• Tarmoq A Tarmoq B R1
  • Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi




    Download 7,38 Mb.
    Pdf ko'rish
    bet32/90
    Sana15.12.2023
    Hajmi7,38 Mb.
    #119638
    1   ...   28   29   30   31   32   33   34   35   ...   90
    Bog'liq
    Тармоқ хавфсизлиги 16 шрифт

    Tarmoq A
    Tarmoq B
    R1
    Host B: 192.168.10.1
    7.3- rasm. Standart ACL ro`yxat bo`yicha tarmoq tuzilishi 
    7.3– rasmda Hostni tarmoqqa kirishiga ruxsat berilishi 
    koʻrsatilgan. B tarmoqdagi xost 192.168.10.1 dan A tarmoqqa 
    yoʻnaltirilgan barcha trafiklarni qabul qiladi va bir vaqtda boshqa B 
    tarmoqdan A tarmoqqa yoʻnaltirilgan barcha trafiklar rad etiladi.
    R1 marshrutizatorning jadvali tarmoq xostga qanday kirishga 
    ruxsat berishini koʻrsatadi. Chiqish ma’lumotlari quyidagicha: 
    – bu konfiguratsiya IP manzili 192.168.10.1 boʻlgan xostni R1 
    marshrutizatorga Ethernet 0 interfeys orqali oʻtkazadi; 
    – bu xostda A tarmoqning IP xizmatlariga kirish mavjud; 
    – B tarmoqning boshqa xostlari A tarmoqqa kira olmaydi; 


    91 
    – ACL da ruxsat bermaslikning boshqa instruksiyasi 
    sozlanmagan. 
    Har bir ACL ning oxirida noaniq sharoitda deny all (barchani 
    ta’qiqlash) mavjud. Barchasi ruxsat etilmasa, barchasi bekor qilinadi. 
    ACL B tarmoqdan A tarmoqqa yoʻnaltirilgan IP paketlarni, B 
    tarmoqdan chiquvchi paketlardan boshqa barcha paketlarni filtrlaydi. 
    B xostdan A tarmoqqa yoʻnaltirilgan paketlarga ruxsat etiladi.
    ACL ni sozlashni boshqa usuli: 
    access-list 1 permit 192.168.10.1 0.0.0.0. 
    Tarmoqqa tanlangan xostni kirishini ta’qiqlash 
    7.4 – rasmda B xostdan A tarmoqqa yoʻnaltirilgan barcha 
    trafiklarni oʻtishi bekor qilinadi va shu vaqtda B tarmoqdan A 
    tarmoqqa yoʻnaltirilgan boshqa barcha trafiklarni oʻtishi ruxsat etiladi. 
    Tarmoq A
    Tarmoq B
    R1
    Host B: 192.168.10.1
    7.4- rasm. Tarmoq tuzilishi 
    Bu konfiguratsiya 192.168.10.1/32 xostdan qabul qilingan 
    barcha paketlarni Ethernet 0 yoki R1 orqali ta’qiqlaydi va boshqa 
    barcha paketlarni qabul qilinishiga ruxsat beradi. Boshqa barcha 
    paketlarga ruxsat berish uchun quyidagi buyruqni ishlatish kerak: 
    access list 1 permit any. Har bir ACL ning oxirida noaniq sharoitda 
    deny all (barchani ta’qiqlash) mavjud. 
    Shartni qoʻyilishi ACL ro`yxatini ishlashi uchun muhim. Agar 
    yozuvni 
    teskari 
    tartibda 
    joylashtirsak, 
    ushbu 
    buyruqda 
    koʻrsatilganidek, birinchi qator paketning ixtiyoriy uzatuvchi 
    manziliga mos keladi. Shu sababli A tarmoqqa 192.168.10.1/32 
    xostini kirishini blokka tushira olmaydi.
    access-list 1 permit any 
    access-list 1 deny host 192.168.10.1 


    92 
    Kengaytirilgan ACL roʻyxati. Kengaytirilgan ACL (faqat 
    roʻyxatdan oʻtgan mijozlar uchun) IP paketni uzatuvchi va qabul 
    qiluvchi manzili bilan roʻyxatga kiritilgan manzillarni solishtirish 
    orqali trafikni boshqaradi. Kengaytirilgan ACL ni ishlashini aniq 
    berish mumkin. Kengaytirilgan ACL roʻyxati IPv4 paketlarini bir 
    nechta mezonlarga asoslanib filtrlashni amalga oshiradi: 

    protokol turi; 

    manbaning IPv4 manzili; 

    qabul qiluvchining IPv4-manzili; 

    manbaning TCP yoki UDP portlari ; 

    qabul qiluvchining TCP yoki UDP portlari; 

    samarali nazorat qilish uchun protokol turi haqidagi 
    qoʻshimcha ma’lumotlar. 
    Kengaytirilgan ACL (faqat ro`yxatdan oʻtgan mijozlar uchun) 
    IP paketni uzatuvchi va qabul qiluvchi manzili bilan ro`yxatga 
    kiritilgan 
    manzillarni 
    solishtirish 
    orqali 
    trafikni 
    boshqaradi. 
    Kengaytirilgan ACL ni ishlashini aniq berish mumkin. Trafikni 
    filtrlash quyidagi me’zonlar bilan ishlatilishi mumkin: 
    – protokol; 
    – port nomeri; 
    – DSCP qiymati; 
    – imtiyoz qiymati; 
    – SYN bitini xolati. 
    Kengaytirilgan ACL buyrugʻi quyidagi koʻrinishga ega. 
    Kengaytirilgan ACL roʻyxati 
    Router(config)#access-list  >{permit | deny 
    | remark} protocol source [source-wildcard] [operator operand] [port
    protokol nomi> [established] 

    protocol source: qaysi protokolga ruhsat berish yoki rad 
    etish (ICMP, TCP, UDP, IP, OSPF va boshqa); 

    deny: rad etish; 

    operator; 

    A.B.C.D — qabul qiluvchi manzili; 

    any — har qanday yakuniy test; 

    eq — fakat ushbu portdagi paketlar; 


    93 

    gt — faqat yuqori port raqamiga ega paketlar; 

    host — bitta oxirgi host; 

    range —port diapazioni; 

    port:  port raqami (TCP yoki UDP) yoki nomini koʻrsatish 
    ham mumkin; 

    established: avvaldan yaratilgan TCP-sessiyalarining bir 
    qismi boʻlgan TCP-segmentlarini oʻtkazishga ruxsat berish.  
    7.5– rasm. Kengaytirilgan ACL ro`yxati bo`yicha tuzilgan tarmoq topologiyasi 

    Download 7,38 Mb.
    1   ...   28   29   30   31   32   33   34   35   ...   90




    Download 7,38 Mb.
    Pdf ko'rish

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi

    Download 7,38 Mb.
    Pdf ko'rish