پس از تنظیمات اینترفیس های روتر ، باید ببینیم آیا شبکه ای که از طریق این اینترفیس ها، امکان اتصال به آن فراهم شده است شبکه امنی خواهد بود.ممکن است شما یک وب سرور داشته باشید و تنها مایلید به بسته هایی اجازه ورود به شبکه خود را بدهید که فقط مربوط به وب سرور می باشند و مایلید که اجازه هرگونه ارتباط دیگر را با سرورهای داخل شبکه خود را از اینترنت بگیرید.در چنین مواردی روش معمولی که بکار می رود استفاده از access list ها می باشد.
شما در روتر خود با تعریف یکسری access list خاص اجازه ورود هر بسته ای به شبکه بجز بسته های مربوط به وب سرور را می گیرید.
سیسکو دو نوع کلاس متفاوت از access list در درون روترهای خود قرار داده است.در اولین کلاس که به آن access list استاندارد می گویند تنها می توان آدرس مبدا(source address) را فیلتر کرد.برای نامگذاری این access list ها از شماره 1 تا 99 می توان استفاده کرد.کلاس دوم که access list توسعه یافته نامیده می شود از شماره 100 شروع شده و تا199 ادامه می یابد و می توان فیلتر مورد نظر را روی فیلدهای آدرس مبدا(source address)، آدرس مقصد (destination address)، پروتکل(protocol) و پورت(protocol port) اعمال نمود.
شما در روتر خود با تعریف یکسری access list خاص اجازه ورود هر بسته ای به شبکه بجز بسته های مربوط به وب سرور را می گیرید.
سیسکو دو نوع کلاس متفاوت از access list در درون روترهای خود قرار داده است.در اولین کلاس که به آن access list استاندارد می گویند تنها می توان آدرس مبدا(source address) را فیلتر کرد.برای نامگذاری این access list ها از شماره 1 تا 99 می توان استفاده کرد.کلاس دوم که access list توسعه یافته نامیده می شود از شماره 100 شروع شده و تا199 ادامه می یابد و می توان فیلتر مورد نظر را روی فیلدهای آدرس مبدا(source address)، آدرس مقصد (destination address)، پروتکل(protocol) و پورت(protocol port) اعمال نمود.
پس از آنکه یک access list ساخته شد باید آنرا به یک اینترفیس نسبت داد تا مورد استفاده قرار گیرد.در تنظیمات اینترفیس،از عبارت access-group برای اعمال یا حذف یک access-list از ان اینترفیس استفاده می شود.به مثال زیر توجه کنید:
Interface serial0
Ip access-group 101 in
Ip access-group 6 out
در مجموعه دستورات فوق فیلترهای موجود در access list توسعه یافته شماره 101 بر روی بسته های ورودی به اینترفیس serial0 اعمال خواهد شد.همچنین فیلترهای موجود در access list استاندارد شماره 6 بر روی بسته های خروجی از اینترفیس serial0 اعمال می شوند.
به عنوان مثال access list شماره 6 را به صورت زیر تعریف می کنیم:
Access-list 6 permit 234.5.6.12
Access-list 6 deny 5.10.10.32 0.0.0.31
access-list 10 permit 5.10.0.0 0.0.255.255
در خط اول به ترافیک ارسالی از آدرس 234.5.6.12 اجازه عبور داده می شود.
خط دوم ترافیک ارسالی از آدرسهای 5.10.10.32 تا 5.10.10.63 را رد می کند.
در access list ها، سیسکو به جای netmask از wildcard mask استفاده می کند. تفاوت آن با netmask در این است که netmask از چپ به راست عمل می کند ولی wildcard از راست به چپ.در خط انتهایی با استفاده از wildcard mask حوزه آدرسها مشخص شده است.آدرسهایی که با 5،10، شروع می شوند. یعنی این خط به ترافیک ارسالی از آدرسهای 5.10.0.0 تا 5.10.255.255 اجازه عبور می دهد.
خط دوم ترافیک ارسالی از آدرسهای 5.10.10.32 تا 5.10.10.63 را رد می کند.
در access list ها، سیسکو به جای netmask از wildcard mask استفاده می کند. تفاوت آن با netmask در این است که netmask از چپ به راست عمل می کند ولی wildcard از راست به چپ.در خط انتهایی با استفاده از wildcard mask حوزه آدرسها مشخص شده است.آدرسهایی که با 5،10، شروع می شوند. یعنی این خط به ترافیک ارسالی از آدرسهای 5.10.0.0 تا 5.10.255.255 اجازه عبور می دهد.
در رابطه با access list ها باید به چند مسئله توجه کرد:
1- access list ها طراحی شده اند تا به ترافیکهای مورد نظر اجازه عبور داده شود.یعنی فرض بر آن است که تمام ترافیکها deny می شوند و برای ترافیکی که می خواهیم عبور داده شود با استفاده از access list اجازه عبور صادر می کنیم.
2- پردازش access list وقت زیادی از پردازنده را می گیرد.بنابراین ورودیهایی که بیشتر مورد استفاده قرار می گیرند را باید در ابتدای access list قرار داد تا تعداد پردازش انجام شده کاهش یابد زیرا پردازش access list از ابتدا به انتها انجام می شود و اولین ورودی که شرایط مورد نظر را داشته باشد نتیجه اعمال شده و بقیه access list پردازش نخواهد شد.
3- نکته دیگری که باید مورد توجه قرار گیرد این است که تغییرات در روتر بصورت آنی اعمال می شوند.بنابراین به هنگام تغییر محتویات یک access list بهتر است ابتدا آنرا از اینترفیس مربوطه پس بگیریم و سپس پس از پایان تغییرات دوباره آنرا به اینترفیس مورد نظر اعمال کنیم.
ساختن access list توسعه یافته معمولا دشوارتر است.از آنجائیکه access list توسعه یافته هم آدرس مبدا و هم آدرس مقصد را تحت تاثیر قرار می دهد بنابراین در هر ورودی access list دو قسمت مورد نیاز است.یک مثال کوتاه در ادامه آمده است
:
access-list 101 permit tcp any any established
access-list 101 permit tcp any 204.34.5.25 host eq 80
access-list 101 permit ip 203.45.34.0 0.0.0.255 204.34.5.0 0.0.0.255
access-list 101 permit tcp 203.44.32.0 0.0.0.31 204.34.5.0 0.0.0.255 eq telnet
access-list 101 permit tcp any 204.34.5.25 host eq 80
access-list 101 permit ip 203.45.34.0 0.0.0.255 204.34.5.0 0.0.0.255
access-list 101 permit tcp 203.44.32.0 0.0.0.31 204.34.5.0 0.0.0.255 eq telnet
access-list 101 permit tcp any 204.34.5.10 eq smtp
خط اول به ترافیک مربوط به tcp که دارای فلگ established باشند اجازه عبور می دهد.این بدان معنی است که access list به ترافیک ورودی مربوط به کلیه اتصالاتی که از داخل با بیرون برقرار شده اجازه عبور به داخل را می دهد.این خصیصه بسیار مهمی است چون ترافیک مربوط به اتصالات tcp که با خارج برقرار شده است بر روی پورتی که به صورت random انتخاب می شود ارسال می شوند با استفاده از فیلد فلگ ترافیک می توان به آنها اجازه عبور داد و نیازی به دانستن شماره پورت نمی باشد.
نکته دیگری که در مورد این خط اول وجود دارد این است که اتصالات tcp از خارج به داخل تنها برای برقراری ارتباط اولیه نیاز به پردازش چند خط از access list را دارند و بعدا که ارتباط برقرار شد فیلد فلگ ترافیک ارسالی برابر established شده و در access list تنها همین خط اول پردازش شده و چون تطابق برقرار است به ترافیک اجازه عبور داده شده و پردازش access list پایان می یابد.بنابراین محل قرار گیری این خط در ابتدای access list بسیار مهم است.
در خط دوم دیده می شود که به جای فیلد wildcard mask عبارت Host قرار گرفته است.هر گاه که یک آدرس IP مشخص را استفاده کنیم در wildcard همین عبارت host قرار می گیرد.در بقیه خطوط نیز مطلب جدیدی وجود ندارد و با توجه به توضیحات قبلی قابل فهم می باشد..
نکته دیگری که در مورد این خط اول وجود دارد این است که اتصالات tcp از خارج به داخل تنها برای برقراری ارتباط اولیه نیاز به پردازش چند خط از access list را دارند و بعدا که ارتباط برقرار شد فیلد فلگ ترافیک ارسالی برابر established شده و در access list تنها همین خط اول پردازش شده و چون تطابق برقرار است به ترافیک اجازه عبور داده شده و پردازش access list پایان می یابد.بنابراین محل قرار گیری این خط در ابتدای access list بسیار مهم است.
در خط دوم دیده می شود که به جای فیلد wildcard mask عبارت Host قرار گرفته است.هر گاه که یک آدرس IP مشخص را استفاده کنیم در wildcard همین عبارت host قرار می گیرد.در بقیه خطوط نیز مطلب جدیدی وجود ندارد و با توجه به توضیحات قبلی قابل فهم می باشد..