Access control list
Хандалтыг удирдах жагсаалт (Access-control list) гэдэг нь сүлжээгээр дамжиж байгаа өгөгдлийн багцуудыг өгөгдсөн нөхцөл, утгын тусламжтайгаар шүүж тухайн багц зөвшөөрөгдсөн эсвэл эс зөвшөөрөгдсөн (татгалзсан) эсэхийг тодорхойлдог дараалсан бичлэгүүд буюу жагсаалт юм.
Хандалтыг удирдах жагсаалт үүсгэх
[засварлах | кодоор засварлах]Хандалтыг удирдах жагсаалт үүсгэх нь сүлжээ болон сүлжээний хамгаалалтын бодлоготой холбоотой. Үүсгэх ХУЖ нь юу хийхийг нарийн тодорхой болгоно. Ямар нэгэн текст засах програм дээр урьдчилж бичнэ. Бичсэн ХУЖ-ын ажиллагааг урьдчилж шалгаж үзнэ. ХУЖ хаана байршуулахаас зөв ажиллах эсэх нь шалтгаалдаг. Стандарт ХУЖ-ыг хүлээн авах талд ойр тохируулах Өргөтгөсөн ХУЖ-ыг эх үүсвэр талтай ойр тохируулах нь хамгийн оновчтой. Мөн багцыг интерфейсийн оролтонд шалгах нь гаралтанд шалгахаас илүү оновчтой байж болох юм.
Wildcard Mask Subnet mask-ийн эсрэг утга гэвч үргэлжилсэн 1, үргэлжилсэн 0 байх албагүй. Wildcard mask-ийн бит 1 гэсэн утгатай бол харгалзах IP хаягийн битийн утгыг шалгахгүй, 0 гэсэн утгатай бол шалгана гэсэн утгыг илэрхийлнэ.
Стандарт (Standard) жагсаалт
[засварлах | кодоор засварлах]Зөвхөн эх үүсвэр талын IP хаягийн тусламжтай багцыг шүүнэ. 1 - ээс 99 хүртлэх, 1300 - аас 1999 эсвэл 'ip access-list standard нэр' гэсэн формат бүхийн нэртэй ACL буюу хандалтыг хянах дарааллыг Стандарт Хандалтыг Хянах Дараалал (Standard ACL) гэж нэрлэдэг. Нэрлэж буй дугаарлалтууд нь ямар нэгэн онцын утга агуулдаггүй. Энэ төрлийн ACL - д хүлээн авагчийн IP хаяг шаардлагагүй бөгөөд илгээгчийн IP хаяг дээр суурьлан ажилладаг. Нэр нь зөвхөн үсэг тоо байх ба үсгийг томоор бичих боломжтой, дундаа зай авах, цэг хэрэглэх боломжгүй. Заавал үсгээр эхэлсэн байна.
Өргөтгөсөн (Extended) жагсаалт
[засварлах | кодоор засварлах]- Эх үүсвэр болон хүлээн авах талын IP хаяг
- Эх үүсвэр болон хүлээн авах талын Port хаяг
- Багцын толгойн мэдээний протокол талбарын утга, протоколын тусламжтай багцыг шүүнэ. (Telnet – 23, http – 80 гэх мэт)
- Өргөтгөсөн дугаарласан 100-199, 2000-2699 Өргөтгөсөн хандалтыг удирдах жагсаалт нэрлэдэг.
- Нэр нь зөвхөн үсэг тоо байх ба үсгийг томоор бичих боломжтой, дундаа зай авах, цэг хэрэглэх боломжгүй. Заавал үсгээр эхэлсэн байна.
Хандалтыг удирдах жагсаалтыг ажиллуулах
[засварлах | кодоор засварлах]Хандалтыг удирдах жагсаалтыг ажиллуулах (apply) хийх андалтыг удирдах жагсаалтыг тохиргоог хэдийгээр төхөөрөмж дээр хийсэн боловч түүнийг ажиллуулахгүй бол тухайн ХУЖ идэвхигүй байдаг. Интерфейс дээр ажиллуулах шаардлагатай.
Интерфейсээр орох, гарах урсгал
- Out – замчлалын хүснэгтээс аль интерфейсээр гарахаа тооцоод гарах үед
- In – тухайн интерфейсээр багц орж ирэх үед
Established түлхүүр үг нь сүлжээний администратор өөрийн дотоод сүлжээг нийтийн сүлжээнээс(Интернэт) хамгаалах зорилгоор ашиглана. Өөрийн сүлжээнээс гарсан өгөгдлийн хариулт мэдээ буцаж орж ирэхийг зөвшөөрөх бөгөөд гаднаас ямар нэгэн хүсэлт орж ирэхийг хязгаарлана. TCP протоколын хувьд ашиглах боломжтой.
Дугаарласан өргөтгөсөн хандалтыг удирдах жагсаалт үүсгэх
[засварлах | кодоор засварлах]- TCP – TCP протокол, түүнийг ашиглагдаг үйлчилгээнүүд
- UDP - UDP протокол, түүнийг ашиглагдаг үйлчилгээнүүд
- IP – Бүх интернэт протокол
- ICMP – ICMP протокол, түүний мэдээний төрөл
- IGMP - IGMP протокол, түүний мэдээний төрөл
- EIGRP – Замчлалын протокол
- OSPF – Замчлалын протокол
- ESP – Encapsulation Security Payload
- AHP – Authentication Header Protocol
Дугаарласан хандалтыг удирдах жагсаалтыг засварлах
- ХУЖ-д бичлэг нэмэх үед өмнө бичсэн ХУЖ-ын ард бичигддэг.
- Шинээр жагсаалт нэмэх, хасах ажиллагаа бэрхшээлтэй.
- ХУЖ-ыг засварлах зөвлөгөө
- Running-config-оос засварлахыг хүссэн дугаартай ХУЖ-уудыг гаргана.
- Бүгдийг нь хуулж аваад ямар нэгэн текст засварлах програм(notepad) дээр тавина.
- Засварыг хийх ба дарааллыг зөв тодорхойлно.
- Өмнө бичсэн ХУЖ-ыг устгана.
- Шинэ ХУЖ-аа хуулаад тавина.
Operator Operand
[засварлах | кодоор засварлах]- eq – Equal – Зөвхөн тухайн операторын ард заасан портын дугаар, нэртэй тэнцүү багцууд
- gt – Greater than - операторын ард заасан портын дугаараас их портын дугаартай багцууд
- lt – Lower than - операторын ард заасан портын дугаараас бага портын дугаартай багцууд
- neq– not equal - операторын ард заасан портын дугаараас бусад портын дугаартай багцууд
- Range- операторын ард заасан портын дугааруудын хоорондох портын дугаартай багцууд
Портын дугаар нэр
[засварлах | кодоор засварлах]- TCP 20 – ftp-data – FTP өгөгдөл
- TCP 21 – ftp – FTP удирдлагын мэдээ
- TCP 23 – telnet – Алсаас хандалт
- TCP 25 – smtp – Мэйл дамжуулалт
- UDP 53 – domain – DNS өгөгдөл
- TCP 80 – www TCP 110 – pop3 – Мэйл хүлээн авах
- UDP 161 – snmp – SNMP өгөгдөл
- UDP 520 – rip