Video: Erweiterte Kürzung in der Gewerbesteuer 2024
Mit erweiterten Zugriffssteuerungslisten (Access Control Lists, ACLs) können Sie den Datenverkehr von bestimmten IP-Adressen zu einer bestimmten Ziel-IP-Adresse und einem bestimmten Port zulassen oder verweigern. Es ermöglicht Ihnen auch, verschiedene Arten von Datenverkehr wie ICMP, TCP, UDP usw. anzugeben. Es ist unnötig zu sagen, dass es sehr detailliert ist und Ihnen erlaubt, sehr spezifisch zu sein.
Wenn Sie eine Paketfilterungsfirewall zum Schutz Ihres Netzwerks erstellen möchten, ist dies eine erweiterte ACL, die Sie erstellen müssen.
Das zu verwendende Beispiel enthält einen Router, der mit dem 192. 168. 8. 0/24 Segment an einer internen Schnittstelle ( FastEthernet 0/0 ) verbunden ist. Adresse 192. 168. 8. 1/24 und zum 10. 0. 2. 0/24 Segment an einer externen Schnittstelle ( FastEthernet 0/1 ) mit Adresse 10 0. 2. 1 / 24.
In diesem Fall würden Sie das Netzwerk 192. 168. 8. 0/24 verwalten, und eine unbekannte und nicht vertrauenswürdige Gruppe verwaltet den Rest des Netzwerks wie dargestellt. In diesem Netzwerk möchten Sie Benutzern erlauben, nur auf Webserver außerhalb des Netzwerks zuzugreifen. Um dies zu unterstützen, müssen Sie zwei ACLs 101 und 102 erstellen.
Sie verwenden Zugriffsliste 101 , um den Verkehr zu verwalten, der das Büro verlässt, und Zugriffsliste 102 , um Verkehr vom nicht vertrauenswürdigen Netzwerk in das Büro zu leiten…
Erstellen von ACL 101
Router1> aktivieren Passwort: Router1 # Terminal konfigurieren Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL / Z. Router1 (config) # Zugriffsliste 101 Bemerkung Diese ACL soll den ausgehenden Router-Datenverkehr steuern. Router1 (config) # Zugriffsliste 101 Erlaubnis tcp 192. 168. 8. 0 0. 0. 0. 255 irgendein eq 80 Router1 (Config) # Zugriffsliste 101 Erlaubnis tcp 192. 168. 8. 0 0. 0. 0. 255 beliebig eq 443 Router1 (config) # end
Erstellen von ACL 102
Router1> aktivieren Passwort: Router1 # Terminal konfigurieren Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL / Z. Router1 (config) # Zugriffsliste 102 Bemerkung Diese ACL soll den eingehenden Router-Verkehr kontrollieren. Router1 (config) # access-list 102 allow tcp any 192. 168. 8. 0 0. 0. 0. 255 etabliert Router1 (config) # end
Wenn Sie ACL 101 untersuchen, wird die Aufschlüsselung des Formats Der Befehl lautet wie folgt:
-
Die ACL ist die Nummer 101
-
Er erlaubt den Datenverkehr
-
Er erlaubt TCP-Datenverkehr
-
Die Quelle, von der er erlaubt ist, ist definiert durch 192. 168. 8. 0 mit einem Platzhaltermaske von 0. 0. 0. 255
-
Der Zielhost ist ein beliebiger Host
-
Der TCP-Verkehr, der zulässig ist, ist auf Port 80
-
Die zweite Zeile ist die gleiche, aber sie erlaubt Verkehr auf TCP-Port 443
Wenn Sie die gleiche Prüfung der zweiten ACL, ACL 102, durchführen, sollten Sie Folgendes erhalten:
-
Die ACL ist die Nummer 102
-
Sie erlaubt den Datenverkehr
-
Sie ermöglicht TCP-Datenverkehr
-
Quelle, von der es erlaubt ist, ist jeder Host
-
Der Zielhost ist durch 192 definiert.168. 8. 0 mit einer Wildcard-Maske von 0. 0. 0. 255
-
Der TCP-Verkehr, der erlaubt wird, ist jeglicher Verkehr in einer eingerichteten Sitzung
Der letzte Punkt in ACL 102 ist etwas, das etwas genauer betrachtet werden kann… In der folgenden Abbildung hat ein Clientcomputer im Netzwerk 192. 168. 8. 0/24 eine TCP-Sitzung mit einem Remoteserver erstellt. Diese TCP-Sitzung hatte einen Handshaking-Prozess, der festlegte, welche Ports verwendet werden sollten, was ein zufällig ausgewählter Port auf dem Client und Port 80 auf dem Server war.
Der in der ACE verwendete Port ist von der Zieladresse abhängig. In diesem Fall ist der Zielport ein zufällig ausgewählter Port auf dem Client. Anstatt festzulegen, dass jeder mögliche Port offen ist, was nicht sicher wäre, besteht die Option darin, zu sagen, dass jede auf dem Client etablierte Sitzung erlaubt ist. Wenn der Client die Verbindung öffnet, lässt diese ACL den Datenverkehr daher zurück.