Сервисы
Managed IT
Решения
Security
Импортозамещение
Партнерам
О компании

Access Control List

ACL (Access Control List) — список правил, запрещающих или разрешающих использование ресурсов сети: доступа к интернету, телефонии, видеосвязи и т.д. ACL работает с IP-пакетами, но может узнать тип конкретного пакета, проанализировать порты TCP (Transmission Control Protocol) и UDP (User Datagram Protocol).

ACL может работать с разнообразными протоколами локальных сетей: AppleTalk, а также IP и IPX (internetwork packet exchange). Для фильтрации такого трафика ACL работает на стыке, когда оборудование граничит с локальной сетью и интернетом, то есть когда необходимо «почистить» трафик от ненужных данных.

[text_with_btn btn=»Узнать больше» link=»/ru-by/solutions/for-telecom-providers/skat-dpi/»]Deep Packet Inspection[/text_with_btn]

Разновидности ACL

Существует рефлексивный, динамический и ограниченный по времени ACL. Рассмотрим каждый из них подробнее.

Динамический (Dynamic ACL)

С его помощью можно реализовать следующее:

Согласно настройкам по умолчанию, спустя определенное время, доступ снова закрывается, и для входа необходимо подключаться повторно. Ограниченный по времени (Time-based ACL)

Стандартный ACL, открывающий доступ в определенное «окно времени». Задать это «окно» может администратор, используя специальное расписание, активирующее/закрывающее списки доступа. К примеру, можно запретить HTTP-доступ к интернету на протяжении всего рабочего дня. А сразу после его окончания открывать доступ.

Рефлексивный (Reflexive ACL)

Подразумевается, что через частную сеть открыт узел, который отправляет TCP-запрос в глобальную сеть и в то же время ждет TCP-ответа. То есть, канал в это время должен быть открытым для исходящих пакетов данных, чтобы установилось соединение. Если канал будет закрытым, подключиться не удастся, и злоумышленники смогут проникнуть в локальную сеть с целью воровства данных.

Рефлексивные ACL полностью блокируют доступ (deny any), но формируют дополнительный ACL, способный распознавать параметры пользовательских сессий, которые были сгенерированы из локальной сети. На основе этих параметров ACL открывает им доступ.

В итоге получается, что из глобальной сети подключиться к локальной не смогут, а сгенерированная группа пользователей сможет получать ответы.