I. Приклад системи контролю доступу до ресурсів на кампусі
Система контролю доступу до ресурсів на кампусі може дозволити користувачам отримувати прямий доступ до ресурсів без входу в систему, так само як деякі користувачі на кампусі можуть отримувати доступ до ресурсів без входу в систему. Існує також нова версія VPN, яка відкрита для полегшення доступу до внутрішньої мережі та бібліотечних ресурсів у зовнішній мережі. Він не потребує встановлення клієнтів і плагінів, підтримує пряме використання на комп’ютерах і мобільних телефонах і рекомендує використовувати певні браузери для кращого досвіду. Це особлива ситуація контролю доступу для конкретного середовища (доступ до ресурсів на кампусі). Цей метод базується на налаштуванні політики спільного використання ресурсів на кампусі, і мета полягає в тому, щоб полегшити користувачам на кампусі отримання ресурсів.
II. Принцип роботи ACL (список контролю доступу)
1. На основі технології фільтрації пакетів
- ACL використовує технологію фільтрації пакетів для читання інформації в заголовках пакетів 3-го та 4-го рівнів семирівневої моделі OSI на маршрутизаторі, такої як адреса джерела, адреса призначення, порт джерела, порт призначення тощо.
- Відповідно до попередньо визначених правил, пакет фільтрується для досягнення мети контролю доступу.
2. Набір правил і додаток інтерфейсу
- ACL - це набір правил, які застосовуються до певного інтерфейсу маршрутизатора. Для інтерфейсу маршрутизатора список контролю доступу має два напрямки: вихідний (пакети даних, які були оброблені маршрутизатором і залишають маршрутизатор) і вхідний (пакети даних, які надійшли на інтерфейс маршрутизатора і будуть оброблені маршрутизатором). .
- Якщо ACL застосовано до певного інтерфейсу маршрутизатора, маршрутизатор застосовує цей набір правил до пакетів даних для послідовного зіставлення та фільтрує пакети даних, зупиняючись у разі збігу, і використовуючи правило за замовчуванням, якщо збігу немає. відбуваються.
3. Стандартний список контролю доступу
- Дозволяти або забороняти пакети даних на основі IP-адреси джерела пакета даних. Номер стандартного списку керування доступом – 1 - 99.
- Наприклад, синтаксис для створення ACL, який дозволяє всім хостам у сегменті мережі 192.168.1.0: Router(config)#access-list1permit192.168.1.{{10}} .0.0.255; створення ACL для дозволу певного хосту є Router(config)#access-list1permithost10.0.0.1; створення ACL за замовчуванням для заборони доступу до всіх хостів є Router(config)#access-list1denyany, де ключове слово host може вказати адресу хоста без запису інверсії підмережі, а any може представляти всі хости.
4. Розширений список контролю доступу
- Дозволяти або забороняти пакети даних на основі IP-адреси джерела, IP-адреси призначення, зазначеного протоколу, порту та прапорів пакета даних. Номер розширеного списку керування доступом – 100-199.
- Синтаксис для створення розширеного списку керування доступом виглядає наступним чином (він включає номер списку доступу для визначення номера списку контролю доступу, протокол для визначення типу протоколу, наприклад IP, TCP, UDP, ICMP тощо, джерело та призначення для вказівки адреси джерела та адреси призначення відповідно, символ підстановки джерела та символ підстановки призначення є зворотними кодами підмережі).
Загалом системи контролю доступу визначають, які користувачі або пакети даних можуть отримати доступ до певних ресурсів або через певні мережеві інтерфейси, встановлюючи правила. Ці правила можуть ґрунтуватися на різних факторах, від простих IP-адрес до складних комбінацій кількох мережевих параметрів, таких як протоколи та порти.
