ACL و یا Access Control List چیست؟

ACL و یا Access Control List چیست؟

ACL و یا هم Access Control List یکی از خصوصیات امنیتی در روتر ها و فایروال ها میباشد. در صورت عدم تطبیق کدام ACL تمام پورت های روتر میتواند تمام packet های ورودی و خروجی  روتر را ارسال و دریافت کند اما در صورت تطبیق ACL میتوانیم از ارسال packet ها به هدف مشخصی را کنترول کنیم. یعنی وظیفه آن فلتر کردن packet  ها در زمان ورود و یا خروج از پورت های روتر به مقصد میباشد. فلتر سازی packet ها نظر به اجازه عبور و محدودیت های وضع شده به ACL میباشد. Access Control List میتواند در NAT  و QOS هم استفاده شود.

انواع ACL ها

بصورت عموم Access Control List ها به دو نوع میباشد.

  1. Extended ACL
  2. Standard ACL

خصوصیات مشترک  ACL ها

خصوصیات مشترک این دو Access Control List ها این است که هر دو میتوانند در inbound  و یا outbound ها تطبیق شوند. Inbound یعنی زمانی که یک packet داخل روتر میشود و outbound زمانیکه packet ها میخواهند از روتر خارج شوند. و دیگر اینکه در صورت عدم ذکر وسیله ها در زمان ایجاد Access Control List، تمام وسیله ها implicit deny میباشند. یعنی کدام packet ارسال شده نمیتواند.

ACL و یا Access Control List چیست؟

تفاوت میان ACL ها

  1. در زمان نامگذاری ٍStandard ACL ها ما میتوانیم از رینج 1-99 و از رینج توسعه یافته 1300-1999 نامگذاری کنیم. در حالیکه در Extended ACL ما میتوانیم از رینج 100-199 و از رینج توسعه یافته 2000-2699 میتوانیم نامگذاری کنیم.
  2. در Standard ACL، ACL به روتر که به device هدف نزدیک است، ایجاد میشود. اما در Extended ACL، ACL به روتر نزدیک به منبع ایجاد میشود.
  3. Standard ACL بر اساس آی پی آدرس منبع ایجاد میشود. اما Extended ACL بر اساس آی پی آدرس هدف ایجاد میگردد.

Note: در یک پورت تنها یک ACL در عین زمان میتواند تطبیق شود.

ACL ها بر اساس شماره گذاری که شده اند اجرا میشوند پس نامگذاری ACL ها خیلی مهم میباشد.

بجای یک host مشخص زمانیکه بخواهیم packet ها را از یک شبکه deny کنیم با ذکر نتورک آدرس آن wildcard mask آنرا که عبارت از معکوس subnet mask میباشد نیز ذکر میگردد.

حتما بخوانید:

 شبکه محلی مجازی یا VLAN

امنیت پورت در سویچ

 ACL Configuration

تطبیق ACL ها در روتر دارای دو مرحله میباشد.

  1. ایجاد Access Control List:
  2. و تطبیق آن در پورت مورد نظر:

Standard ACL Configuration

مرحله اول: ابتدا در مود configuration رفته مینویسیم.

  1. Ip access-list standard X: که بجای متحول X میتوانید از رینج Standard ACL قیمت گذاری کنید.
  2. Deny/permit host A.A.A.A log: deny تمام پکیت های ارسال شده رااجازه عبور نمیدهد. و در صورت اجرای permit پکیت های ارسال شده را اجازه عبور میدهد. بجایA.A.A میتوانید آی پی آدرس device هدف را بنویسید.  و نوشتن log در اینجا اختیاری میباشد. Log در صورت match پکیت ها یک پیام syslog میدهد.
  3. Permit any: در اخیر ACL این کامنت را مینویسیم چون در صورت عدم ذکر دیگر host های موجود در شبکه، پکیت های تمام host های موجود دیگر نیز deny میشوند.

مرحله دوم: در انترفیسی که قرار است ACL را تطبیق کنید وارد میشویم. مثلا

Interface fastethernet 0/1

Ip access-group X out/in: X  قیمت یا شماره ACL ایجاد شده میباشد. و in  نمایندگی از inbound و out نمایندگی از outbound میکند.

Extended ACL Configuration

این نیز دارای دو مرحله میباشد.

  • مرحله اول ایجاد ACL

Ip access-list extended X: X را میتوانید از رینج extended ACL قیمت گذاری کنید.

Deny tcp host A.A.A.A host B.B.B.B eq 80: tcp در اینجا بیان کننده پروتوکلی میباشد که بر اساس آن ACL پکیت ها را فلتر میکند و A.A.A عبارت از آی پی آدرس منبع و B.B.B.B عبارت از آی پی آدرس هدف میباشد. Ep نمایندگی از مساوی بودن میکند که بعد از آن میتوانید خود پروتوکل و یا نمبر پورت آنرا مشخص کنید.

Permit any

  • مرحله دوم:

تطبیق آن در انترفیس روتر

Interface fastethernet 0/1: انتخاب انترفیسی که میخواهیم ACL را در آن پیاده کنیم.

Ip access-group X in/out: X  عبارت از نام ACL میباشد و in  نمایندگی از inbound و out نمایندگی از outbound میکند.

برای آموزش های بشتر رجوع را دنبال کنید

سکینه موسوی

پست‌های مرتبط
دیدگاهتان را بنویسید:
کد امنیتی در تصویر کلیک کنید برای به روز رسانی تصویر امنیتی.