I. Esempio di sistema di controllo dell'accesso alle risorse nel campus
Il sistema di controllo dell'accesso alle risorse nel campus può consentire agli utenti di accedere direttamente alle risorse senza effettuare l'accesso, proprio come alcuni utenti del campus possono accedere alle risorse senza accedere al sistema. Esiste anche una nuova versione di VPN che viene aperta per facilitare l'accesso alla intranet e alle risorse della biblioteca sulla rete esterna. Non richiede l'installazione di client e plug-in, supporta l'utilizzo diretto su computer e cellulari e consiglia l'utilizzo di browser specifici per una migliore esperienza. Si tratta di una situazione speciale di controllo degli accessi per un ambiente specifico (accesso alle risorse nel campus). Questo metodo si basa sull'impostazione delle politiche di condivisione delle risorse nel campus e lo scopo è facilitare agli utenti del campus l'ottenimento delle risorse.
II. Principio di funzionamento dell'ACL (Access Control List)
1. Basato sulla tecnologia di filtraggio dei pacchetti
- ACL utilizza la tecnologia di filtraggio dei pacchetti per leggere le informazioni nelle intestazioni dei pacchetti di 3° e 4° livello del modello a sette livelli OSI sul router, come indirizzo di origine, indirizzo di destinazione, porta di origine, porta di destinazione, ecc.
- Secondo regole predefinite, il pacchetto viene filtrato per raggiungere lo scopo di controllo degli accessi.
2. Insieme di regole e applicazione dell'interfaccia
- ACL è un insieme di regole applicate a una determinata interfaccia di un router. Per un'interfaccia router, l'elenco di controllo degli accessi ha due direzioni: in uscita (pacchetti di dati che sono stati elaborati dal router e stanno lasciando il router) e in entrata (pacchetti di dati che sono arrivati all'interfaccia del router e saranno elaborati dal router) .
- Se un ACL viene applicato a una determinata interfaccia di un router, il router applica questo insieme di regole ai pacchetti di dati per la corrispondenza sequenziale e filtra i pacchetti di dati arrestandosi se si verifica una corrispondenza e utilizzando la regola predefinita se una corrispondenza non avviene verificarsi.
3. Elenco di controllo degli accessi standard
- Consentire o negare i pacchetti di dati in base all'indirizzo IP di origine del pacchetto di dati. Il numero dell'elenco di controllo accessi dell'elenco di controllo accessi standard è 1 - 99.
- Ad esempio, la sintassi per creare un ACL per consentire tutti gli host nel segmento di rete 192.168.1.0 è: Router(config)#access-list1permit192.168.1.{{10}} .0.0.255; creare un ACL per consentire un determinato host è Router(config)#access-list1permithost10.0.0.1; la creazione di un ACL predefinito per negare l'accesso a tutti gli host è Router(config)#access-list1denyany, dove la parola chiave host può specificare un indirizzo host senza scrivere l'inverso della sottorete e any può rappresentare tutti gli host.
4. Elenco di controllo accessi esteso
- Consenti o nega i pacchetti di dati in base all'indirizzo IP di origine, all'indirizzo IP di destinazione, al protocollo specificato, alla porta e ai flag del pacchetto di dati. Il numero dell'elenco di controllo accessi dell'elenco di controllo accessi esteso è 100-199.
- La sintassi per creare un ACL esteso è la seguente (include numero-elenco-accessi per specificare il numero dell'elenco di controllo accessi, protocollo per specificare il tipo di protocollo, come IP, TCP, UDP, ICMP, ecc., sorgente e destinazione per indicare rispettivamente l'indirizzo di origine e l'indirizzo di destinazione, il carattere jolly di origine e il carattere jolly di destinazione sono i codici inversi della sottorete).
In generale, i sistemi di controllo degli accessi determinano quali utenti o pacchetti di dati possono accedere a risorse specifiche o attraverso specifiche interfacce di rete impostando regole. Queste regole possono essere basate su una varietà di fattori, da semplici indirizzi IP a combinazioni complesse di più parametri di rete come protocolli e porte.
