컴퓨터 네트워킹 세계에서 ACL 은 보안의 가장 근본적인 구성 요소 중 하나입니다.
액세스 제어 목록”ACL”함수는 시계 들어오고 나가는 트래픽과 비교하여 그것의 집합으로 정의 문이 있습니다.
이 문서에서,우리는 깊은 기능을 Acl 대답에 다음과 같은 일반적인 질문에 대한 Acl?
- 액세스 제어 목록이란 무엇입니까?
- 왜 ACL 을 사용합니까?,
- ACL 을 어디에 둘 수 있습니까?
- ACL 의 구성 요소는 무엇입니까?
- Acl 의 유형은 무엇입니까?라우터에서 ACL 을 구현하는 방법은 무엇입니까?
액세스 제어 목록이란 무엇입니까?
액세스 제어 목록”Acl”는 네트워크 트래픽을 필터에서 컨트롤 할 수 있는 송신 또는 수신 트래픽이다.
acl 은 라우터의 인터페이스에서 패킷을 전달하거나 차단하는 방법을 정의하는 일련의 규칙에서 작동합니다.
ACL 은 소스에서 대상으로 흐르는 패킷을 제한,차단 또는 허용하는 상태 비 저장 방화벽과 동일합니다.,
정의할 때 ACL 에 라우팅 장치에 대한 특정 인터페이스의 모든 트래픽을 통해 흐르는 것과 비교 ACL 문는 것입니다 하나 그것을 차단하거나 그것을 할 수 있습니다.
ACL 규칙을 정의하는 기준은 소스,대상,특정 프로토콜 또는 자세한 정보 일 수 있습니다.
Acl 에서 일반적 라우터 또는 방화벽,그러나 구성할 수도 있습니다 그들에게 어떤 장치에서 실행되는 네트워크에서 호스트 네트워크의 장,서버,etc.
왜 ACL 을 사용합니까?
ACL 을 사용하는 주요 아이디어는 네트워크에 보안을 제공하는 것입니다., 그것 없이는 어떤 트래픽도 들어 오거나 빠져 나갈 수 없으므로 원치 않는 위험한 트래픽에보다 취약합니다.
ACL 으로 보안을 향상 시키려면 예를 들어 특정 라우팅 업데이트를 거부하거나 트래픽 흐름 제어를 제공 할 수 있습니다.
과 같이 아래 그림에서의 라우팅 기 ACL 는가에 대한 액세스를 거부하 host C 으로 금융 네트워크와 같은 시간에,그것은 접근을 허용하는 호스트 D.
ACL 패킷 필터링할 수 있습에 대한 하나 또는 그룹의 IP 주소 또는 다른 프로토콜,TCP 또는 UDP 같은.,예를 들어 엔지니어링 팀에서 하나의 호스트 만 차단하는 대신 전체 네트워크에 대한 액세스를 거부하고 하나만 허용 할 수 있습니다. 거나 제한할 수도 있습니다 액세스하는 호스트 C.
경우 엔지니어 호스트에서는 C,스에 액세스해야 하는 웹에 위치한 서버 금융 네트워크,만 허용할 수 있습 port80,모니다.
ACL 을 어디에 둘 수 있습니까?
인터넷과 같이 알 수없는 외부 네트워크에 직면하고있는 장치는 트래픽을 필터링 할 수있는 방법이 있어야합니다. 따라서 ACL 을 구성하는 가장 좋은 장소 중 하나는 edge 라우터에 있습니다.,
ACL 을 가진 라우팅 장치는 인터넷을 마주보고 공공 인터넷과 사설망을 나누는 완충 지대 인 DMZ(De Militarized Zone)를 연결하는 배치 될 수 있습니다.
DMZ 는 웹 서버,앱 서버,DNS 서버,Vpn 등과 같이 외부에서 액세스해야하는 서버를 위해 예약되어 있습니다.
과 같이 아래 그림에서는 디자인 보여줍니다 DMZ 로 나누어 두 가지 장치 중 하나는 분리하는 신뢰할 수 있는 영역에서 DMZ 및 다른 분리하는 인터넷(공용 네트워크).,
라우터 인터넷 게이트웨이 역할을 하는 모든 외부 네트워크입니다. 더 큰 서브넷이 외출 또는 출입 할 수 없도록 차단하여 일반적인 보안을 제공합니다.
이 라우터에서 ACL 을 구성하여 잘 알려진 특정 포트(TCP 또는 UDP)로부터 보호 할 수도 있습니다.
내부터 사이에 위치하고 있는 DMZ 고 신뢰할 수 있는 영역을 구성할 수 있는 더 제한적인 규칙을 보호하고 내부 네트워크입니다. 그러나 이것은 ACL 을 통해 상태 저장 방화벽을 선택할 수있는 좋은 장소입니다.
그러나 왜 ACL 대 배치하는 것이 더 낫습니까, DMZ 를 보호하기위한 상태 저장 방화벽?Acl 은 장치의 전달 하드웨어에서 직접 구성되므로 최종 성능을 손상시키지 않습니다.
DMZ 를 보호하기 위해 상태 저장 방화벽을 배치하면 네트워크의 성능이 손상 될 수 있습니다.
응용 프로그램이나 서버와 같은 고성능 자산을 보호하기 위해 ACL 라우터를 선택하는 것이 더 나은 옵션이 될 수 있습니다. 동 Acl 지 않을 수도 있습 수준을 제공하는 보안 상태 저장 방화벽을 제안,그들은 최적의 끝점 네트워크에서는 높은 속도가 필요하고 필요한 보호합니다.
ACL 의 구성 요소는 무엇입니까?,
Acl 에 대한 구현은 대부분의 라우팅 플랫폼에서 매우 유사하며 모두이를 구성하기위한 일반적인 지침이 있습니다.
ACL 은 규칙 또는 항목의 집합임을 기억하십시오. 할 수 있습 ACL 하나 또는 여러 개의 항목,각각은 뭔가를 할 수 있습니다 모든 것을 허용 또는 차단 아무것도 아니다.
ACL 항목을 정의 할 때 필요한 정보가 필요합니다.
- 시퀀스 번호:
숫자를 사용하여 ACL 항목을 식별합니다. - ACL 이름:
이름을 사용하여 ACL 항목을 정의합니다., 일련의 숫자를 사용하는 대신 일부 라우터는 문자와 숫자의 조합을 허용합니다. - 비고:
일부 라우터를 사용하면 자세한 설명을 추가하는 데 도움이 될 수있는 ACL 에 주석을 추가 할 수 있습니다. - 문:
주소 및 와일드 카드 마스크를 기반으로 특정 소스를 거부하거나 허용합니다. Cisco 와 같은 일부 라우팅 장치는 기본적으로 각 ACL 의 끝에 암시 적 거부 문을 구성합니다. - 네트워크 프로토콜:
IP,IPX,ICMP,TCP,UDP,NetBIOS 등을 거부/허용할지 여부를 지정합니다., - 원본 또는 대상
의 원본 또는 대상 대상으로 한 IP 주소 범위(CIDR),또는 모든 주소를 가집니다.
- Log:
일부 장치는 ACL 일치 항목이 발견되면 로그를 유지할 수 있습니다. - 기타 기준:
고급 Acl 을 사용할 수 있도록 제어 트래픽을 통해 유형 서비스 약관(ToS),IP 우선 순위,그리고 차별화된 서비스 코드포인트(DSCP)우선 순위입니다.
Acl 의 유형은 무엇입니까?
의 네 가지 유형이 있습니다 Acl 을 사용할 수 있는 다른 목적으로,이러한 표준,확장,동적,반사,그리고 시간 기반 Acl.,
표준 ACL
표준 ACL 을 보호하는 것을 목표로하고있 네트워크를 사용하여만 원본 주소입니다.가장 기본적인 유형이며 간단한 배포에 사용할 수 있지만 불행히도 강력한 보안을 제공하지는 않습니다. 구성을 위한 표준에 대한 ACL 시스코 라우 다음과 같습니다:
확장 ACL
으로 확장 ACL,할 수도 있습니다 차단 소스 및 대상에 대한 단일 호스팅 또는 전체 네트워크입니다.
확장 ACL 을 사용하여 프로토콜 정보(IP,ICMP,TCP,UDP)를 기반으로 트래픽을 필터링 할 수도 있습니다.,
의 구성을 확 ACL 시스코 라우터 TCP 은 다음과 같습니다:
동적 ACL
동적 Acl 에 의존 확장 Acl,Telnet,인증이 있습니다. 이 유형의 Acl 은 종종”잠금 및 키”라고하며 특정 시간대에 사용할 수 있습니다.
이러한 목록에 대한 액세스를 허용하는 사용자를 원하거나 목적지에 도착하는 경우 사용자를 인증하는 장치를 통해 Telnet.다음은 Cisco 라우터에서 동적 ACL 의 구성입니다.,
Reflexive ACL
Reflexive Acl 은 IP 세션 Acl 이라고도합니다. 이러한 유형의 Acl 은 상위 계층 세션 정보를 기반으로 트래픽을 필터링합니다.
그들은 반응을 유래 세션 내부의 라우터는지 여부를 허가 아웃바운드 트래픽 또는 제한을 받는 교통. 라우터는 아웃바운드 ACL 트래픽을 인식하고 인바운드에 대한 새 ACL 항목을 만듭니다.세션이 끝나면 항목이 제거됩니다.,
의 구성을 재귀 ACL 시스코 라우 다음과 같습니다:
을 구현하는 방법에 대한 ACL 모니터링 가능합니다.
라우터에서 수신 및 송신 트래픽(또는 인바운드 및 아웃 바운드)을 이해하는 것은 적절한 ACL 구현에 중요합니다.
ACL 에 대한 규칙을 설정할 때 모든 트래픽 흐름은 라우터의 인터페이스(다른 네트워크가 아닌)의 시점을 기반으로합니다.
에서 볼 수 있듯이 아래 그림,트래픽은 흐름에서 오는 네트워크는지 여부,그것은 외부 또는 내부,라우터 인터페이스입니다., 반면에 송신 트래픽은 인터페이스에서 네트워크로 나가는 흐름입니다.ACL 이 작동하려면 라우터의 인터페이스에 적용하십시오. 모든 라우팅 및 전달 결정은 라우터의 하드웨어에서 이루어 지므로 ACL 문을 훨씬 빠르게 실행할 수 있습니다.
ACL 항목을 만들 때 소스 주소가 먼저 가고 대상은 다음으로 이동합니다. Cisco 라우터의 IP 용 확장 ACL 구성의 예를 들어보십시오. 거부/허가 규칙을 만들 때는 먼저 소스를 정의한 다음 대상 IP 를 정의해야 합니다.,
들어오는 흐름이 소스의 모든 호스트나 네트워크,그리고 나의 대상인 모든 호스트가 네트워크가 있습니다.인터넷에서 오는 트래픽을 차단하려는 경우 소스는 무엇입니까? 인바운드 트래픽이 외부 네트워크에서 라우터 인터페이스로 들어오는 것을 기억하십시오.
도록 소스에서 IP 주소를 인터넷(웹 서버 공용 IP 주소)또는 모든 것을(와일드 카드의 마스크 0.0.0.0),및 대상입니다 내부 IP 주소입니다.,
반대로,당신은 무엇을 인터넷에 연결하는 특정 호스트를 차단하는 경우?인바운드 트래픽은 내부 네트워크에서 라우터 인터페이스로 들어오고 인터넷으로 나갑니다. 따라서 소스는 내부 호스트의 IP 이고 대상은 인터넷상의 IP 주소입니다.
요약
Acl 은 네트워크의 패킷 필터입니다.
보안을 위해 필수적인 트래픽을 제한,허용 또는 거부 할 수 있습니다., ACL 을 사용하면 TCP,UDP,ICMP 등과 같은 프로토콜에 대해 단일 또는 ip 주소 그룹 또는 다른 패킷의 흐름을 제어 할 수 있습니다.
잘못된 인터페이스에 ACL 을 배치하거나 실수로 소스/대상을 변경하면 네트워크에 부정적인 영향을 줄 수 있습니다. 단일 ACL 성명서는 인터넷없이 전체 비즈니스를 떠날 수 있습니다.인바운드 및 아웃 바운드 트래픽 흐름,Acl 의 작동 방식 및 배치 위치를 파악하려면 부정적인 성능을 피하는 것이 중요합니다., 을 기억하는 라우터의 일은 앞으로 트래픽을 통해 바로 인터페이스 흐름 중 하나가 될 수 있습오고 그것은(인바운드)또는 외출(아웃바운드)입니다.
상태 저장 방화벽은 훨씬 더 나은 보안을 제공하지만 네트워크의 성능을 손상시킬 수 있습니다. 하지만 Acl 배포에는 인터페이스,라우터를 사용하여 하드웨어 기능을하는 과정,그것은 훨씬 더 빠르고 아주 좋은 수준의 보안을 보장합니다.피>
답글 남기기