χρησιμοποιώντας μια εκτεταμένη λίστα πρόσβασης (συνιστάται): Οι εκτεταμένες λίστες πρόσβασης σάς επιτρέπουν να φιλτράρετε με βάση τη διεύθυνση IP πηγής/προορισμού, το πρωτόκολλο και τη θύρα. Αυτό είναι πολύ πιο ακριβές και ασφαλές από μια τυπική λίστα πρόσβασης.
`` `
Access-List Extended deny_dns_53 DENY TCP ΟΠΟΙΟΔΗΠΟΤΕ ΕΞΕΤΑΣΗ 53
Access-List Extended deny_dns_53 DENY UDP ΟΠΟΙΟΔΗΠΟΤΕ ΕΞΕΤΑΣΗ 53
`` `
Αυτό δημιουργεί μια εκτεταμένη λίστα πρόσβασης που ονομάζεται `deny_dns_53`. Οι γραμμές κάνουν τα εξής:
* `DENY TCP ΟΠΟΙΟΔΗΠΟΤΕ ΟΠΟΙΑΔΗΠΟΤΕ EQ 53`:ΑΝΤΙΠΡΟΣΩΠΕΥΣΕΙ ΤΗΝ ΚΥΚΛΟΦΟΡΙΑ ΤΟ TCP στη θύρα 53 (χρησιμοποιείται για ορισμένα ερωτήματα DNS). "Οποιοδήποτε" σημαίνει οποιαδήποτε διεύθυνση IP προέλευσης και προορισμού.
* `DENY UDP ΟΠΟΙΟΔΗΠΟΤΕ ΟΠΟΙΑΔΗΠΟΤΕ EQ 53`:ΑΝΤΙΠΡΟΣΩΠΕΥΣΕΙ ΤΗΝ ΠΡΟΣΟΧΗ ΣΤΗ Θύρα 53 (Η κύρια θύρα που χρησιμοποιείται για το DNS). "Οποιοσδήποτε" σημαίνει και πάλι οποιαδήποτε διεύθυνση IP προέλευσης και προορισμού.
Εφαρμογή της λίστας πρόσβασης: Αυτή η λίστα πρόσβασης πρέπει να εφαρμοστεί σε διεπαφή, για παράδειγμα:
`` `
διασύνδεση gigabitethernet0/0
IP πρόσβαση-ομάδα deny_dns_53 out
`` `
Αυτό εφαρμόζει τη λίστα πρόσβασης στην εξερχόμενη κυκλοφορία της διεπαφής `gigabitethernet0/0`. Αλλαγή `out` σε` in` για να φιλτράρετε την εισερχόμενη κυκλοφορία. Αντικαταστήστε το `gigabitethernet0/0` με την πραγματική διεπαφή που θέλετε να ελέγξετε.
χρησιμοποιώντας μια τυπική λίστα πρόσβασης (λιγότερο ακριβής, γενικά δεν συνιστάται): Οι τυποποιημένες λίστες πρόσβασης φιλτράρονται μόνο με βάση τις διευθύνσεις IP προέλευσης. Δεν μπορείτε να καθορίσετε τη θύρα με τυπική λίστα πρόσβασης, καθιστώντας το ακατάλληλο για αυτή τη συγκεκριμένη εργασία, εκτός αν θέλετε να αρνηθείτε την κυκλοφορία από ένα συγκεκριμένο IP *εξ ολοκλήρου *, ανεξάρτητα από το λιμάνι. Θα ήταν πολύ ευρύτερο και πιο πιθανό να διαταράξει τη νόμιμη κυκλοφορία. Αποφύγετε αυτήν την προσέγγιση για το φιλτράρισμα DNS.
Σημαντικές εκτιμήσεις:
* τοποθέτηση: Εξετάστε προσεκτικά πού εφαρμόζετε τη λίστα πρόσβασης. Η εφαρμογή του πολύ ευρέως θα μπορούσε να διαταράξει το δικό σας ψήφισμα DNS. Είναι συχνά καλύτερο να το εφαρμόσετε σε μια διεπαφή πιο κοντά στις συσκευές ή τους χρήστες που θέλετε να περιορίσετε.
* Εσωτερική DNS: Εάν έχετε εσωτερικό διακομιστή DNS, βεβαιωθείτε ότι δεν επηρεάζεται από αυτήν τη λίστα πρόσβασης. Μπορεί να χρειαστείτε πρόσθετους κανόνες για να επιτρέψετε την κυκλοφορία και από τον εσωτερικό σας διακομιστή DNS.
* Άλλες θύρες: Το DNS μπορεί μερικές φορές να χρησιμοποιήσει άλλες θύρες. Ενώ το 53 είναι το πρότυπο, ίσως χρειαστεί να εξετάσετε πρόσθετους κανόνες εάν υποψιάζεστε ότι χρησιμοποιούνται εναλλακτικές θύρες.
* Firewall: Εξετάστε ένα τείχος προστασίας (όπως το PFSense, το OpnSense ή ένα εξειδικευμένο τείχος προστασίας υλικού) για πιο ισχυρή και εξελιγμένη ασφάλεια δικτύου. Τα τείχη προστασίας προσφέρουν γενικά πιο προηγμένα χαρακτηριστικά για τον έλεγχο της κυκλοφορίας από τις απλές λίστες πρόσβασης.
Δοκιμάστε πάντα τις αλλαγές της λίστας πρόσβασης σε ένα περιβάλλον δοκιμής πριν τις εφαρμόσετε στο δίκτυο παραγωγής σας. Οι λανθασμένες λίστες πρόσβασης μπορεί να διαταράξουν σοβαρά τη συνδεσιμότητα του δικτύου.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα