I. Příklad systému řízení přístupu ke zdrojům v areálu
Systém řízení přístupu ke zdrojům v areálu může uživatelům umožnit přímý přístup ke zdrojům bez přihlášení, stejně jako někteří uživatelé v areálu mohou přistupovat ke zdrojům bez přihlášení do systému. K dispozici je také nová verze VPN, která je otevřena pro usnadnění přístupu k intranetu a zdrojům knihoven v externí síti. Nevyžaduje instalaci klientů a zásuvných modulů, podporuje přímé použití na počítačích a mobilních telefonech a pro lepší zážitek doporučuje použití konkrétních prohlížečů. Toto je zvláštní situace řízení přístupu pro konkrétní prostředí (přístup ke zdrojům v areálu). Tato metoda je založena na nastavení zásad sdílení zdrojů na akademické půdě a jejím účelem je usnadnit uživatelům na akademické půdě získání zdrojů.
II. Princip činnosti ACL (Access Control List)
1. Založeno na technologii filtrování paketů
- ACL používá technologii filtrování paketů ke čtení informací v hlavičkách paketů 3. a 4. vrstvy sedmivrstvého modelu OSI na routeru, jako je zdrojová adresa, cílová adresa, zdrojový port, cílový port atd.
- Podle předem definovaných pravidel je paket filtrován pro dosažení účelu řízení přístupu.
2. Sada pravidel a aplikace rozhraní
- ACL je sada pravidel, která se aplikují na určité rozhraní routeru. U rozhraní routeru má seznam řízení přístupu dva směry: odchozí (datové pakety, které byly zpracovány routerem a opouštějí router) a příchozí (datové pakety, které dorazily na rozhraní routeru a budou routerem zpracovány). .
- Pokud je ACL aplikován na určité rozhraní směrovače, směrovač aplikuje tuto sadu pravidel na datové pakety pro sekvenční porovnávání a filtruje datové pakety zastavením, pokud dojde ke shodě, a použitím výchozího pravidla, pokud shoda nenastane. dojít.
3. Standardní seznam řízení přístupu
- Povolit nebo zakázat datové pakety na základě zdrojové IP adresy datového paketu. Číslo seznamu řízení přístupu standardního seznamu řízení přístupu je 1 - 99.
– Například syntaxe pro vytvoření ACL, která umožní všem hostitelům v segmentu sítě 192.168.1.0 je: Router(config)#access-list1permit192.168.1.{{10}} .0.0.255; vytvoření ACL pro povolení určitého hostitele je Router(config)#access-list1permithost10.0.0.1; vytvoření výchozího ACL pro odepření přístupu všem hostitelům je Router(config)#access-list1denyany, kde klíčové slovo hostitel může specifikovat adresu hostitele bez zapsání inverzní podsítě a libovolný může reprezentovat všechny hostitele.
4. Rozšířený seznam řízení přístupu
- Povolit nebo zakázat datové pakety na základě zdrojové IP adresy, cílové IP adresy, zadaného protokolu, portu a příznaků datového paketu. Číslo přístupového seznamu rozšířeného přístupového seznamu je 100-199.
- Syntaxe pro vytvoření rozšířeného ACL je následující (zahrnuje access-list-number pro zadání čísla přístupového seznamu, protokol pro specifikaci typu protokolu, jako je IP, TCP, UDP, ICMP atd., zdroj a cíl pro označení zdrojové adresy a cílové adresy, zdrojový-zástupný znak a cílový-zástupný znak jsou inverzní kódy podsítě).
Systémy řízení přístupu obecně určují, kteří uživatelé nebo datové pakety mohou přistupovat ke konkrétním zdrojům nebo prostřednictvím specifických síťových rozhraní nastavením pravidel. Tato pravidla mohou být založena na různých faktorech, od jednoduchých IP adres až po složité kombinace více síťových parametrů, jako jsou protokoly a porty.
