Filtrowanie Pakietów z Wykorzystaniem Listy Dostępu ACL w Cisco ASA

author
2 minutes, 33 seconds Read

Cisco ASA (Adaptive Security Appliance) to zaawansowane urządzenie zapewniające funkcje zapory ogniowej, VPN, a także filtracji pakietów. Jednym z kluczowych mechanizmów realizujących kontrolę przepływu danych jest Filtrowanie Pakietów przy użyciu List Dostępu (ACL – Access Control Lists). Cisco ASA obsługuje zarówno standardowe, jak i rozszerzone listy dostępu. Istnieje jednak istotna różnica w konfiguracji ACL na routerze a na firewallu, polegająca na użyciu maski rzeczywistej zamiast maski odwrotnej.

Listy Dostępu w Cisco ASA

Listy Dostępu są kluczowym narzędziem kontroli dostępu do zasobów sieciowych, zarówno wejściowych, jak i wychodzących. Cisco ASA oferuje dwie główne kategorie list dostępu:

  1. Standardowe Listy Dostępu (Standard ACL):
    • Standardowe ACL filtrowują pakiety na podstawie źródłowego adresu IP. Mogą one definiować zakres adresów IPv4, które mają być akceptowane lub odrzucane.
  2. Rozszerzone Listy Dostępu (Extended ACL):
    • Rozszerzone ACL oferują bardziej zaawansowane opcje filtrowania, pozwalając na uwzględnienie wielu kryteriów, takich jak źródłowy i docelowy adres IP, numer portu, protokół, itp.

Różnice w Konfiguracji ACL na Routerze a na Cisco ASA

Jednym z istotnych elementów różniących konfigurację ACL na routerze a na Cisco ASA jest sposób definiowania maski. W przypadku firewalla używamy maski rzeczywistej, podczas gdy na routerze korzystamy z tzw. wildcard mask.

1. Maska Rzeczywista (Subnet Mask):

  • Na Cisco ASA, podczas konfiguracji listy dostępu, używamy maski rzeczywistej. Oznacza to, że definiujemy zakres adresów IP, określając dokładnie, które bity są częścią sieci, a które są hostem.
access-list standard MOJA_LISTA_DOSTEPU permit 192.168.1.0 255.255.255.0 deny any

2. Wildcard Mask na Routerze:

  • Na routerze, używamy tzw. wildcard mask, która jest odwrotnością maski rzeczywistej. Oznacza to, że „0” w wildcard mask oznacza bit dozwolony, a „1” oznacza bit ignorowany.
access-list 1 permit 192.168.1.0 0.0.0.255

Różnica ta wynika z odmiennego podejścia do konfiguracji ACL na tych dwóch rodzajach urządzeń.

CZYTAJ  Na czym polega ochrona na urządzeniu CISCO ASA?

Przykłady Zastosowań List Dostępu w Cisco ASA

  1. Filtrowanie Ruchu Sieciowego:
    • Standardowe ACL mogą być używane do zdefiniowania zakresów źródłowych adresów IP, które mają dostęp do konkretnych zasobów sieciowych.
    access-list standard ALLOW_INTERNAL permit 192.168.1.0 255.255.255.0
  2. Filtrowanie na Podstawie Protokołów i Portów:
    • Rozszerzone ACL pozwalają na bardziej zaawansowane filtrowanie, na przykład na podstawie numerów portów i protokołów.
    access-list extended ALLOW_HTTP permit tcp any any eq 80
  3. Zarządzanie Ruchem VPN:
    • Listy dostępu są również szeroko stosowane w zarządzaniu ruchem VPN, umożliwiając kontrolę dostępu do tuneli VPN.
    access-list extended VPN_TRAFFIC permit ip 192.168.1.0 255.255.255.0 10.0.0.0 255.255.255.0

Podsumowanie

Filtrowanie pakietów z wykorzystaniem list dostępu (ACL) stanowi kluczową część strategii bezpieczeństwa w Cisco ASA. Różnice w konfiguracji ACL na routerze a na firewallu wynikają z różnych wymagań i funkcji tych urządzeń. Poprzez odpowiednie definiowanie reguł dostępu, organizacje mogą skutecznie zarządzać ruchem sieciowym, zabezpieczać zasoby przed nieautoryzowanym dostępem oraz dostosowywać ruch zgodnie z własnymi wymaganiami.

Similar Posts

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *