W jaki sposób informacje przekazywane podczas transmisji TCP/IP mogą być wykorzystane przez mechanizm ACL do filtrowania pakietów?

Filtrowanie pakietów, zwane też statycznym filtrowaniem pakietów, zapewnia kontrolę dostępu do sieci poprzez analizę pakietów wchodzących i wychodzących a następnie przepuszczanie lub blokowanie ich na podstawie zadanych kryteriów, takich jak np. adres źródłowy IP, docelowy adres IP czy protokół.

Rolę filtra pakietów spełnia router, którego zadaniem jest przepuszczanie lub odrzucanie ruchu na podstawie ustalonych reguł. Gdy pakiet wchodzi do routera, mechanizm filtrowania analizuje nagłówek pakietu i odczytuje z niego potrzebne informacje. Na podstawie tych informacji oraz skonfigurowanych zasad filtrowania, router podejmuje decyzje, czy pakiet powinien zostać przepuszczony czy też odrzucony. Jak pokazano na rysunku, filtrowanie pakietów przeprowadzane jest w warstwach 3 i 4 modelu OSI lub w warstwie internetowej TCP/IP.

Router, pełniący rolę filtra pakietów, korzysta z tzw. reguł filtrowania, aby określić, czy dany ruch należy przepuścić czy też odrzucić. Reguły te mogą obejmować nie tylko protokoły warstwy trzeciej, ale i czwartej (transportowej). Dzięki temu, router może także filtrować pakiety w oparciu o numer portu źródłowego i/lub docelowego segmentu TCP lub UDP. Do definiowania tych reguł służą listy ACL.

ACL to sekwencyjna lista komend zezwalających lub odmawiających, zwanych wpisami kontroli dostępu (ACE). Wpisy ACE są też nazywane regułami ACL. Reguły można tworzyć w oparciu o różne kryteria takie jak: adresy źródłowe, adresy docelowe, protokoły i numery portów. Gdy dane przechodzą przez interfejs, na którym skonfigurowano listę ACL, router porównuje informacje zawarte w pakiecie z poszczególnymi wpisami ACE w zadanej kolejności, aby określić, czy pakiet pasuje do jednego z nich. Jeśli takie dopasowanie zostało znalezione, pakiet jest odpowiednio przetwarzany. Używając powyższej metody, można konfigurować listy ACL w całej sieci lub podsieci, i tym samym kontrolować dostęp do nich.

Podczas analizy ruchu sieciowego, mechanizm ACL wyodrębnia z nagłówka pakietu warstwy trzeciej następujące informacje:

ACL może również wydobyć informacje z nagłówka warstwy 4, takie jak:

Przed rozpoczęciem tego kursu, zaloguj się na stronę netacad.com.