The Court Of Computing Systems
 
الرئيسيةالرئيسية  البوابةالبوابة  مكتبة الصورمكتبة الصور  س .و .جس .و .ج  بحـثبحـث  الأعضاءالأعضاء  المجموعاتالمجموعات  التسجيلالتسجيل  دخولدخول  
بحـث
 
 

نتائج البحث
 
Rechercher بحث متقدم
دخول
اسم العضو:
كلمة السر:
ادخلني بشكل آلي عند زيارتي مرة اخرى: 
:: لقد نسيت كلمة السر
المتواجدون الآن ؟
ككل هناك 1 عُضو حالياً في هذا المنتدى :: 0 عضو مُسجل, 0 عُضو مُختفي و 1 زائر

لا أحد

أكبر عدد للأعضاء المتواجدين في هذا المنتدى في نفس الوقت كان 17 بتاريخ الثلاثاء يونيو 16, 2015 2:20 pm
احصائيات
هذا المنتدى يتوفر على 269 عُضو.
آخر عُضو مُسجل هو Lona فمرحباً به.

أعضاؤنا قدموا 224 مساهمة في هذا المنتدى في 164 موضوع
المواضيع الأخيرة
» دائرة مكبر صوت من الميكروفون وحتى السماعة ... كامل التصميم
السبت ديسمبر 13, 2014 11:31 pm من طرف محمدهاشم

» python code to know current file name and path and directory
الأحد أغسطس 12, 2012 12:47 pm من طرف 000000000000000

»  assert -statement in python
الإثنين يوليو 02, 2012 3:12 am من طرف Admin

» Solving no-interface issue in Wireshark on Ubuntu 11.10
الإثنين يوليو 02, 2012 2:36 am من طرف Admin

» python application slide
السبت يونيو 30, 2012 2:56 am من طرف Admin

» Google Developers Day US - Python Design Patterns
الأربعاء يونيو 06, 2012 7:49 pm من طرف 000000000000000

» Google Developers Day US - Python Design Patterns
الأربعاء يونيو 06, 2012 7:19 pm من طرف 000000000000000

» شرح بالعربي ومبسط Acess Control List
الإثنين أبريل 16, 2012 5:59 am من طرف 000000000000000

» Cisco Packet Tracer on ubuntu
الأربعاء مارس 14, 2012 2:06 pm من طرف Admin

تصويت

شاطر | 
 

 شرح بالعربي ومبسط Acess Control List

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
000000000000000



ذكر عدد المساهمات : 224
نقاط : 5201
تاريخ الميلاد : 04/01/1988
العمر : 29
الموقع : الخليل - نابلس
العمل/الترفيه : برمجة الويب وطالب في هندسة الكمبيوتر
المزاج : ممتاز

مُساهمةموضوع: شرح بالعربي ومبسط Acess Control List   الإثنين أبريل 16, 2012 5:59 am

اليوم جبتلكم
موضوع مهم جداً في عالم الأمن والحماية وخصوصاً أجهزة الـ Cisco Catalyst
& Router ، و الشرح منقول في بعض أجزائه للأمانة .




نبدأ الشرح :




الـ Access Control List او ما يسمى بالـ (ACL) هي عبارة عن قائمة بها
تعليمات وشروط تتحكم وتصنف البيانات أو ال Packet على أن يتم تطبيق إجراء
معين على هذه الـ Packet ونقصد بالإجراء هنا إما تمرير ال Packet عبر الـ
Interface(بغض النظر عن نوع الـ Interface) أو رفض تمريرها.




أهم استخدام للـ Access List هو عمل فلترة أو Secure للبيانات أو ال Packets الغير مرغوب بدخولها للشبكة أو خروجها من الشبكة.




ماذا يمكن أن نمنع بواسطة استخدام ال Access List ؟؟




يمكن أن نمنع عدة جهاز أو أجهزة من الدخول لشبكة معينة.


ويمكن أن نمنع شبكة من الدخول لشبكة أخرى.


ويمكن أن نمنع جهاز أو أجهزة من الاتصال بالإنترنت.


ويمكن أن نمنع أجهزة من خارج الشركة أن تدخل لشبكة الشركة أو جزء من شبكة الشركة.


ويمكن أن نمنع بروتوكول معين من الدخول أو الخروج للشبكة.


ويمكن ويمكن ويمكن .... إلخ




أيضاً على العكس من كلمة نمنع، فإنه يمكننا أن نستبدل كلمة نمنع بكلمة نسمح، وقيس على ذلك كل الأمثلة التي سردتها سابقاً.




كيف نعمل ال Access List ؟؟




طريقة عمل ال Access List يا إخوان هي أشبه بالبرمجة، نعم هي نوع من أنواع البرمجة إن صح التعبير.






مثلاً: إذا حضر المدير فافتحوا له الباب.




نلاحظ هنا أن إجراء فتح الباب مشروط بحضور المدير، ولكن ماذا لو لم يحضر
المدير ؟؟ الجواب بسيط، الباب سيبقى مقفلاً مالم نعدل بشرط فتح الباب كأن
نضيف مثلاً: إذا حضر المدير أو مساعده فإفتحوا الباب، وهنا نلاحظ أننا
أضفنا مساعد المدير كشرط ثاني من شروط فتح الباب، وبالتالي فإن ال Access
List هي بحد ذاتها برمجة لآوامر مشروطة إذا توافر الشرط فيها فإن إجراءً ما
سيحدث، وإن لم يتوافر الشرط فإن الإجراء لن يحدث على الإطلاق.




هذا كان مثال تشبيهي وذكرته لكي أسهل عليكم فهم ماوارء الكواليس لل Access List .




لنبدأ الحديث عن ال Access List ومعلومات مهمة عنها:




ال Access List يتم بنائها في ال Global Configuration Mode الخاص بالرواتر
أو السويتش، ولكن تطبيق هذه ال Access List يتم على الإنترفيس، بمعنى لو
أنك قمت بعمل مليون أكسس لست لكي تمنع كاظم الساهر من دخول الموقع ولم تقم
بتطبيق هذه الأكسس لست على ال Interface فإنك لن تستطيع أن تمنع كاظم من
دخول الموقع على الإطلاق، وهذه نقطة مهمة جداً، إنشاء ال Access List يتم
في ال Global Mode و تطبيقها يتم على الإنترفيس.




ال Access List تتبع طريقة الفحص المتسلسل للتعليمات والشروط، بمعنى أن كل
Access List كما ذكرنا سابقاً تتكون من عدد من ال Statments ، أو عدد من
الشروط والتعليمات ، عندما تأتي Packet معينة للرواتر وتحديداً لل
Interface الذي طبقنا عليه ال Access List فإن هذه Access List تقوم بفحص
هذا ال Packet وتمريره على ال Statments أو الشروط بالترتيب من الأعلى
للأسفل، الـ Router سيمسك ال Packet ويقارنها بالشرط الأول وسيسأل الرواتر
نفسه: هي الشرط ينطبق على هذه ال Packet أو لا ؟؟؟




إذا أنطبق الشرط فإن الرواتر يتوقف ليقرأ الإجراء .








يرجى الانتباه بأنه في نهاية كل Access List نقوم بإنشائها يوجد إجراء أو
Action مخفي ولا يمكن رؤيتها أو حتى قراءتها، هذا الإجراء يقول (( إمنع
الكل )) ، مثلاً: قلنا لبواب العمارة: يا بواب إمنع فقط علي و خالد وعمر من
دخول البناية، يوجد هناك أمر مخفي في ال Access List يقول: إمنع الجميع،
وبالتالي لو حضر مصطفى فلن يتمكن من الدخول، ليس بسبب أن إسم مصطفى مدرج من
ضمن أسماء الأشخاص المحظور دخولهم، كلا يا إخوان، ولكن بسبب أنه يوجد
تعليمة مخفية تقول إمنع الكل، يعني by default الـ Access List بسوي Block
للكل يعني Deny .


وبالتالي إسم مصطفى هو من ضمن الكل صحيح ؟؟ وبالتالي تم منع مصطفى على هذا الأساس.




أنواع ال Access List :




1- Standard Access List




هذا النوع يستخدم عنوان أو IP Address للجهاز المرسل أو ال Source Address
فقط، وبالتالي فإن الشرط هنا هو العنوان أو ال IP Address للجهاز المرسل
فقط فقط فقط لا غير.




يعني هذا التوع فقط يمنع الـ IP Address و لا يستطيع منع أي نوع من انواع
الـ Application وهو يعمل على المستوى الثالث من الطبقات السبعة وهو ال
Network Layer فقط.




يتم إنشاء هذا النوع عن طريق الدخول إلى ال Global Configuration Mode ومن
ثم إعطاء الأمر Access-list ومن ثم كتابة رقم، يوجد لل Standard Access
List مجال من الأرقام المستخدمة، هذا المجال كما يالي:




و هذا المجال يتكون من 2 Range من 1 ولغاية 99 و 1300 لغاية 1999


يعني يمكنك كتابة أي رقم هذا ال Range للدلالة على إنشاء Access List من نوع Standard


فلو كتبت للرواتر الرقم 1500 أو الرقم 20 فسيفهم الرواتر على الطاير أن هذه
الأكسس لست هي من نوع Standard وبالتالي لن يعطيك أية خيارات سوى خيار منع
أو السماح لل IP Address للجهاز المرسل لل Packet .




مثال:




Router(config)#access-list 49 deny 192.168.0.0 0.0.255.255




2- Extended Access List




هذا النوع يستخدم في تقييمه لل Packet العديد من الأمور، مثل: عنوان
المرسل، عنوان المستقبل، نوع بروتوكول معين في المستوى الرابع أو Transport
Layer، رقم Port للجهاز المرسل، رقم البورت للجهاز المستقبل. وبالتالي
نلاحظ هما أنه يمكننا التحكم بمستويين من مستويات الطبقات السبعة وهما The
Network Layer و The Transport Layer .لان هذا النوع يعمل في المستويين
الثالث و الرابع من مستويات الـ IOS Layer




وهذا يعطي ال Extended Access List قوة أكبر في إمكانية التفصيل بشكل أكبر في تحديد الشروط.




يتم إنشاء هذا النوع عن طريق الدخول إلى ال Global Configuration Mode ومن
ثم إعطاء الأمر Access-list ومن ثم كتابة رقم، وكما في ال Standard فإنه
أيضاً يوجد مجال أو Range لهذا النوع وهو ال Extended Access List ، وهذا
أيضا يتكون من 2 Range كما يلي:




من 100 ولغاية 199 و من 2000 لغاية 2699 ، يعني يمكنك كتابة أي رقم ضمن الـ
2 Range للدلالة على إنشاء Access List من نوع Extended ، وفرضاً أننا
إخترنا الرقم 160 او الرقم 2599 فسيفهم الرواتر على الطاير أن هذه الأكسس
لست هي من نوع Extended وبالتالي سيعطيك الرواتر خيارات أكبر للمنع أو
السماح، وهذه الخيارات طبعاً تكلمنا عنها سابقاً مثل عنوان الجهاز المرسل
أو الجهاز المستقبل، رقم البورت للجهاز المرسل و رقم البورت للجهاز
المستقبل، وهكذا.




مثال:




Router(config)access-list 115 deny tcp any host 172.16.16.1 eq 80






3- Named Access List




هذا النوع صراحة لا يمكن أعتبره نوع !!! ولكن أعتبره طريقة لتسمية ال
Access List بإسم يدل على مضمون هذه ال Access List وبالتالي يسهل علينا
كمسؤلين عن جهاز الرواتر أو السويتش أن نعرف: لماذا أنشأنا هذه الأكسس لست،
مثلاً لو أردنا منع التصفح على الإنترنت فبإمكاننا أن نكتب Named Access
List ونسميها No_Internet أو STOP_INTERNET ومن ثم نطبقها على الإنترفيس
بنفس الإسم وبالتالي لو عدنا للأكسس لست في وقت لاحق فإننا سنعرف أن هذه
الأكسس لست أنشأت لمنع الوصول للإنترنت.




طبعاً هذا النوع الثالث يستخدم النوعين السابقين من ال Acsess List وهما ال Standard و ال Extended ، فقط الإختلاف في ال Command .




مثال:




ٌRouter(config)#ip access-list standard NO_INTERNET




أو




ٌRouter(config)#ip access-list standard STOP_INTERNET




وعندما نريد أن نطبقها على الإنترفيس نستبدل الرقم ب الإسم الذي كتبناه.




عندما ننشأ أي Access List وكما ذكرنا سابقاً فهي عديمة الفائدة مالم تطبق
على ال Interface ، ولكي تطبق على الإنترفيس لابد من الذهاب للإنترفيس عن
طريق الأمر Inteface xxxx ، طبعاً ال xxx هنا عنيت بها أي إنترفيس على
الراوتر سواء كان إثرنت أو سيريال أو ATM أو غيره، ومن ثم و بعد أن نكون في
ال Inteface Mode نقوم بتطبيق الأمر التالي:




Router(config-if)#ip access-group (access list number) (in or out)k




طبعاً ماقصدته ب access list number هو أي رقم من ضمن ال Range الذي تكلمنا عنه سواء لل Standard أو لل Extended .




ولكن ماذا أقصد ب in أو out ؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟




هذه هي نقطة الضعف عند معظم من يدرس ال Access List ، ولكن سأعطيكم بعون
الله طريقة لن تخطئوا على الإطلاق في كيفية تحديد أي من الخياران أن نختار،
ولكن قبل ذلك دعونا نتكلم قليلاً عن ال in و ال out .




كما ذكرنا سابقاً يا إخوة أن ال Access List عديمة الفائدة مالم تطبق على
ال Interface ، وتطبيقها كما شرحنا سابقاً يتم على أن ندخل على الإنترفيس
ومن ثم نصدر الأمر ip access-group ونتبعه برقم الأكسس لست، ومن ثم نتبعه ب
in أو out ، كل هذا في سطر واحد، طيب ماذا نقصد ب in و ماذا نقصد ب out
؟؟؟




in هي إختصار ل Inbound Access Lists و out هي اختصار ل Outbound Access
List ، يعنى ال Access List تطبق على ال Packets الداخلة للراوتر أو
الخارجة منه، طبعاً تحديد الإتجاه هو من العوامل المهمة جداً في نجاح تطبيق
ال Access List ، ولكي نعرف كيف نطبق ال Access List في الإتجاه الصحيح
دعونا نتبع هذه القاعدة السهلة جداً، ولو فهمتوا هذه القاعدة فلن ولن تخطؤا
الإتجاه بعون الله على الإطلاق.




قاعدة تحديد إتجاه ال Access List :




أول شيء نضع عيننا على ال Interface الذي سنطبق عليه ال Access List ونلاحظ




----------O




ال O هي الراوتر ، وال I هي الإنترفيس، طيب خلينا نلاحظ التالي:




*** إذا كانت ال Packet موجودة داخل الراوتر ونريد منعها أو السماح لها
بالخروج من الرواتر عبر ال Interface نقول: من ======> إلى ، أي من داخل
الراوتر إلى خارجه ، أي من In إلى Out ، دائماً دائماً دائماً نختار الشق
الثاني، وفي هذه الحالة هو Out .




*** إذا كانت ال Packet موجودة خارج الراوتر ونريد منعها أو السماح لها
بالدخول للراوتر عبر ال Inteface نقول: من ======> إلى ، أي من خارج
الراوتر إلى داخله ، أي من Out إلى In ، دائماً دائماً دائماً نختار الشق
الثاني، و في هذه الحالة هو In .


ملاحظة هذا منقول من الموقع التالي : [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]



_________________
*
****
********

*****************
**************************
*********************************
دع الأيام تفعــــــــل ما تشــاء ..... وطب نفسا إذا حكم القضاء
ولا تجــــــــزع لحادثة الليالي ..... فما لحـــوادث الدنيا بقـــــاء
وكن رجلا على الأهوال جلدا ..... وشيمتك السماحة والوفـــاء
وإن كثرت عيوبك في البرايا ..... وسرك أن يكون لها غطـاء
تستر بالسخاء فكـل عيــــــب ..... يغطيه كمـا قــيــل السخـــاء
ولا تــــــر للأعادي قــط ذلا ..... فإن شماتة الأعدا بـــــــــلاء
ولا ترج السماحة مــن بخيل ..... فما في النــــــار للظمآن ماء
*********************************
**************************
*****************
********

****
*







الرجوع الى أعلى الصفحة اذهب الى الأسفل
معاينة صفحة البيانات الشخصي للعضو http://c-s-c.123.st
 
شرح بالعربي ومبسط Acess Control List
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» تحكم في الكمبيوتر الشخصي بالبلوتوث Mobile Witch Bluetooth Remote Control
» [شرح]لوحة التحكم Control Panel

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
ٍٍTHE COURT OF COMPUTING SYSTEMS  :: SOFTWARE :: NETWOTK-
انتقل الى: