Protokoll och portar | Extended ACL Namngiven
TCP kan tillhandahålla grundläggande stateful firewall-funktionalitet genom att använda nyckelordet ”established” i en Extended ACL. Detta nyckelord gör det möjligt att tillåta utgående trafik från det interna nätverket, samtidigt som det endast tillåter returtrafik från anslutningar som redan har etablerats. På så sätt nekas all inkommande oönskad trafik från externa källor, vilket förbättrar nätverkssäkerheten.
Princip för ”established”
- Tillåter intern trafik att initiera en anslutning och skickas ut till externa resurser.
- Tillåter endast returtrafik från externa servrar tillbaka till de interna klienterna.
- Blockerar all obehörig inkommande TCP-trafik från externa datorer som försöker skapa nya anslutningar till det interna nätverket.
Exempel på begränsning av inkommande trafik med ”established”
För att begränsa inkommande TCP-trafik från obehöriga externa enheter kan nyckelordet ”established
” användas. Följande ACL-konfiguration implementerar denna funktionalitet.
1.- Tillåt interna datorer att initiera HTTP- och HTTPS-trafik
R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq www R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443 R1(config)# interface g0/0/0 R1(config-if)# ip access-group 110 in R1(config-if)# exit
Förklaring:
- ACL 110 tillåter HTTP (port 80) och HTTPS (port 443) att skickas från interna datorer (
192.168.10.0/24
) till vilken destination som helst. - Tillämpas inkommande på interface G0/0/0, där trafiken går in i routern från det lokala nätverket.
2.- Begränsa inkommande trafik och tillåt endast etablerade anslutningar
R1(config)# access-list 120 permit tcp any 192.168.10.0 0.0.0.255 established R1(config)# interface g0/0/0 R1(config-if)# ip access-group 120 out R1(config-if)# end
Förklaring:
- ACL 120 tillåter endast TCP-returtrafik från internet tillbaka till interna datorer.
- Nyckelordet ”established” innebär att enbart anslutningar som redan har initierats av interna enheter får returnera trafik.
- All annan inkommande TCP-trafik nekas implicit.
- Tillämpas utgående på interface G0/0/0, där trafiken lämnar routern och går mot det interna nätverket.
Verifiering av ACL-funktionalitet
Efter att ACL:erna har tillämpats kan deras funktion verifieras med kommandot show access-lists
.
R1# show access-lists Extended IP access list 110 10 permit tcp 192.168.10.0 0.0.0.255 any eq www 20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (657 matches) Extended IP access list 120 10 permit tcp any 192.168.10.0 0.0.0.255 established (1166 matches) R1#
Statistik visar:
- ACL 110 (ingående) har 657 matchningar, vilket innebär att intern HTTP- och HTTPS-trafik har skickats ut till internet.
- ACL 120 (utgående) har 1166 matchningar, vilket indikerar att returtrafik från etablerade sessioner har accepterats.
Sammanfattning
Genom att använda nyckelordet ”established” i en Extended ACL kan obehörig extern trafik förhindras från att initiera nya anslutningar till interna enheter, samtidigt som interna datorer tillåts att påbörja anslutningar och ta emot returtrafik. Detta skapar en grundläggande Stateful Packet Filtering-funktionalitet, där endast svarstrafik från redan etablerade sessioner accepteras, vilket förbättrar nätverkssäkerheten genom att minska risken för obehöriga intrång.