Fonctionnement des listes de contrôle d'accès IP

Objectif des listes de contrôle d'accès

Les listes de contrôle d'accès permettent aux administrateurs de contrôler le trafic entrant et sortant d'un réseau. Il peut tout simplement s'agir d'autoriser ou de refuser le trafic en fonction des adresses réseau ou bien d'atteindre des objectifs plus complexes, notamment contrôler le trafic réseau en fonction du port TCP demandé. Pour comprendre le principe de filtrage du trafic appliqué par une liste de contrôle d'accès, le plus simple est d'examiner le dialogue qui intervient dans une conversation TCP, notamment lorsque vous demandez une page Web.

Communication TCP

Lorsqu'un client demande des données à un serveur Web, le protocole IP gère les communications entre le PC (source) et le serveur (destination). Le protocole TCP gère les communications entre le navigateur Web (application) et le logiciel du serveur réseau.

Lorsque vous envoyez un e-mail, consultez une page Web ou téléchargez un fichier, le protocole TCP se charge de répartir les données en segments pour IP avant leur envoi. TCP gère également l'assemblage des données à partir des segments lorsqu'elles arrivent. Le processus TCP ressemble à une conversation dans laquelle deux nœuds se transmettent des données sur un réseau.

TCP fournit un service de flux d'octets fiable et orienté connexion. « Orienté connexion » signifie que les deux applications doivent établir une connexion TCP avant de pouvoir échanger des données. TCP est un protocole bidirectionnel simultané. En d'autres termes, chaque connexion TCP prend en charge une paire de flux d'octets, chaque flux étant unidirectionnel. TCP comprend un mécanisme de contrôle de flux pour chaque flux d'octets permettant au récepteur de limiter le volume de données que l'expéditeur peut transmettre. TCP implémente également un mécanisme de contrôle de l'encombrement.

L'animation proposée à la Figure 1 illustre une conversation TCP/IP. Les segments TCP sont identifiés par des indicateurs qui décrivent leur objectif : une synchronisation (SYN) commence la session, ACK est un accusé de réception signalant qu'un segment prévu a été reçu et un segment FIN termine la session. Un paquet SYN/ACK confirme que le transfert est synchronisé. Les segments de données TCP comprennent le protocole de niveau supérieur requis pour transmettre les données d'application à l'application appropriée.

Le segment de données TCP identifie également le port correspondant au service demandé. Par exemple, HTTP correspond au port 80, SMTP au port 25 et FTP aux ports 20 et 21. La Figure 2 montre les plages des ports UDP et TCP.

Les Figures 3 à 5 explorent les ports TCP/UDP.