что такое сетевой периметр
Как улучшить защиту периметра сети? Практические рекомендации для Check Point и не только
Мы продолжаем цикл статей, посвященных оптимизации security настроек средств защиты периметра сети (NGFW). Хочу сразу заметить, что приведенные рекомендации подходят не только для владельцев Check Point. По сути, если разобраться, угрозы одинаковы для всех, просто каждый NGFW-вендор это решает (или не решает) по-своему. До этого мы опубликовали мини курс “Check Point на максимум”, где показали, чем опасны “дефолтные” настройки. Это были рекомендации общего характера. Теперь же нам хотелось описать более конкретные шаги по возможному усилению защиты периметра. Данная статья носит исключительно рекомендательный характер! Не стоит слепо следовать этой инструкции без предварительного анализа возможных последствий для вашей сети!
Тренды в кибератаках
Прежде чем давать рекомендации, надо понять, а что нам угрожает? От чего защищаться? Для этого я предлагаю воспользоваться отчетом Check Point за 2018 год (CYBER ATTACK TRENDS ANALYSIS). Естественно там много маркетинга, но есть и весьма полезная информация. К примеру, статистика по типам вирусных файлов, которые были получены через Web (http/https) и Email (smtp):
Из этой картинки можно получить очень важную информацию. Web и Email до сих пор два главных вектора атаки. Причем если посмотреть на статистику, то можно увидеть, что в первом полугодии преобладал SMTP, а во втором — HTTP.
Давайте посмотрим, как мы можем усилить защиту по каждому вектору атаки (т.е. по Web и Email).
Сразу оговоримся, что данных мер конечно же будет недостаточно для обеспечения комплексной защиты. Однако, если верить статистике, то мы сможем значительно улучшить безопасность нашей сети.
Усиливаем защиту от вредоносного Web-трафика
Еще в курсе “Check Point на максимум” я показал несколько приемов по улучшению защиты для Web-трафика. Самые главные пункты:
1) Блокировка контента (Content Awareness)
Как мы увидели из картинки выше, формат .exe чаще всего встречается среди вирусных файлов, которые пользователи получают через Web. Аж 46%! А нужны ли эти файлы вашим пользователям? Во 2 уроке “Check Point на максимум” я уже показывал как использовать блейд Content Awareness. Если у вас еще были сомнения на счет подобной блокировки, то еще раз взгляните на статистику. Заблокировав данный тип файлов вы “упрощаете” жизнь вашему NGFW на 46% (с точки зрения проверки файлов). Нужно всего лишь добавить одно правило:
Зачем проверять то, что вам заведомо не нужно и надеяться, что при этом не облажается ваш антивирус или песочница?
Если вы используете другое решение (не Check Point), то возможно там нет такого функционала, как Content Awareness, однако, наверняка будет возможность блокировать различные типы файлов с помощью антивируса. Это более ресурсоемкий способ, но это лучше, чем ничего.
С остальными типами файлов не все так просто. Doc и Pdf наверняка нужны большинству и блокировать их не представляется возможным. Тоже самое касается остальных файлов (JS, Jar), если их заблокировать, то возникнут проблемы с отображением web-страниц. Единственный выход в этому случае — ОЧЕНЬ тщательно их проверять.
2) Включаем Deep Scan для наиболее опасных типов файлов
В 4 уроке “Check Point на максимум” я показывал, что с дефолтными настройками Антивирус показывает очень плохие результаты. И это справедливо абсолютно для всех вендоров. Почти у всех есть опция “быстрой” проверки и более “глубокой”. По дефолту конечно используется “быстрая”, с целью оптимизации. У Check Point опция “глубокой” проверки называется «deep scan» и включить ее можно для разных типов файлов. Первое, что может прийти в голову — включить ее для всех типов файлов (на текущий момент их около 90 типов файлов). И так можно сделать! Если у вас очень богатая компания. Потребуется весьма мощное железо для такого варианта. Можно найти компромисс — включить deep scan для наиболее опасных файлов:
Из статистики мы имеем следующие файлы: pdf, doc, javascript, jar. Но я бы, как минимум добавил еще: xls, zip, rar, 7zip, rtf, swf. Ну и конечно же нужно блокировать запароленные архивы.
Если у вас не Check Point, то проверьте возможность использования подобных опций. Это очень важно.
3) Включаем нужные IPS сигнатуры
Опять же, возвращаясь к курсу “Check Point на максимум”, в 6 уроке я показывал важность IPS для проверки файлов. IPS может находить эксплойты в документах! Самые большие мучения с IPS — выбрать нужные вам сигнатуры. Там же я показал несколько трюков по работе с ними (а точнее с категориями). Но теперь у нас есть дополнительная информация. Нам обязательно нужны сигнатуры связанные с такими файлами как pdf, doc, javascript и jar. Сделать это довольно просто, достаточно воспользоваться поиском по сигнатурам:
(В случае с pdf, не забывайте, что могут быть и другие “просмоторщики”, например Foxit).
Или опять же, с помощью категорий в фильтрах:
Теперь мы будем проверять приходящие файлы не только с помощью Антивируса, но и с помощью IPS.
Если вы используете не Check Point, то попробуйте также включить релевантные сигнатуры (все что касается офисных документов, архивов, javascript и jar).
4) Threat Emulation и Threat Extraction
Антивирус и IPS это хорошо, но это сигнатурный анализ, главный недостаток которого — работает только с известными угрозами. Что делать с неизвестными (0-day)? Для этого и придумали “песочницы”. У Check Point данная технология называется SandBlast и реализуется с помощью таких блейдов как:
Threat Emulation — эмуляция файлов. На текущий момент поддерживается более 65 типов файлов. Обязательно включите эмуляцию для выше озвученного списка (pdf, doc, javascript и jar) плюс мои рекомендации (xls, zip, rar, 7zip, rtf, swf):
Threat Emulation позволит проверять файлы перед тем, как они будут скачаны. Это очень важная особенность, т.к. далеко не каждое решение может работать в режиме Prevent для web-трафика.
Threat Extraction — очистка активного содержимого. Очистка может быть выполнена с помощью конвертации файла в pdf, либо “вырезанием” всего активного содержимого (скрипты, макросы, url и т.д.). На текущий момент Threat Extraction поддерживает около 45 видов файлов. А плюсах использования этого блейда я рассказывал в 3 части курса Check Point SandBlast. Посмотрите, там есть демонстрация работы. Очень желательно использовать Threat Extraction для очистки pdf и doc. Причем лучше всего выбирать “конвертацию в pdf”, это “100 пудовый” метод. С xls это не всегда прокатывает, т.к. может сильно пострадать документ, поэтому используйте кастомизированную политику для Threat Extraction.
К сожалению на текущий момент Threat Extraction для Web-трафика работает только при использовании специального браузерного расширения — SandBlast Agent for Browsers. Однако уже в следующем релизе (Gaia R80.30) станет возможна очистка и конвертация файлов даже без дополнительных расширений.
Если вы используете не Check Point, то я также рекомендую опробовать функционал песочниц. Практически у всех вендоров есть триальный режим. Почти уверен, что после включения ваш “catch rate” значительно повысится.
Усиливаем защиту от вредоносных Email
C web-трафиком более менее разобрались (хотя на самом деле все сложнее). Теперь перейдем к еще одному популярном вектору атак — Email. Практически во всех компаниях защите почты уделяется наибольшее внимание. Посмотрим, что мы можем сделать с помощью NGFW решения на периметре сети.
1) Режим MTA
Первое, что вы должны сделать — переключить шлюз Check Point в режим MTA (Mail Transfer Agent). Это позволит осуществлять более комплексную проверку почтовых сообщений, особенно если используется SMTPS (в данном случае без функции MTA ваш шлюз просто не сможет осуществлять проверку этого трафика).
Если вы используете не Check Point и ваш NGFW не поддерживает MTA, то читать статью дальше — нет смысла. Вы просто не сможете осуществлять дополнительные проверки. Скорее всего в этом случае у вас используется отдельное решение по защите почты.
2) Обновиться до R80.20
Это еще один важный пункт. В релизе Gaia R80.20 функционал MTA (и не только) претерпел значительные изменения. Это также касается отчетности по почтовым сообщениям. По умолчанию доступно сразу несколько новых дашбордов:
Больше не придется лезть в командную строку для мониторинга и траблшутинга. Кроме того, начиная с версии R80.20 функционал MTA вынесен в отдельную вкладку в настройках профиля Threat Prevention:
Наиболее важные моменты:
3. Сделайте для MTA отдельное правило Threat Prevention
Еще один важный момент. Для Web-трафика и для Email должны быть разные профили. Правило должно выглядеть следующим образом:
Если вы используете R80.20, то данное правило создается автоматически при включении MTA.
4. Antivirus для Email
Как было сказано выше, в 80.20 у нас есть возможность использовать антивирусный “движок” для проверки вложений и гиперссылок. Это отлично коррелируется с нашими потребностями. Если посмотреть на статистику в самом начале, то можно увидеть, что кроме классических документов, угрозу представляют exe файлы и url.
Первым делом нужно заблокировать абсолютно все ненужные типы файлов, которые могут прислать в виде вложений (не только exe). Проще сказать, что стоит оставить: pdf, doc, xls, ppt. zip, rar, 7zip и другие популярные форматы офисных файлов. А вот различные скрипты, линуксовые архивы, исполняемые файлы следует блокировать.
Также не забывайте про проверку url в содержимом письма:
Для всех типов файлов, которые мы разрешаем, естественно необходимо настроить deep scan.
5. Threat Emulation и Threat Extraction
Почта — главный вектор для таргетированных атак, т.е. атак, к которым готовятся. Чаще всего именно в таких атаках используют уязвимости нулевого дня (0-day). И здесь сигнатурный анализ бессилен. Поэтому если вы решили использовать решения класса “песочница”, то email это первое место, где вы должны применить его. Для всех разрешенных (в антивирусе) файлов мы должны использовать функционал песочниц. Это касается не только решений Check Point.
С точки зрения настройки Threat Emulation для Email все идентично, как и для Web. Просто убедитесь, что вы включили эмуляцию для всех файлов, которые разрешены (антивирусом). Опять же, если посмотреть нашу статистику, то наиболее опасные типы файлов это doc, pdf, rtf, xls.
Кроме того, обязательно используйте Threat Extraction для очистки активного содержимого.
При этом для таких документов как pdf и doc обязательно настройте конвертацию в pdf. В этом случае вам не придется надеяться на Threat Emulation. Тем более, что при положительном вердикте, пользователь сможет скачать оригинальный файл (в 95% случаев оригинал никому не нужен).
Общие рекомендации
Главный принцип защиты периметра сети — максимально уменьшить площадь атаки. Для этого у нас есть большой набор механизмов:
Дополнительные материалы
Если вас заинтересовала данная тема, то как минимум рекомендуются следующие ресурсы:
В скором времени мы планируем запустить небольшой курс, с демонстрацией всего этого функционала. Поэтому следите за обновлениями! (vk, telegram).
Термин «периметр» только вредит информационной безопасности
 |
| Фрагмент лондонского Тауэра |
Кто-то воспринимает периметр как точку соединения с Интернет. Как бы забавно это не звучало в контексте геометрии, в которой периметр это всё-таки замкнутая линия. Кто-то воспринимает периметр как линию которая очерчивает корпоративную или ведомственную сеть. Кто-то воспринимает периметр как набор устройств которые имеют выход в интернет.
Но каждое из этих определений очевидно имеет свои плюсы свои минусы и они не равнозначны. Как воспринимать ситуацию даже с таким казалось бы простым вариантом как промышленный сегмент, возможно даже физически изолированным от внешнего мира, если туда пришел представитель подрядный организации с ноутбуком который подключён через 3G четыре же модем к интернету. Появляется ли у нас здесь периметр или не появляется? А если мы посмотрим на ситуацию когда сотрудник с мобильным устройством подключается к облаку внешнему в котором хранятся конфиденциальные данные компании или работает приложение, обрабатывающее данные. Здесь есть периметр или нет? Ведь мы вообще можем использовать личное устройство сотрудника и чужую инфраструктуру облачного провайдера и кроме как информация от компании здесь нет вообще ничего.
Ну допустим у нас и мобильные устройства принадлежит компании, а облака принадлежит провайдеру. При этом максимум, что мы можем знать, это свой кусок этого облака, в котором мы располагаем наши сервера, наши приложения, наши данные. Но кто к ним имеет доступ извне со стороны облачного провайдера, со стороны других его клиентов? В такой ситуации вообще невозможно очертить периметр. А это означает, что как бы мы не хотели, но мы вынуждены изменять свои подходы к тому, что мы привыкли называть защитой периметра. Например, в компании Cisco мы исходим из того, что сотрудник компании может работать в любой момент времени из любой точки мира с любого устройства. В такой концепции, разумеется, не может быть периметра в общеупотребимом смысле и это заставляет совсем по-другому защищать, нет, не периметр, а подключение к Интернет! А вы готовы к новой реальности?
А почему термин «периметр ИБ» вреден? А потому, что он, будучи построен на устаревшей парадигме, создает чувство ложной защищенности. Давайте сделаем экскурс в историю. Какой была модель угроз в 800-1400 годах нашей эры? Если быстренько составить перечень актуальных угроз, то получится следующее:
 |
| Линия Мажино |
В информационной безопасности все тоже самое. Старые подходы становятся бесполезными (это как рассчитывать на антивирус в борьбе с современным вредоносным ПО). Страны со слабой традиционной армией могут беспрепятственно выигрывать в кибервойне. Компании, успешные и добившиеся огромных успехов в реальном мире, проигрывают в киберпространстве. А все потому, что защита строится на старых подходах, которые перестали быть эффективными при современном развитии технологий. Их тоже пора выбросить в пропасть. Кстати, вспомните. В фильме «Кавказская пленница» Шурик («нарушитель») смог проникнуть в защищенный высокими стенами дом, стоящий на скале, а Нина («объект защиты») смогла покинуть периметр, несмотря на усилия Труса-Балбеса-Бывалого («службы ИБ»).
Ну и в заключение минутка юмора. Классический мультфильм на тему незащищенного периметра. Я его еще лет 20 назад показывал на различных мероприятиях по ИБ:
Сетевой периметр и его назначение
n Все аппаратно – программные средства, протоколы и интерфейсы, являющиеся входными и выходными «воротами» (прямыми и косвенными) корпоративных сетей для взаимодействия с другими аналогичными или глобальными сетями образует сетевой периметр. Соответственно все аппаратно-программные средства, протоколы и интерфейсы, предназначенные для обеспечения конфиденциальности, целостности и доступности корпоративных информационных ресурсов с учетом всевозможных угроз из сетевого периметра образуют средства обеспечения безопасности этого же периметра.
Периметр – это укрепленная граница вашей сети, которая может включать:
Пограничный маршрутизатор
Маршрутизаторы (routers) можно сравнить с дорожными регулировщиками. Они осуществляют управление трафиком, поступающим в сеть, выходящим из сети или трафиком внутри самой сети.
Пограничный маршрутизатор (border router) является последним маршрутизатором, который вы контролируете непосредственно перед выходом в Интернет. В силу того, что весь Интернет-трафик организации проходит через этот маршрутизатор, последний часто функционирует в роли первой и последней линии защиты сети, обеспечивая фильтрацию входящего и исходящего трафика.
Автономная система может содержать множество маршрутизаторов, но взаимодействие с другими AS она осуществляет только через один маршрутизатор, называемый пограничным (border gateway, именно он дал название протоколу BGP).
Пограничный маршрутизатор нужен лишь тогда, когда автономная система имеет более одного внешнего канала, в противном случае его функции выполняет порт внешнего подключения (gateway; поддержка внешнего протокола маршрутизации в этом случае не требуется).
Пограничный маршрутизатор сообщает связанным с ним другим пограничным маршрутизаторам, какие сети каких автономных систем достижимы через него. Обмен подобной информацией позволяет пограничным маршрутизаторам занести в таблицу маршрутов записи о сетях, находящихся в других АС. При необходимости эта информация потом распространяется внутри своей автономной системы с помощью протоколов внутренней маршрутизации с тем, чтобы обеспечить внешнюю коннективность своей АС.
65. Брандмауэр, или межсетевой экран
(firewall) представляет собой устройство, анализирующее трафик с использованием набора правил, которые позволяют определить, можно ли передавать это трафик по сети или нельзя. Область действия брандмауэра начинается там, где заканчивается область действия пограничного маршрутизатора, и он выполняет гораздо более тщательную проверку пакетов при фильтрации трафика. Существует несколько различных типов брандмауэров, к которым относятся статические пакетные фильтры (static packet filters), брандмауэры экспертного уровня (stateful-брандмауэры), а также прокси-брандмауэры (proxy firewalls). Для блокирования доступа к подсети можно использовать, к примеру, встроенный статический пакетный фильтр маршрутизатора Nortel Accellar, для контроля за разрешенными сервисами – брандмауэры экспертного уровня, например Cisco PIX, а для контроля за содержимым (content) – прокси-брандмауэр, например Secure Computing’s Sidewinder. Несмотря на то, что брандмауэры не являются совершенными модулями, они смогут заблокировать все, что мы укажем им блокировать, и разрешить все, что мы им разрешим.
66. IDS (Intrusion Detection System – система обнаружения вторжений) — это что-то вроде охранной сигнализации вашей сети, используемой для обнаружения и извещения обо всех вторжениях и потенциально опасных событиях. Система может содержать множество детекторов различного типа, размещенных в стратегических точках сети. Существует два основных типа систем обнаружения вторжений: система обнаружения вторжений на уровне сети (Network-based IDS, NIDS) и система обнаружения вторжений на уровне хоста (Host-based IDS, HIDS). Детекторы NIDS представляют собой устройства, выполняющие наблюдение за сетевым трафиком и фиксирующие любую подозрительную активность. Детекторы NIDS часто размещаются в подсетях, которые непосредственно соединены с брандмауэром, а также в критических точках внутренней сети. Детекторы HIDS функционируют на отдельных хостах. Вообще говоря, детекторы IDS ищут заранее заданные сигнатуры нежелательных событий и могут выполнять статистический анализ и анализ аномальных событий. В случае обнаружения нежелательных событий детекторы IDS оповещают администратора различными способами: используя электронную почту, пейджинговую связь или размещая запись в log-файле. Детекторы IDS могут составлять отчет для центральной базы данных, которая коррелирует поступающую от них информацию.
67. VPN (Virtual Private Network – виртуальная частная сеть) представляет собой защищенный сеанс, для организации которого используются незащищенные каналы, например, Интернет. Очень часто под VPN подразумевают аппаратный компонент периметра, поддерживающий шифрование сеансов, например Nortel Contivity. Доступ к корпоративной сети через VPN могут использовать деловые партнеры компании, сотрудники, находящиеся в командировке либо работающие дома. При непосредственном подключении к внутренней сети компании VPN позволяет удаленным пользователям работать в ней так, как если бы они находились в офисе. Многие организации имеют ошибочное представление о безопасности в отношении удаленного доступа, мотивируя это тем, что у них есть VPN. Если атакующий взломает удаленный компьютер легитимного пользователя, VPN может предоставить атакующему зашифрованный канал для доступа в корпоративную сеть. Вы можете доверять безопасности вашего периметра, однако доверили бы вы безопасность одному из ваших сотрудников, работающему на дому или в номере гостиницы и использующему для связи кабельный модем? Даже если вы доверяете собственным сотрудникам и их защите, можете ли вы доверять защите ваших деловых партнеров, которые для вас являются удаленными пользователями, подключенными в вашу же VPN?
68. Архитектура программного обеспечения
Термин архитектура программного обеспечения (software architecture) относится к приложениям, функционирующих в сети, и определяет их структурную организацию. Мы могли бы, например, структурировать приложение для электронной коммерции, расчленив его на три отдельные части:
n 1. Внешний web-интерфейс, отвечающий за то, в каком виде данное приложение будет представлено пользователю.
n 2. Код приложения, реализующий бизнес-логику приложения.
n 3. Внутренние базы данных, в которых хранятся данные, имеющие отношение к приложению.
n Архитектура программного обеспечения играет существенную роль при обсуждении инфраструктуры безопасности, поскольку основной задачей периметра сети является защита данных, относящихся к приложениям, и сервисов. При организации защиты приложения убедитесь, что архитектура приложения и сеть гармонируют между собой.
69. Демилитаризованные зоны Обычно мы используем термины «демилитаризованная зона» и «экранированные подсети», подразумевая небольшую сеть, содержащую ресурсы общего пользования, подключенные непосредственно к брандмауэру или другому фильтрующему устройству — которые и защищают ее от вторжений извне. DMZ(DeMilitarized Zone – демилитаризованная зона) и экранированная подсеть отличаются друг от друга, даже если пользователи употребляют оба эти термина как синонимы. Термин DMZ берет свое начало еще со времен войны в Корее. Так называлась закрытая для военных действий полоса земли, расположенная на 38 параллели. DMZ представляет собой незащищенную область между защищенными участками. Если в Корее DMZ оказывалась перед любой линией обороны, то применительно к сетям DMZ размещается перед брандмауэром. Брандмауэр или соответствующее устройство, экранирующее трафик, защищает экранированную подсеть, подключенную непосредственно к нему. Запомните следующее: DMZ размещена перед брандмауэром, в то время как экранированная подсеть размещается позади брандмауэра. В контексте нашей книги мы будем твердо придерживаться этих определений.
71.Эшелонированная защита (DefenseinDepth)
Ни одна из концепций не является столь важной при анализе безопасности сети, как эшелонированная, многоуровневая защита; она используется в качестве основы при проектировании и реализации периметра. Принцип эшелонирования поможет защитить ресурсы сети, даже если один из уровней периметра взломан. В конце концов, ни один из уровней защиты не может гарантировать необходимую устойчивость при каждой атаке.
Мы работаем в реальном мире плохо сконфигурированных систем, дефектов в программном обеспечении, недовольных сотрудников и отягощенных заботами системных администраторов. Более того, любой практический проект безопасности нуждается в определенных капиталовложениях, направленных на открытие нескольких портов брандмауэров, на выполнение дополнительных сервисов на сервере или во избежание последующего внесения изменений в систему защиты, поскольку она может повредить важному бизнес-приложению. Попытайтесь рассматривать все компоненты безопасности периметра как части логически последовательной многоуровневой защиты – это поможет вам развернуть их таким образом, чтобы учесть все недостатки и достоинства каждого индивидуального компонента. Естественно, что с учетом требований вашей организации вы можете реализовать не все компоненты, которые рассматриваются в данной главе. Степень эшелонирования уровней защиты зависит от требований и возможностей вашего бизнеса.
Должным образом защитить сеть могут многие компоненты, работающие совместно. Эшелонированная (многослойная, многоуровневая) защита (defenseindepth), представляет собой совокупность уровней таких компонентов, в которой возможности каждого компонента выполняют свои функции должным образом. Эта технология является гибкой в том смысле, что позволяет выбирать компоненты, соблюдая при этом технические ограничения, ограничения бюджета и ограничения в политике, и комбинируя их таким способом, который бы не подверг риску общую безопасность или степень использования сети.
72.Внутренняя сеть
Внутренняя сеть представляет собой сеть, защищенную периметром. Эта сеть содержит все серверы, рабочие станции и ИТ-инфраструктуру, с которой организация ведет свой бизнес.
Как часто говорят администраторы: «Мы можем доверять нашим людям». Организации зачастую пренебрегают безопасностью внутренней сети в силу того, что риск от проявления внутренних атак не учитывается. Внутренняя атака не обязательно должна исходить от злоумышленного сотрудника — атаку может породить и небрежный сотрудник. Поскольку организации учатся на собственном опыте с появлением каждого нового червя, они не могут позволить себе пренебречь защищенностью внутренней сети!
Во внутренней сети мы можем иметь следующие устройства «периметра», которые способны остановить атаку взломщика:
— входящая и исходящая фильтрация на каждом маршрутизаторе;
— внутренние брандмауэры для разделения ресурсов;
— прокси для повышения производительности и безопасности;
— детекторы IDS, функционирующие, подобно канарейкам в угольной шахте (они использовались в качестве живых индикаторов наличия в воздухе взрывоопасного метана), для мониторинга за внутренней сетью;
Внутри мы можем использовать следующее:
— укрепление операционной системы;
Концепция пакетной фильтрации. Примеры
Пакетная фильтрация – одно из самых старых и наиболее распространенных средств управления доступом к сети. Идея пакетной фильтрации проста: установить, разрешено ли данному пакету вводить в сеть либо выходить из нее. Для этого анализируются некоторые идентифицирующие данные, размещенные в заголовке пакета. Технология пакетной фильтрации применяется в операционных системах, программных и аппаратных брандмауэрах, а также в большинстве маршрутизаторов.
Маршрутизатор Cisco в качестве пакетного фильтра
На данный момент Cisco ACL представляет собой один из наиболее доступных пакетных фильтров. Маршрутизатор Cisco выполняет фильтрацию пакетов посредством списка управления доступом (access control list, ACL). ACL представляет собой длинный список всех элементов, которые маршрутизатор должен просматривать в заголовках пакетов для принятия решения относительно разрешения или запрета доступа пакету к сегменту сети. Эта процедура лежит в основе управления трафиком маршрутизатора Cisco.
Cisco ACL – это просто средство фильтрации трафика, проходящего через ваш маршрутизатор. Его можно представить двумя основными синтаксическими типами: пронумерованными и именованными списками, он выполняет функции нескольких типов фильтрации, включая стандартную, расширенную и рефлексивную, которые мы рассмотрим далее в этой главе.