Сетевая безопасность: Рефлексивные списки доступа Reflexive ACL

В предыдущих заметках были вкратце рассмотрены обычные списки доступа, списки, срабатывающими в заданное время Time-Based ACL и динамические списки доступа Dynamic ACL.

Здесь же разберем еще один интересный вид ACL, частично выполняющий функции примитивного межсетевого экрана с отслеживанием состояний сессий (Stateful Firewall).

С помощью Reflexive ACL маршрутизатор может отслеживать инициируемые TCP/UDP/ICMP сессии и автоматически разрешать ответный трафик в рамках этих сессий, открывая динамические правила в списке доступа, примененном в обратном направлении.

Для функционирования такого базового межсетевого экрана помимо самого Reflexive ACL, требуются еще два расширенных (extended) списка доступа, работающих в разных направлениях. Они могут быть на одном и том же интерфейсе (направление действия in/out), либо на двух различных (направление действия in/in).

Один список доступа служит для отслеживания исходящих сессий, а второй для блокировки входящих соединений и создания в нем динамических правил для зеркального входящего трафика.

Ключевые слова, используемые в Reflexive ACL – это reflect для исходящего трафика и evaluate для входящего.

Reflexive ACL

Читать далее