虛擬終端是許多網路管理人員每天甚至是隨時會用到的工具與管理方式。虛擬終端提供許多網路管理上的便利性,透過虛擬終端,讓多位網路管理員可以同時做管理動作,並且在不同的網路環境中以遠端的方式進行網路管理。不過,它的便利性可能帶來某些安全上的顧慮,則是必須注意的議題。本文將說明如何透過存取控制來提升虛擬終端的安全性。
善用名稱式存取控制清單
另外,如果想重新安排存取控制規則,必須把整個存取控制清單刪除,再一一建立新的存取控制規則。但是,若使用名稱式存取控制規則,則允許刪除單筆存取控制規則。所以,考慮到往後維護的成本,可以把這點也納入考慮。
將標準型存取控制清單 放置在靠近目的地的地方
由於標準型存取控制清單只能針對來源端的IP位址做設定,而不能針對目的地的IP位址做過濾,因此,建議最好將標準型存取控制清單的置放位置距離目的地越近越好。
因為如果把標準型存取控制規則放在來源端附近,則全部來源端所發出的網路封包都會經過這個標準型控制規則的確認動作,如此一來,就做了太多次不必要的存取規則確認動作,效能會比較差。
事實上,標準型存取控制清單是站在目的地的角度來設計,所以,若能放置在距離目的地比較近的地方,則真正要確認這個存取控制清單時,都一定要發送給這個目的地的網路封包。
將延伸型存取控制清單 放置在靠近來源端的地方
延伸型存取控制清單不僅可以針對來源端位址做過濾,還能夠針對目的端的位址做過濾,而剛剛提到,可以考慮把標準型存取控制清單放置在距離目的端位址比較接近的地方,而又因為延伸型存取控制清單能夠針對目的端的位址進行過濾,所以可以考慮把延伸型存取控制清單放在距離來源端比較接近的地方。
越容易符合的規則 要放在存取控制清單的上方
符合規則的方式其實也和防火牆類似,一般存取控制清單都有很多規則,而每一個網路流量也可能符合存取控制清單中一條以上的規則。
但是,在決定使用哪一條規則時,是由第一條規則開始嘗試,一旦找到第一條符合的規則,就直接套用其符合的規則,也就是「First Match」的精神。
換句話說,假設存取控制清單中第一條規則是「允許TCP協定23埠的網路封包」,但是後面的規則可能是「拒絕TCP協定23埠的網路封包」,則因為在套用規則時,會先找到一條規則,所以最終結果是「允許TCP協定23埠的網路封包」。但是,如果存取控制清單有這樣的規則衝突時,將只會增加網路管理人員在管理上的負擔。
由於存取控制清單是屬於「First Match」,所以若要增加存取控制清單的效能,最好是把越容易符合的規則,也就是越經常被使用的規則,放在存取控制清單的上方,這樣就可以大量減少要符合規則所需要的時間了。
否則,當規則數量大為增加的時候,若沒有考慮存取控制清單規則的順序性,就會讓Cisco路由器設備的效能越來越差,到時候要再整理就太遲,其管理成本已經相當可怕。
越普遍的規則要盡量放在存取控制清單的下方
這點也是考慮到存取控制清單規則的順序性而建議給各位讀者的。
這裡舉一個錯誤設定的例子,假設某位網路管理人員把存取控制清單設定成第一條規則是「允許TCP協定所有埠的網路封包」,而第二條規則是「允許TCP協定23埠的網路封包」。
在這樣的情況之下,第二條規則根本不可能被採用,因為第一條規則已經包含第二條規則。就這兩條規則來比較,第一條規則是比較普遍的(General),而第二條規則屬於比較具體的(Specific),為了減少這種情況的發生,建議讓比較具體的規則放在普遍規則的上方。
當然,具體的規則有時候可能會變成較不容易符合的規則,而不容易符合的規則又最好是放在下方,所以,如何規劃存取控制清單每一條規則的順序性非常重要,可以依照個別不同的使用環境來加以規劃。
最後一條規則是拒絕所有網路封包
一般而言,存取控制清單中的規則大多是為了要設定允許特定的網路封包,而不是為了要設定拒絕的網路封包。
這兩者當然有所不同,為了不讓未知的或是可疑的網路封包通過,因此所設定的都是以允許的網路封包為主,也因為這樣,規則中的動作大多都是「允許」,所以最後才會有一個預設規則來拒絕所有的封包。
這個預設規則是存取控制清單的預設規則,如果不希望使用這種拒絕全部網路封包的預設規則,可以自行增加一條規則來允許所有的網路封包,並且把這樣的規則放在底部。
查看存取控制清單的設定值
現在讀者都知道如何設定存取控制清單,也了解存取控制清單的設計原理和注意事項,現在要介紹的是如何查看存取控制清單的設定值。
如果要查看e0介面的存取控制清單部分的設定值,可以執行下面這個指令:
其顯示結果的範例如下所示:
注意一下剛剛執行什麼指令,這裡執行show ip interface,也就是說show ip interface其實也可以顯示出存取控制清單的一些資訊。在上面的資訊中,有兩行可以看出這個介面是否有套用存取控制清單: