Существует ли путь, который мог сделать взаимодействие через интерфейс с ACL нашей сети легче?
Это во многом зависит от возможности соединения между Вашим домом и офисом. В основном необходимо создать туннель или VPN между двумя для печати непосредственно.
Тем не менее существуют другие вещи, как которые Вы могли, возможно, сделать: электронная почта PDFs от дома до адреса электронной почты, что некоторое программное обеспечение на машинном контроле человечности автоматически и если найденный загрузками и печатью любой PDFs. Мягко небезопасный, но меньше, чем открытие Вашего принтера до дебрей Интернета, и это должно быть в досягаемости разумной размерной программы жемчуга.
Я Наконец выяснил полурешение этого, которое, по крайней мере, делает редактирование нашего ACL менее болезненным. Мы изменили настройки ASCII, таким образом, это помещает адрес для нашего ACL более медленно и добирается, где мы можем просто скопировать и вставить список в и уйти некоторое время.
Я предполагаю Вашим синтаксисом, что Вы говорите Cisco IOS. Если у Вас есть умеренно недавний уровень кода, то вместо
access-list 101 deny ip 10.1.1.1 any
access-list 101 permit ip any any
можно сделать:
ip access-list extended Name-of-ACL
deny ip 10.1.1.1 any
permit ip any any
и когда Вы "показываете" его, будет список доступа с номерами строки:
show ip access-lists
Extended IP access list Name-of-ACL
10 deny ip 10.1.1.1 any
20 permit ip any any
Затем, когда Вы хотите вставить другой IP, Вы возвращаетесь в редактирование ACL, но на этот раз добавляете порядковый номер:
ip access-list extended Name-of-ACL
15 deny ip 192.168.1.1 any
И это вставит его в том месте в ACL. Можно даже использовать слово "комментарий" вместо "разрешения" или "отклонить" для размещения комментария в список.
show ip access-lists
Extended IP access list Name-of-ACL
10 deny ip 10.1.1.1 any
15 deny ip 192.168.1.1 any
20 permit ip any any
-
1I' ll пробуют это сегодня вечером когда I' m на работе, да я забыл включать детали о системе I' m использование. – killamjr 30 May 2009 в 01:26
-
2Поскольку ОС на этом переключателе была довольно стара этот didn' t работа – killamjr 18 July 2009 в 23:37
Одна альтернативная модель, которую Вы могли сделать, должна использовать один VLAN для незараженных машин и один для зараженных машин. Это, вероятно, потребовало бы использования DHCP, таким образом, минимальное реконфигурирование должно быть сделано на зараженной машине. В той точке Вы могли затем использовать ACL от подынтерфейса VLAN до сети для блокирования доступа к Интернету, (идеально) покидание достаточного количества дыр для загрузки патчей или вируса обновляет.
Если все, чем Вы интересуетесь, должно удостовериться, что никакой сеанс TCP не может быть установлен внешне, Вы могли всегда просто использовать маршрут черной дыры (маршрут в Null0) и вместе с проверкой обратного пути во входящем интерфейсе маршрутизатора, это должно смочь остановить ВСЕ исходящее движение от хостов, которые Вы хотите изолировать. Это может даже вызвать меньше нагрузки на маршрутизатор, поскольку это использует модуль пересылки вместо ACLs (хотя это зависит от специфических особенностей оборудования маршрутизатора, часть большего набора Cisco может фильтр ACL в wirespeed путем компиляции ACL и выполнять его на ASIC).
-
1
Unfortunatley, для удаления записей я думаю, что у Вас есть к "нет" ACL для убирания его.
Я записал много PHP для отправки команд в оборудование Cisco с помощью Telnet и SNMP, было бы действительно легко автоматизировать эту задачу.
Я могу вскопать пример, если Вам интересно.
Один способ сделать это, что мне действительно нравится, вместо того, чтобы пытаться отредактировать список на месте для замены его новым списком, который включает метку времени того, когда он был создан.
ip access-list extended acl_name-date_time
Становится легко автоматизировать этот процесс с некоторыми простыми сценариями, чтобы продвинуть новый acl к устройству и затем перевернуть интерфейс к использованию нового списка.
Дополнительные функции, что такая система могла включать использование DB для хранения всех правил acl и веб-интерфейса для обновления их. Можно затем сделать вещи как дорожка, кто владеет тем правилом, возможно, свяжите его с билетом в системе слежения билета, таким образом, Вы знаете, почему это было добавлено. Можно также установить время истечения срока так, чтобы временные правила были удалены, когда они больше не необходимы.
Мне нравится держать ACL на центральном сервере под контролем версий. Каждый ACL находится в отдельном файле с именем «router-interface-ingress» или «router-interface-egress». (Входящий / исходящий относится к нашей среде, а не к направлению интерфейса маршрутизатора). Имя маршрутизатора обычно изменено, потому что два маршрутизатора с одинаковыми именами получают каждый ACL.
Сами ACL выглядят следующим образом:
no IP access-list extended router-interface-ingress
IP access-list extended router-interface-ingress
permit.....
permit....
deny IP any any
Затем, чтобы отправить их на маршрутизатор, мы «копируем scp: run» на маршрутизатор. ACL удаляется и воссоздается из мастера RCS каждый раз.
Один из приемов - создать культуру, которая известна инженерам, чтобы редактировать ACL на сервере, а не на маршрутизаторе. Любые изменения acl на маршрутизаторе будут отменены следующим нажатием с сервера.