Tự Học Quản Trị Mạng

Access Control List là gì, phân loại ACL

Posted on by ChuyenGiaBaoMat
02
Th10

Access Control List là gì, phân loại ACL

Phần 1: Định nghĩa, phân loại, cơ chế hoạt động

Phần 2: Cách hoạt động ACL Wildcard Masking

Phần 2: Cấu hình các loại ACL cơ bản

ACL là gì?

Danh sách các câu lệnh dùng để quản lý truy cập (vào, ra) trên thiết bị với các hành động tương ứng cho phép (allow) hoặc cấm (deny)

Cơ chế hoạt động, đặc điểm ACL

co-che-hoat-dong-cua-acl

– Cơ chế lọc gói tin dựa trên các thông số trong header gói tin như: IP nguồn, IP đích, Port nguồn, port đích, trạng thái…
– Các lệnh (luật) trong danh sách ACL xữ lý theo thứ tự từ trên xuống dưới, nếu có 1 luật thỏa mãn thì thoát luôn ACL mà không thực hiện các luật phía dưới.

 Ví dụ có danh sách ACL sau:

1-câu lệnh ACL1

2-câu lệnh ACL2

3-câu lệnh ACL3

4-câu lệnh ACL4

5-Deny all
Chú ý: Ta thấy câu lệnh thứ 5 (deny all) luôn khớp với tất cả các gói tin, (ta không cấu hình lệnh này nhưng mặc định có trong danh sách, không hiển thị khi dùng lệnh Show access list)

Do vậy theo thứ tự thực hiện trên xuống thì nếu từ trên xuống không có câu lệnh nào khớp với gói tin vào thì sẽ thực hiện câu lệnh cuối này, và điều đó có nghĩa là gói tin bị loại bỏ.

Do vậy ta cần có ít nhất một câu lệnh cho phép (allow) trong danh sách ACL

Xem Thêm Bài Viết  Cách thay đổi Địa chỉ MAC card mạng trên Windows

– ACL có nhiều ứng dụng, và cần phải được đặt lên interface, line, giao thức hoặc dịch vụ hỗ trợ ACL và phải đặt theo hướng vào hay hướng ra.

– Mỗi interface, line, giao thức hoặc dịch vụ hỗ trợ có thể sử dụng 1 hoặc nhiều ACL.

Phân loại ACL cơ bản:

1. Standard ACL:
Standard ACL gồm các câu lệnh ACL đơn giản nhất. Được đánh số từ 1-99 nếu là number ACL (ACL được ghi tên bằng số).

Standard ACL chỉ lọc địa chỉ nguồn trong header của IP packet, vì thế chúng hoạt động tại lớp 3 trong mô hình OSI hay lớp internet trong mô hình TCP/IP.

Ví dụ: Với mô hình trên ta cần cấm tất cả các PC trong LAN truy các SERVER thì chúng ta có dùng ACL standard này và nên đặt trên Router nào gần với đích (các máy cần cấm). Trong sơ đồ thì ta đặt ACL trên Router 0 để không ảnh hưởng tới các gói tin muốn sang các mạng khác.

so-do-access-list
2. Extended ACL:

Extended ACL là những câu lệnh ACL mở rộng, lọc dựa trên các tiêu chí như port number (application), source-destination IP address , protocol và nhiều tùy chọn. Vì thế extended ACL hoạt động tại lóp 3 và lớp 4 mô hình OSI.

Extended ACL được đánh số từ 100 đến 199

Extended ACL lọc chính xác source/destination IP Address nên ta hay đặt ACL này gần nguồn để tránh tình trạng hao tổn băng thông mạng không cần thiết khi gói tin “lang thang” trước khi bị deny.

Xem Thêm Bài Viết  Tự học MCSA bài 3: Trình quản lý user và Group trên máy cục bộ (Local user and group)

Trong hình trên giả sử nếu ta  muốn cấm các máy tính trong LAN truy xuất dịch vụ TELNET tới các Server trong DMZ thì nên đặt ACL trên router 1.

Phần 2: Cơ chế hoạt động ACL và Wildcard Mask

Lượt xem (13057)

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *