Стандарт третьего поколения в. Олифер Н. Олифер

Фильтрация трафика
385
Пусть мы хотим разрешить доступ к серверу 51 только с компьютеров 
С
1 и 
С
3, кадры от 
всех остальных компьютеров до этого сервера доходить не должны. Список доступа, ко­
торый решает эту задачу, может выглядеть так:
10 permit MAC-Cl MAC-SI
20 permit MAC-C3 MAC-S1
30 deny any any
Числа 10,20 и 30 — это номера строк данного списка. Строки нумеруются с интервалом 10, 
чтобы в дальнейшем была возможность добавить в этот список другие записи, сохраняя 
исходную последовательность строк. Первое условие разрешает 
(permit) 
передачу кадра, 
если его адрес источника равен МАС-С1, а адрес назначения — MAC-S1; второе условие 
делает то же, но для кадра с адресом источника МАС-СЗ, третье условие запрещает 
(deny) 
передачу кадров с любыми 
(any) 
адресами.
Для того чтобы список доступа начал работать, его нужно применить к трафику опреде­
ленного направления на какому-либо порту коммутатора: либо к входящему, либо к ис­
ходящему. В нашем примере нам нужно применить список доступа к исходящему трафику 
порта 1 коммутатора SW3, к которому подключен сервер 51. Коммутатор SW3 перед тем, 
как предать кадр на порт 1, будет просматривать условия списка доступа по очереди. Если 
какое-то условие из списка соблюдается, то коммутатор выполняет действие этого усло­
вия для обрабатываемого кадра, и на этом применение списка доступа к данному кадру 
заканчивается.
Поэтому когда от компьютера С1 приходит кадр, адресованный серверу 51, то соблюдается 
первое условие списка, которое разрешает передачу кадра, так что коммутатор выполняет 
стандартное действие по продвижению кадра и тот доходит до сервера 52. С кадром от 
компьютера СЗ совпадение происходит при проверке второго условия, и он также пере­
дается. Однако когда приходят кадры от других компьютеров, например компьютера С2, 
то ни первое, ни второе условие не соблюдается, зато соблюдается третье условие, поэтому 
кадр не передается, а отбрасывается.
Списки доступа коммутаторов не работают с широковещательными адресами Ethernet, 
такие кадры всегда передаются на все порты коммутатора. Списки доступа коммутаторов 
достаточно примитивны, поскольку способны оперировать только информацией канально­
го уровня, то есть МАС-адресами. Списки доступа маршрутизаторов гораздо более гибкие 
и мощные, поэтому на практике они применяются гораздо чаще1.
Иногда администратору требуется задать более тонкие условия фильтрации, например за­
претить некоторому пользователю печатать свои документы на Windows-сервере печати, 
находящемуся в чужом сегменте, а остальные ресурсы этого сегмента сделать доступными. 
Для реализации подобного фильтра нужно запретить передачу кадров, которые удовлет­
воряют следующим условиям: во-первых, имеют определенный МАС-адрес, во-вторых, 
содержат в поле данных пакеты SMB, в-третьих, в соответствующем поле этих пакетов 
в качестве типа сервиса указана печать. Коммутаторы не анализируют протоколы верх­
них уровней, такие как SMB, поэтому администратору приходится для задания условий 
фильтрации «вручную» определять поле, по значению которого нужно осуществлять 
фильтрацию. В качестве признака фильтрации администратор указывает пару «смещение-

Download 48,08 Mb.

Do'stlaringiz bilan baham: