- •Основы безопасности сетей
- ••Основные задачи
- •Типовая структура КС
- •Ресурсы по группам риска
- •Основные направления атак
- •Основные типы атак
- •Основные типы атак
- •Структура системы безопасности
- •Защищаемые объекты
- •Защищаемые объекты
- •Защита периметра
- •Защита ресурсов
- •Выделение зон доступа
- •Защита внутренних подключений (прямое подключение)
- •Защита внутренних подключений (WiFi)
- •Настройка фильтра пакетов
- •Структура ACL
- •Структура ACL
- •Направления применения ACL
- •Пример использования
- •Расширенный ACL
- •Настройка групп списков
- •Настройка ретрансляции адресов (NAT)
- •Настройка ретрансляции адресов (NFT)
- •Настройка ретрансляции адресов (NFT)
Расширенный ACL
Расширенный список доступа
access-list <номер списка от 100 до 199>
{deny|permit|remark} {protocol|protocol-keyword} {ip-src src-wildcard|any|host ip-src} [src-port] {ip-dst dst-wildcard|any|host ip-dst} [dst-port]
[precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] [fragments]
Казаков Ф.А. |
21 |
Настройка групп списков
Router#conf t
Router(config)#ip access-list extended http_only Router(config-ext-nacl)#permit tcp any host 192.168.1.10 eq www Router(config-ext-nacl)#int fa 0/1
Router(config-if)#ip access-group http_only out
Казаков Ф.А. |
22 |
Настройка ретрансляции адресов (NAT)
•Используется для подключения сети с «серыми» ip-адресами к сети Интернет
•При необходимости скрыть адресное пространство локальной сети
•Для повышения безопасности локальной сети
Казаков Ф.А. |
23 |
Настройка ретрансляции адресов (NFT)
|
Глобальная сеть |
Локальная сеть |
Используются реальные |
адреса; |
|
Используются «серые |
Вся локальная сеть |
адреса» |
использует один |
|
реальный адрес для |
|
обращения к ресурсам |
Казаков Ф.А. |
24 |
Настройка ретрансляции адресов (NFT)
1. Создаем диапазон адресов используемых для ретрансляции:
Router#conf t
Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255
2. Определяем стороны:
Router(config)#int fa 0/0
Router(config-if)#ip nat inside
Router(config-if)#int fa 0/1
Router(config-if)#ip nat outside
3. Настраиваем ретрансляцию:
Router(config)#ip nat inside source list 10 interface fa 0/1
Казаков Ф.А. |
25 |