Tất tần tật về danh sách quản lý truy cập (ACL)
T t t n t t v danh sách qu n lý truy c p (ACL)ấ ầ ậ ề ả ậ
B o m t m ng là công vi c vô cùng quan tr ng trong các h th ng m ng. ả ậ ạ ệ ọ ệ ố ạ
Các nhà thi t k m ng s d ng t ng l a (firewall) đ b o v m ng t ế ế ạ ử ụ ườ ử ể ả ệ ạ ừ
ng i dùng không xác th c. T ng l a có th là gi i pháp ph n c ng ho cườ ự ườ ử ể ả ầ ứ ặ
gi i pháp ph n m n đ thi hành chính sách b o m t. Trên thi t b Router ả ầ ề ể ả ậ ế ị
Cisco, chúng ta có th c u hình t ng l a đ n gi n cung c p l c gói tin s ể ấ ườ ử ơ ả ấ ọ ử
d ng ACLs (access control lists). V i ACLs, ng i qu n tr m ng có th ụ ớ ườ ạ ị ạ ể
cho phép ho c t ch i các gói tin đi vào ho c ra ngoài m ng. Bài vi t này ặ ừ ố ặ ạ ế
trình bày các ki n th c c b n v ACLs.ế ứ ơ ả ề
1. ACLs là gì ?
ACLs (Access control lists) hay còn g i là access lists, là m t danh sách ọ ộ
tu n t các câu l nh hay còn g i là ACEs (Access control entries), đ c áp ầ ự ệ ọ ượ
d ng trên m t Interface nào đó, và trên b đ m vào ho c ra, đi u khi u ụ ộ ộ ệ ặ ề ể
Router t ch i ho c chuy n ti p các gói tin d a vào thông tin trong IP ừ ố ặ ể ế ự
header ho c TCP/UDP header.ặ
2. M c đích s d ng ACLsụ ử ụ
ü Gi i h n l u l ng m ng nh m tăng hi u năng m ngớ ạ ư ượ ạ ằ ệ ạ
ü Cung c p đi u khi u lu ng truy n thông b ng cách gi i h n phân phát ấ ề ể ồ ề ằ ớ ạ
c p nh t tuy n.ậ ậ ế
ü Cung c p m c b o m t c b n cho truy c p m ng.ấ ứ ả ậ ơ ả ậ ạ
ü Đi u khi u các lo i truy n thông đ c phép chuy n ti p ho c t ch i ề ể ạ ề ượ ể ế ặ ừ ố
b i Router.ở
ü Kh năng đi u khi n truy c p ng i dùngả ề ể ậ ườ
3. Ho t đ ng c a ACLsạ ộ ủ
Khi gói tin đ n Router, thi t b tu n t ki m tra đ i chi u v i các ACEs ế ế ị ầ ự ể ố ế ớ
trong ACLs đ quy t đ nh cho phép gói tin đi qua Interface hay t ch i. Cácể ế ị ừ ố
ACEs trong ACLs đ c ki m tra tu n t t ACE đ u tiên đ n ACE cu i ượ ể ầ ự ừ ầ ế ố
cùng. N u ACE nào đó th a đi u ki n thì các ACE sau khi c n ki m tra. ế ỏ ề ệ ầ ể
Cu i ACLs là m t ACE không t ng minh t ch i không cho phép gói tin ố ộ ườ ừ ố
đi qua. Do đó, n u gói tin không th a đi u ki n các ACEs trên thì gói tin s ế ỏ ề ệ ẽ
b đánh r i.ị ơ
4. Các lo i ACLsạ
IOS Cisco cung c p hai lo i ACLs: ACLs chu n và ACLs m r ng.ấ ạ ẩ ở ộ
- ACLs chu n: đây là lo i ACLs đ n gi n nh t ch l c các gói tin d a ẩ ạ ơ ả ấ ỉ ọ ự
vào đ a ch IP ngu n. Do đó, nó ch đ c s d ng đ cho phép ho c t ị ỉ ồ ỉ ượ ử ụ ể ặ ừ
ch i lu ng truy n thông t m t host ho c m t m ng c th nào đó.ố ồ ề ừ ộ ặ ộ ạ ụ ể
- ACLs m r ng: đây là ACLs ph c t p h n ACLs chu n và có nhi u ở ộ ứ ạ ơ ẩ ề
đi u ki n l c h n ACLs chu n, các đi u ki n l c g m:ề ệ ọ ơ ẩ ề ệ ọ ồ
ü Đ a ch IP ngu nị ỉ ồ
ü Đ a ch IP đíchị ỉ
ü Giao th cứ
ü Ch s c ng ng d ngỉ ố ổ ứ ụ
5. ACLs nên đ t đau ?ặ ở
Đ t ACLs đúng ch là vô cùng quan tr ng, có th làm m ng ho t đ ng ặ ổ ọ ể ạ ạ ộ
hi u qu , gi m l ng truy n thông không c n thi t. ACLs nêu đ t n i mà ệ ả ả ượ ề ầ ế ặ ơ
nó đ t đ c hi u qu t t nh t. Chú ý sau giúp xác đ nh đúng v trí đ t ạ ượ ệ ả ố ấ ị ị ặ
ACLs:
- ACLs m r ngở ộ : đ t g n ngu n truy n thông đ c l c nh t có th . Theo ặ ầ ồ ề ượ ọ ấ ể
cách này, các luông truy n thông không mong mu n b t ch i tr c khi đi ề ố ị ừ ố ướ
vào h t ng m ng, gi m l u l ng m ng, tăng hi u năng m ng.ạ ầ ạ ả ư ượ ạ ệ ạ
- ACLs chu nẩ: Vì ACLs chu n không ch đ nh đ a ch đích nên nó đ c ẩ ỉ ị ị ỉ ượ
đ t g n m ng đích nh t có th . Đ t ACLs chu n g n ngu n có th ngăn ặ ầ ạ ấ ể ặ ẩ ầ ồ ể
ch n lu ng truy n thông đ n đ n các m ng khác qua Interface áp d ng ặ ồ ề ế ế ạ ụ
ACLs.
V trí đ t ACLs và lo i ACLs ph thu c vào:ị ặ ạ ụ ộ
- M c đ ki m sát m ng c a ng i qu n trứ ộ ể ạ ủ ườ ả ị: v trí đ t ACLs ph thu cị ặ ụ ộ
vào kh năng đi u khi n m ng ngu n, ho c m ng đích, ho c c hai.ả ề ể ạ ồ ặ ạ ặ ả
- Băng thông m ngạ: l c l u l ng m ng không mong mu n ngu n ngănọ ư ượ ạ ố ở ồ
ch n tiêu t n băng thông truy n t i nó đ n đích. Đi u này là quan trong đ iặ ố ề ả ế ề ố
v i m ng băng thông th p.ớ ạ ấ
- D dàng c u hìnhễ ấ : n u ng i qu n tr m ng mu i t ch i l u l ng ế ườ ả ị ạ ố ừ ố ư ượ
m ng đ n t m t vài m ng, ý t ng là có th s d ng ACLs chu n áp ạ ế ừ ộ ạ ưở ể ử ụ ẩ
d ng trên Router g n đích nh t có th . B t l i c a tr ng h p này là ụ ầ ấ ể ấ ợ ủ ườ ợ
m ng tiêu t n nhi u băng thông không c n thi t. N u s d ng ACLs m ạ ố ề ầ ế ế ử ụ ở
r ng, có th áp d ng ACLs trên m i Router n i lu ng truy n thông xu t ộ ể ụ ỗ ơ ồ ề ấ
phát. Đi u này ti t ki m băng thông m ng nh ng yêu c u t o và áp d ng ề ế ệ ạ ư ầ ạ ụ
ACLs trên nhi u Router.ề
Áp d ng ACLs lên Interface theo h ng vào hay ra ?ụ ướ
- Áp d ng ACLs h ng vào: các gói tin vào s đ c x lý l c tr c khi ụ ướ ẽ ượ ử ọ ướ
đ c đ nh tuy n và đ a ra Interface chuy n ti p. V i cách này, chi phí tìm ượ ị ế ư ể ế ớ
tuy n gi m. Cách này s d ng t t nh t đ l c các gói tin khi ch m t ế ả ử ụ ố ấ ể ọ ỉ ộ
ngu n c a gói tin c n đ c ki m tra.ồ ủ ầ ượ ể
- Áp d ng ACLs h ng ra: các gói tin sau khi đã đ c đ nh tuy n và đ a raụ ướ ượ ị ế ư
b đ m Interface ra, sau đó chúng đ c x lý qua b l c ACLs. Cách này ộ ệ ượ ử ộ ọ
áp d ng t t nh t cho tr ng h p các gói tin đ n t nhi u b đ m Interface ụ ố ấ ườ ợ ế ừ ề ộ ệ
vào và ra cùng m t b đ m Interface ra.ộ ộ ệ
6. C u hình ACLsấ
C u hình Standard Ipv4 ACLsấ
Tạo và sử dụng ACLs là công việc quan trọng, đòi hỏi người quản trị mạng cần có kế hoạch chi )ết rõ
ràng. Bảng sau ghi chú các chú ý khi xây dựng và sử dụng ACLs.
H ng d nướ ẫ L i íchợ
o ACLs c n bám sát chính sách b oầ ả
m t c a t ch cậ ủ ổ ứ
o Đ m b o tri n khai chính sách b o ả ả ể ả
m t đúng yêu c uậ ầ
o Chu n b các mô t mà ACLs c aậ ị ả ủ
b n mu n làmạ ố
o Đi u này tránh nh ng b t l i ề ữ ấ ợ
không mong mu n trong quá trình t o ố ạ
ACLs
o S d ng trình so n th o text đ ử ụ ạ ả ể
t o, s a, và l u ACLsạ ử ư
o Giúp t o ra th vi n ACLs có th ạ ư ệ ể
tái s d ng sau nàyử ụ
o Ki m tra ACLs tr c khi đ a vàoể ướ ư
s d ngử ụ
o Giúp ki m tra l iể ỗ
Chú ý: Do ACLs đ c ki m tra tu n t t trên xu ng nên khi t o ACLs ượ ể ầ ự ừ ố ạ
c n chú ý các ACL trên không ph đ nh các ACLs d i, các l nh ACLs ầ ở ủ ị ướ ệ
c th đ t trên; các ACLs chung chung nên đ t g n cu i.ụ ể ặ ở ặ ầ ố
C u trúc l nh c u hình standard ipv4 numbered ACLs :ấ ệ ấ
Router(config)# access-list access-list-number { deny | permit | remark } sou
rce [source-wildcard ][ log ]
Tham sốGi i thíchả
Access-list-
number
Đ nh danh s c a m t ACL, s d ng s th p phân t 1-ị ố ủ ộ ử ụ ố ậ ừ
99 và 1300-1999
Deny T ch i l u l ng truy n thông n u th a đi u ki nừ ố ư ượ ề ế ỏ ề ệ
Permit Cho phép l u l ng qua n n th a đi u ki nư ượ ế ỏ ề ệ
Remark Mô t ch c năng c a ACL, làm cho ACL d dàng đ ả ứ ủ ễ ể
hi u. M i remark gi i h n 100 ký t .ể ỗ ớ ạ ự
Source Là m ng, host ngu n gói tin. Có hai cách đ ch đ nh ạ ồ ể ỉ ị
ngu n gói tin:ồ
- S d ng 32 bit đ ch đ nh ngu n gói tin;ử ụ ể ỉ ị ồ
- Ho c có th s d ng t khóa thay thặ ể ử ụ ừ ế
Chú ý: n uế ngu nồ là host thì ta ch đ nhỉ ị source là host,
sau đó là đ a ch c a host. N u ngu n là b t kỳ thì ta ị ỉ ủ ế ồ ấ
dùng t khóaừ any.
source-
wildcard
32 bits wildcard mask đ c áp d ng v i ngu nượ ụ ớ ồ
Log Thông đi p ghi l i thông tin v các gói tin th a ACEs. ệ ạ ề ỏ
Thông đi p này g m thông tin v ch s ACL mà gói tin ệ ồ ề ỉ ố
đ c phép thông qua hay t ch i, đ a ch ngu n và s góiượ ừ ố ị ỉ ồ ố
tin. Thông đi p đ c t o ra khi gói tin đ u tiên th a ACEệ ượ ạ ầ ỏ
và đ nh kỳ 5 phút.ị
C u trúc l nh c u hình standard ipv4 named ACLs :ấ ệ ấ
Router(config)#ip access-list standard name
Router(config-std-nacl)# [permit | deny | remark] source [source-wildcard]
[log]
C u hình Extended Ipv4 ACLsấ
C u hình extended Ipv4 numbered ACLsấ
Router(config)# access-list access-list-number { deny | permit | remark } sou
rce [source-wildcard ] protocol source [source-wildcard] [opterator operand
] [port port-number|name] destination [destination-wildcard]
[operator operand] [port port-number|name] [established]
Tham sốGi i thíchả
Access-list-
number
Đ nh danh s c a m t ACL, s d ng s th p phân t ị ố ủ ộ ử ụ ố ậ ừ
100-199 và 2000-2699
Deny T ch i l u l ng truy n thông n u th a đi u ki nừ ố ư ượ ề ế ỏ ề ệ
Permit Cho phép l u l ng qua n n th a đi u ki nư ượ ế ỏ ề ệ
Remark Mô t ch c năng c a ACL, làm cho ACL d dàng đ ả ứ ủ ễ ể
hi u. M i remark gi i h n 100 ký t .ể ỗ ớ ạ ự
Protocol Tên ho c s c a giao th c Internet. T khóa th ng ặ ố ủ ứ ừ ườ
dùng g m: IP, TCP, UDP. Đ th a b t kỳ giao th c ồ ể ỏ ấ ứ
Internet nào ta dùng t khóa IP.ừ
Source Là m ng, host ngu n gói tin.ạ ồ
source-wildcard 32 bits wildcard mask đ c áp d ng v i ngu n.ượ ụ ớ ồ
Destination M ng ho c host đích gói tin.ạ ặ
Destination-
wildcard
32 bits wildcard mask đ c áp d ng v i đích.ượ ụ ớ
Operator So sánh c ng ngu n ho c c ng đích. Toán t so sánh ổ ồ ặ ổ ử
có th g m:ể ồ lt(less than), gt (greater
than), eq (equal), neq (not equal), và range(vùng lo i ạ
tr )ừ
Port S th p phân ho c tên c a c ng TCP ho c UDPố ậ ặ ủ ổ ặ
Established Ch cho phép lu ng truy n thông đã thi t l p k t n i ỉ ồ ề ế ậ ế ố
tr c đó.ướ
C u hình extended Ipv4 numbered ACLsấ
Router(config)#ip access-list extended name
Router(config-std-nacl)# { deny | permit | remark } source [source-wildcard
] protocol source [source-wildcard] [opterator operand ] [port port-number|
name] destination [destination-wildcard] [operator operand] [port port-
number|name] [established]
Sau khi t o ACLs xong, ta ti n hành áp d ng ACLs lên Interfaceạ ế ụ
có thể bạn quan tâm
Một số cách tạo fake IP giúp bạn truy cập ẩn danh
5
821
258
An ninh, bảo mật
5
(New)
DANH SÁCH ĐỐI CHIẾU, XÁC NHẬN NGƯỜI THAM GIA BẢO HIỂM Y TẾ CỦA ĐƠN VỊ...
1
665
291
Biểu mẫu, văn bản khác
1
(New)
Danh sách tất cả các Socket CPU
5
1.076
254
Tài liệu CNTT khác
5
(New)
DANH SÁCH GIÁO VIÊN GIẢNG DẠY
1
780
364
Biểu mẫu, văn bản khác
1
(New)
DANH SÁCH HỌC SINH SUY DINH DƯỠNG
1
887
311
Biểu mẫu, văn bản khác
1
(New)
Danh sách 114 chương trình diệt vi rút giả mạo
13
609
302
An ninh, bảo mật
13
(New)
DANH SÁCH Ý TƯỞNG KINH DOANH GẦN TẾT
6
1.033
392
Marketing, bán hàng
6
(New)
DANH SÁCH THÂN NHÂN ĐĂNG KÝ THĂM GẶP
1
733
301
Biểu mẫu, văn bản khác
1
(New)
thông tin tài liệu
Tài liệu hữu ích về Access control list
Mở rộng để xem thêm
từ khóa liên quan
tài liệu mới trong mục này
tài liệu hot trong mục này
tài liệu giúp tôi
Nếu bạn không tìm thấy tài liệu mình cần có thể gửi yêu cầu ở đây để chúng tôi tìm giúp bạn!
×
