March 30
Protezione della rete è il lavoro numero uno di tutti gli amministratori. Il mantenimento di una rete sicura non deve interferire con il servizio che fornite agli utenti, ma è una priorità se si vuole garantire che i vostri clienti a ottenere il servizio che stanno pagando per. L'applicazione di elenchi di controllo di accesso (ACL) sul porto penetrazione della rete, dove il traffico prima entra, è la tua migliore possibilità di ridurre al minimo le minacce alla sicurezza e attacchi.
1 Decidere quale protocollo Internet (IP) che si desidera consentire e che si deve bloccare. C'è una lista di elementi comuni persone bloccano quando si tratta di porte di ingresso, come ad esempio il traffico proveniente da un indirizzo IP privato. Il motivo per cui si chiama privato è perché è solo per uso interno; non si dovrebbe mai essere sempre il traffico proveniente da un indirizzo privato in arrivo sulla connessione a Internet. IP che appartengono a le interfacce backbone deve essere di fiducia in questa lista in modo che possano consentire il traffico dei clienti di fluire. Non vi è alcun limite al numero di indirizzi IP è possibile consentire o negare.
2 Costruisci la tua lista di parole, nomi dei dispositivi o IP nel formato router accetterà; utilizzare un blocco note, e farlo prima del tempo. La sintassi per una lista di accesso di base può essere scritto come "access-list x permesso / negato IP xxxx xxxx qualsiasi." Pensate al traffico come una lettera a venire a casa tua. Ogni lettera ha un indirizzo di posta sorgente (come una fonte IP) e un indirizzo di destinazione per la persona che riceve la lettera (indirizzo IP di destinazione).
3 Scegliere un numero a prendere il posto del primo x. Ogni ACL ha un numero univoco o un nome che identifica quella lista. Uno e 99 sono considerati numeri ACL standard; nulla più alta o con un nome vero e proprio del testo è considerato un elenco esteso. È possibile manipolare le liste estesi con più opzioni e la creatività di liste standard, che sono costruiti solo in un modo. elenchi estesi consentono di modificare senza rimuovere l'intero elenco e ricominciare da capo.
4 Scegliere un'azione per il router per eseguire, sia per consentire o negare. Questo è importante perché indica al router di accettare (permesso) o drop (negare) il traffico sulla base di un indirizzo IP che corrisponde a una delle voci. Alla fine di ogni lista c'è un nascosto istruzione "negare". Tenete a mente mentre si configura la lista che ordinare le cose. Un router confronterà una fonte entrata e IP di destinazione da un pacchetto nell'ordine dell'elenco dall'alto verso il basso. Una volta che ha trovato una corrispondenza per consentire o negare, il router esegue l'azione senza confrontare il resto della lista per gli IP. Una volta partite IP viene trovato, il router spinge il traffico o lo lascia cadere e non usa il resto delle voci nella lista.
5 Scegliere un protocollo. In questo esempio stiamo usando IP, come è standard ed è la scelta più comunemente usato. Se tu fossi configurando un elenco esteso, ulteriori scelte sarebbero Transmission Control Protocol (TCP), User Datagram Protocol (UPD) o messaggio di protocollo di controllo Internet (ICMP).
6 Scegliere un IP. La prima serie di xxxx rappresenta l'indirizzo IP che si desidera consentire o negare per l'indirizzo IP di origine. Riempire i numeri necessari, che vanno da 0 a 255. Se avete mai visto un IP con un numero di oltre 255 poi c'è un errore.
7 Scegli una maschera wild card. Una maschera indica al router che i numeri per controllare e quali ignorare per la fonte. Se vi è uno 0 dove x è, quindi ignorare quel numero. Se vi è un 1 e 255, quindi il router controlla che numero per vedere se è permesso. Numeri per la maschera inoltre variano da 0 a 255; un esempio sarebbe simile a questa: 0.0.0.255. Questa maschera ignora le prime 3 posizioni e permette a tutti i numeri in ultima posizione.
8 Esegui il login e applicare le configurazioni per il router. Ad esempio, un elenco di accesso negando tutti gli indirizzi IP 10.0.0.0 e permettendo tutto il resto sarebbe simile a questa (solo digitare ciò che è dentro le virgolette, il testo aggiuntivo è materiale di riferimento per fornire maggiori dettagli su quali azioni eseguite da ciascun comando):
"Configurare terminale" premere invio (il comando per accedere alla modalità di configurazione) chiave
"Access-list 4 negare 10.0.0.0 0.255.255.255 qualsiasi" premere invio (comando a negare tutte le 10.0.0.0 IP) chiave
"Access-list 4 permesso qualsiasi qualsiasi" premere invio (comando per consentire tutti gli altri IP) chiave
"Fine" premere invio (comando per uscire dalla modalità di configurazione) chiave
"Scrittura della memoria" premere invio (comando per salvare le modifiche) chiave
Ogni lista di accesso si conclude con quella nascosta affermazione "negare", ma è possibile modificare questo utilizzando il "permesso di qualsiasi qualsiasi" comando per consentire a tutti, e il router vi permetterà di ogni altro IP nell'interfaccia prima che cerca di corrispondere al "negare tutto" alla fine della lista di accesso.
"Qualsiasi" è un comando che prende il posto di un indirizzo IP aggiuntivo e maschera per la destinazione. Per un elenco di accesso standard, questo è ciò che di solito è usato perché si sta cercando di limitare l'indirizzo IP di origine piuttosto che l'indirizzo IP di destinazione in cui tale fonte sta cercando di andare.