "داخل" أو "خارج".

في الأساس ، تحتاج فقط إلى تصور من أين تأتي حركة المرور من وإلى أين تتجه والعلاقة مع الوصلة التي تقوم بتطبيق قائمة التحكم بالوصول إليها. دعونا نلقي نظرة على مثال ؛ هذا مثال عام إلى حد ما قد تراه في معظم اجهزة Cisco ASA ، فنحن نطبق قائمة التحكم بالوصول (ACL) على الوصلة "الخارجية" لجميع حركة المرور "الواردة" إلى الوصلة ، وهي تقيد حركة المرور المتولدة من اتجاه إلى آخر والتي سيتم تحديدها لاحقًا في قائمة التحكم بالوصول (ACL) نفسها:

access-group acl_outside_in in interface outside


الآن الوصلة "الخارجية" هنا ليست أكثر من الاسم المعطى لمنفذ مادي على ASA لذلك يمكن أن يكون أي شيء حقًا. في تكوين ASA الخاص بك ، سيبدو مثل هذا:

interface GigabitEthernet0/0

 speed 1000

 duplex full

 nameif outside

 security-level 0

 ip address x.x.x.x y.y.y.y


إذا غيرنا nameif إلى homersimpson ، فسيكون ACL ببساطة:

access-group acl_outside_in in interface homersimpson


اسم ACL ، "acl_outside_in" هو أيضًا مجرد اسم تقوم بإعطائه لقائمة التحكم بالوصول (ACL) ، لذا يمكننا مرة أخرى بسهولة تسمية ACL "familyguy" والذي قد يحول ACL إلى:

access-group familyguy in interface homersimpson


عادةً ما تكون أسماء قوائم التحكم بالوصول (ACL) والوصلة وصفية للأغراض الخاصة بها ، إلا إذا اشتركت في ممارسة "الأمان على الرغم من الغموض". بخلاف التأكد من أنك تستخدم اسم الواجهة واسم قائمة التحكم بالوصول (ACL) الصحيحين (لأنه لن يعمل بعد ذلك) ، فإن العنصر الوحيد المتبقي في قائمة التحكم بالوصول هو "In" أو "Out".

الآن ، يمكنك تحديد المكان الذي تأتي منه حركة المرور وأين تتجه. للبناء على المثال أعلاه ، دعنا نسمح لأي شخص على الإنترنت العام بالوصول إلى خادم بعنوان IP 10.0.0.10 خلف جدار الحماية على المنفذ 443 (يتم التعامل مع NAT بشكل منفصل).

access-group acl_outside_in extended permit tcp any 10.0.0.10 255.255.255.255 eq 443


يقال إن ما فعلناه هنا هو السماح بحركة المرور من أي مكان إلى 10.0.0.10 ، باستخدام قناع شبكة فرعية كاملة يحدها على عنوان IP المحدد ويحدد eq المنفذ المحدد. يمكنك الاستمرار في إنشاء القواعد بهذه الطريقة وسيتم تطبيقها بطريقة من أعلى لأسفل حتى تصل إلى قاعدة الرفض الافتراضية. توجد قاعدة المنع الافتراضية عادةً بشكل افتراضي لرفض كل حركة المرور ، ثم تسمح بعدها بحركة مرور معينة.

النظر إليها بيانيا.
acl-in-out-int


إذا كنت ترغب في تطبيق قائمة التحكم بالوصول (ACL) على وصلة إخرى ، فلنستخدم مثال الواجهة المسماة "inside" لتصفية حركة المرور الخارجة إلى الإنترنت والتي قد تعتقد أنه سيتم تطبيقها "خارجياً" كما في المثال أدناه:

access-group acl_inside_out out interface inside


لكنك ستكون مخطئًا ، فسيتم تطبيق ACL على السطح الخارجي للوصلة الداخلية. فكر مرة أخرى في تدفق حركة المرور ، فأنت تدخل إلى الوصلة الداخلية ، لذا سيبدو ACL كما يلي:

access-group acl_inside_outbound in interface inside


لأن حركة المرور تأتي من داخل الشبكة IN إلى الوصلة الداخلية. لنلقِ نظرة على مثال حقيقي لقائمة التحكم بالوصول (ACL) يسمح لخادم متصل بجزء شبكة على الواجهة الداخلية بالحصول على وصول صادر على المنفذ 443 ، أي أن المضيف المحدد في قائمة التحكم بالوصول يمكنه الوصول إلى أي موقع ويب / خدمة تعمل على منفذ tcp 443.

access-group ac l_inside_outbound extended permit tcp 10.0.0.10 255.255.255.255 any eq 443


توضيح مرئي:
acl-in-inside-int.jpg


لذا يمكننا الآن معرفة أن الاتجاه الذي يتم فيه تطبيق قائمة التحكم بالوصول (ACL) له علاقة بالاتجاه الذي تتدفق فيه حركة المرور وإلى أي واجهة.


reaction:
Ahmed Taher
Ahmed Taher
مدون من العراق . احب البرمجة وكل ما يتعلق بالشبكات والسيرفرات وامن المعلومات . واسعى الى توفير جميع المصادر والمواد للامتحانات الدولية.

تعليقات