Access Control List

Các entry trong ACL đc xử lý theo thứ tựCơ chế lọc bằng cách kiểm tra các thông số trong header gói tinACL có nhiều ứng dụng, và cần phải được đặt lên interface, line, giao thức hoặc dịch vụhỗ trợ ACLMỗi interface, line, giao thức hoặc dịch vụ hỗ trợ có thể sử dụng 1 hoặc nhiều ACLHỗ trợ hầu như tất cả giao thức nhưng mỗi giao thức nên có riêng một ACL
Nội dung trích xuất từ tài liệu:
Access Control List AccessControlList ACLlàgì? Danhsáchquảnlýtruycập,nhiệmvụcơbảnlàlọcgóitin MộtvàiđặcđiểmACL? CácentrytrongACLđcxửlýtheothứtự CơchếlọcbằngcáchkiểmtracácthôngsốtrongheadergóitinACLcónhiềuứngdụng,vàcầnphảiđượcđặtlêninterface,line,giaothứchoặcdịchvụ hỗtrợACL Mỗiinterface,line,giaothứchoặcdịchvụhỗtrợcóthểsửdụng1hoặcnhiềuACL HỗtrợhầunhưtấtcảgiaothứcnhưngmỗigiaothứcnêncóriêngmộtACL CuốimỗiACLluôncó1explicitentry[denyall]=>cầnphảicẩnthận Khôngthểxóa,sửaentrytrongnumberedACL ***CónhiềucáchđểphânloạiACL,dựatheotêngọiACLđượcchialàmnumberACLvànamedACL,hoặcdựatrêncơchếlọcthìACLđcchiathànhstandardACLvàextendACL;haydựatrênđộlinhhoạtthìACLcóthểchiathànhstaticACLvàcomplexACL… StandardACLStandardACLlànhữngbảntinACLđơngiảnnhất.Chúngđượcđánhsốtừ199nếulànumberACL.StandardACLchỉlọcđịachỉnguồntrongheadercủaIPpacket,vìthếchúnghoạtđộngtạilớp3trongmôhìnhOSIhaylớpinternettrongmôhìnhTCP/IP.StandardACLcóthểđượcđặttheochiềuinbound(vào)hoặcoutbound(ra)trênrouter(tahiểurằngvàohayralàchiềutươngđốiđốivớimỗiinterface),tuynhiênbảntinstandardACLnênđượcđặtcànggầndestination,vàthườngtheochiềuoutbound.VìstandardACLchỉkiểmtrađịachỉIPnguồn,nênvịtríđặtcầnchỉrachínhxácchiềugóitinsẽđượcchophépquahoặckhôngđượcchophépqua.CấuhìnhStandardACLFormatStandardACLRouter(config)#accesslist[listnumber][permit/deny][sourceIPadd][wildcardmask]Trongđó:[listnumber]đánhsốchostandardACLtừ199[permit/deny]:chophéphoặckhôngchophépgóitinquarouter[sourceIPadd]:địachỉIPnguồncủagóitin[wildcardmask]:wildcardmaskcủađịachỉIPĐặtStandardACLlêninterface:[listnumber]đánhsốchostandardACLtừ199[permit/deny]:chophéphoặckhôngchophépgóitinquarouter[sourceIPadd]:địachỉIPnguồncủagóitin[wildcardmask]:wildcardmaskcủađịachỉIPTrongđó:[listnumber]SốcủaACLđãxácđịnhtrước[in/out]:Chọnhướnginboundhoặcoutbound ExtendedACLExtendedACLlànhữngbảntinACLmởrộng,chophéplọcđadạnghơnsovớistandardACLnênthườngđượcsửdụngnhiềuhơn.ExtendedACLđượcđánhsốtừ100đến199,extendedACLchophépportnumber(application),sourcedestinationIP address,protocolvànhiềutùychọn.VìthếextendedACLhoạtđộngtạilớp3vàlớp4môhìnhOSIExtendedACLcũngthểđượccấuhìnhinboundhoặcoutboundtrêninterface,tuynhiênvìextendedACLlọcchínhxácsource/destinationIPAddressnênvịtríđặtcầntránhtìnhtrạnghaotổnbăngthôngmạngkhôngcầnthiếtkhigóitinbịdiscard“langthang”trướckhibịdeny.NgườitathườngthựchiệnđiềunàybằngcáchđặtACLgầnsource.ExtendedACLđượcsửdụngnhiềuđểthiếtlậpcácroutingpolicytrênrouter.CácentrytrongExtendedACLrấtđadạng,vàcókhảnăngtùybiếncao,hỗtrợphòngchốngnhiềukiểutấncôngCấuhìnhExtendedACLFormatStandardACL:Router(config)#accesslist[listnumber][permit/deny][protocol][sourcespecification][destinationspecification][protocolqualification][logging]Trongđó:[listnumber]đánhsốchostandardACLtừ199[permit/deny]:chophéphoặckhôngchophépgóitinquarouter[protocol]:Giaothức(từlớp3trởlên)củagóitin(lớp3:“ospf”,“eigrp”,..;lớp4:“tcp”,“udp”;“icmp”;“ip”đạidiệnbấtkỳgiaothứcnào)[sourcespecification]:Làmộtchuỗientrybaogồm[sourceIPadd][wildcardmask][sourceportnumber(vớiprotocollàTCPhoặcUDP)][destinationspecification]:Làmộtchuỗientrybaogồm[desIPadd][wildcardmask][desportnumber(vớiprotocollàTCPhoặcUDP)][protocolqualification]:Cáctùychọnhỗtrợphụthuộcvàoentry[protocol],tăngcườngtínhnăngbảomậthoặcthựchiệnnhữngtácvụlọcdữliệuđặcbiệtNếu[protocol]làTCPhoặcUDPthì[protocolqualification]=[optionalport][portnumber].Trongđó:[optionalport]chỉrakhoảngportcầnđượckiểmtra[portnumber]chỉrachínhxácportlàmmốccho[optionalport]Nếu[protocol]làip:routersẽmatchtấtcảgiaothứcNếu[protocol]làgiaothứcđịnhtuyển(ospf,eigrp,..)???[logging]:GhilạithôngtinvềnhữnggóitinmatchcácentrytrongACL *** InboundhayOutboundKhinhắctớilọcthe ...