Компания Cisco предлагает еще несколько типов списков. Один из них — Список обратного ограничения, или Рефлексивный список (reciperocal access list). Пример: если внутренний DNS-сервер производит запрос к внешней DNS-службе с порта 1024 на порт 53, то правило обратного ограничения разрешит прохождение пакетов от внешнего DNS-сервера только с порта 53 на внутренний порт 1024. Статичное правило, со своей стороны, позволило бы пропустить с внешнего 53-го порта любые UDP-пакеты, что приведет к появлению достаточно ощутимой бреши с точки зрения безопасности. Наконец, существует так называемый Динамичный список, который является следующим поколением рефлексивного списка и одновременно с этим использует принцип адаптивной фильтрации. Cisco позиционирует динамичные списки своих маршрутизаторов как функцию межсетевого экранирования. Динамичные правила позволяют реагировать на информацию прикладного уровня (application-layer information). Такое регулирование, кроме всего прочего, полностью решает проблемы с протоколом FTP. Все описанные расширения функциональности естественным образом отражаются на производительности системы. Полный и, казалось бы, адекватный список доступа замедляет работу маршрутизатора. Избежать потерь в производительности можно благодаря взвешенному распределению правил в списках. Если постоянно пополнять списки рефлексивных правил, то в скором времени это приведет к нехватке оперативной памяти маршрутизатора. Возьмите за правило использовать статичные списки для входящих (относительно вашей зоны DMZ) Соединений TCP и UDP. При этом входящий и исходящий трафик может не ограничиваться. Если хосты в зоне DMZ иногда используются в качестве клиентских сервисов (для получения почты или для DNS-запросов), то это необходимо учесть при задании соответствующих правил. Для входящего TCP-трафика без особого ущерба можно пропускать пакеты с меткой установленного соединения (established, EST flag). При этом вы не избавитесь от попыток сканирования TCP-портов, но хакер уже не сможет установить новое соединение.
Компания Cisco
минута на чтение
.%20%D0%9F%D1%80%D0%B8){kind=small}
Похожие записи:
Информационные коммутаторы Cisco доступны в нескольких конфигурациях: CCS 11050. Базовая версия, предназначенная для небольших серверов. Пропускная способность достигает 5 Гбит/с. Встроенная конфигурация портов. До восьми коммутируемых Web-серверов. CCS 11150....
Cisco LocalDirector — система, позволяющая распределять поступающие запросы на получение ресурсов между несколькими серверами. Обычно такая система выступает в роли интерфейса доступа к группе Web-серверов (server farm), расположенных в одной локальной сети. I...
Сетевое оборудование также обладает высокой работоспособностью, которую вы с успехом можете применить. В качестве примерной конфигурации маршрутизатора с высокой работоспособностью можно предложить два одинаковых маршрутизатора от компании Cisco (Www. cisco. c...