Az IP ACL működése

Az ACL célja

A rendszergazda hozzáférési listák segítségével vezérelheti a hálózat bejövő és kimenő forgalmát. A forgalom szabályozása lehet egyszerű engedélyezés vagy tiltás a hálózati cím szerint, vagy összetettebb szűrés az igényelt TCP-portszám alapján. Egyszerűbb megérteni az ACL működését a TCP-üzenetváltás vizsgálatával, például egy weboldal letöltési folyamatában.

TCP-kommunikáció

Mikor egy kliens adatokat kér egy webszervertől, az IP vezérli a kommunikációt a PC (forrás) és a szerver (cél) között. A TCP pedig a web böngésző (alkalmazás) és a hálózati szerver szoftver közötti párbeszédet irányítja.

Ha levelet küldünk, megnézünk egy weboldalt, vagy letöltünk egy fájlt, a TCP felelős az adatok szegmensekre tördeléséért, mielőtt az IP továbbítaná azokat. Szintén a TCP feladata a már megérkezett szegmensekből az adatok visszaállítása. A TCP-folyamat az esetek többségében egy olyan üzenetváltás, amelyben két hálózati állomás megegyezik az egymás közötti adattovábbításban.

A TCP összeköttetés-alapú, megbízható, bájtokból álló adatfolyam-szolgáltatás. Az összeköttetés-alapú azt jelenti, hogy a két alkalmazásnak TCP-kapcsolatot kell létesíteniük az adatcsere végrehajtása érdekében. A TCP teljes duplex protokoll, azaz a TCP-kapcsolat párokban kezeli az adatfolyamokat, mindegyiket egy adott irányban. A TCP rendelkezik adatfolyam-vezérlő mechanizmussal, amelyben a fogadó állomás korlátozni tudja a forrás által küldendő adatok mennyiségét. Továbbá a TCP-ben torlódás-kezelés is megvalósításra került.

Az 1. ábrán lévő animáció bemutatja a TCP/IP-üzenetváltás folyamatát. A TCP-szegmenseken lévő címkék mutatják azok rendeltetését: a SYN a munkamenet kezdetét; az ACK a kívánt szegmens megérkezésének nyugtázását; a FIN pedig a kapcsolat lezárását. A SYN/ACK nyugtázza, hogy az átvitel szinkronizálásra került. A TCP-adatszegmensekben lévő magasabb rétegbeli protokollok feladata az adatok továbbítása a megfelelő alkalmazáshoz.

A TCP-adatszegmensben található portszám azonosítja a kívánt alkalmazást. Például, a HTTP-t a 80-as port, az SMTP-t a 25-ös port, az FTP-t pedig 20-as és 21-es port. A 2. ábrán a TCP- és UDP-portok tartományai láthatók.

A 3-5. ábrákon példák találhatók TCP/UDP-portokra.