Wednesday , 13 November 2019
Home » Bài theo kỳ » Access Control List là gì, phân loại ACL

Access Control List là gì, phân loại ACL

Access Control List là gì, phân loại ACL

Phần 1: Định nghĩa, phân loại, cơ chế hoạt động

Phần 2: Cách hoạt động ACL Wildcard Masking

Phần 2: Cấu hình các loại ACL cơ bản

ACL là gì?

Danh sách các câu lệnh dùng để quản lý truy cập (vào, ra) trên thiết bị với các hành động tương ứng cho phép (allow) hoặc cấm (deny)

Cơ chế hoạt động, đặc điểm ACL

co-che-hoat-dong-cua-acl

– Cơ chế lọc gói tin dựa trên các thông số trong header gói tin như: IP nguồn, IP đích, Port nguồn, port đích, trạng thái…
– Các lệnh (luật) trong danh sách ACL xữ lý theo thứ tự từ trên xuống dưới, nếu có 1 luật thỏa mãn thì thoát luôn ACL mà không thực hiện các luật phía dưới.

 Ví dụ có danh sách ACL sau:

1-câu lệnh ACL1

2-câu lệnh ACL2

3-câu lệnh ACL3

4-câu lệnh ACL4

5-Deny all
Chú ý: Ta thấy câu lệnh thứ 5 (deny all) luôn khớp với tất cả các gói tin, (ta không cấu hình lệnh này nhưng mặc định có trong danh sách, không hiển thị khi dùng lệnh Show access list)

Do vậy theo thứ tự thực hiện trên xuống thì nếu từ trên xuống không có câu lệnh nào khớp với gói tin vào thì sẽ thực hiện câu lệnh cuối này, và điều đó có nghĩa là gói tin bị loại bỏ.

Do vậy ta cần có ít nhất một câu lệnh cho phép (allow) trong danh sách ACL

– ACL có nhiều ứng dụng, và cần phải được đặt lên interface, line, giao thức hoặc dịch vụ hỗ trợ ACL và phải đặt theo hướng vào hay hướng ra.

– Mỗi interface, line, giao thức hoặc dịch vụ hỗ trợ có thể sử dụng 1 hoặc nhiều ACL.

Phân loại ACL cơ bản:

1. Standard ACL:
Standard ACL gồm các câu lệnh ACL đơn giản nhất. Được đánh số từ 1-99 nếu là number ACL (ACL được ghi tên bằng số).

Standard ACL chỉ lọc địa chỉ nguồn trong header của IP packet, vì thế chúng hoạt động tại lớp 3 trong mô hình OSI hay lớp internet trong mô hình TCP/IP.

Ví dụ: Với mô hình trên ta cần cấm tất cả các PC trong LAN truy các SERVER thì chúng ta có dùng ACL standard này và nên đặt trên Router nào gần với đích (các máy cần cấm). Trong sơ đồ thì ta đặt ACL trên Router 0 để không ảnh hưởng tới các gói tin muốn sang các mạng khác.

so-do-access-list
2. Extended ACL:

Extended ACL là những câu lệnh ACL mở rộng, lọc dựa trên các tiêu chí như port number (application), source-destination IP address , protocol và nhiều tùy chọn. Vì thế extended ACL hoạt động tại lóp 3 và lớp 4 mô hình OSI.

Extended ACL được đánh số từ 100 đến 199

Extended ACL lọc chính xác source/destination IP Address nên ta hay đặt ACL này gần nguồn để tránh tình trạng hao tổn băng thông mạng không cần thiết khi gói tin “lang thang” trước khi bị deny.

Trong hình trên giả sử nếu ta  muốn cấm các máy tính trong LAN truy xuất dịch vụ TELNET tới các Server trong DMZ thì nên đặt ACL trên router 1.

Phần 2: Cơ chế hoạt động ACL và Wildcard Mask

Lượt xem (5151)

About Nguyễn Thanh Sơn

Nguyễn Thanh Sơn
Network Security, Web Design, Computer Science

Xem thêm

Năm 2017: Người dùng Việt Nam thiệt hại 12.300 tỉ đồng vì virus máy tính

(NLĐO) – Năm 2017, thiệt hại do virus máy tính gây ra đối với người …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *