공부합시다!/Network

ACL (Access Control List)

간서치 2022. 4. 25. 06:38
728x90

Packet Filtering!

보안과도 아주 밀접한 연관이 있는 ACL 입니다.

잘 적응하시면 Cloud의 보안 그룹 설정을 아주 쉽게 만들어 주는 녀석입니다.

방화벽 정책 설정에도 쏠쏠한 도움이 됩니다.

 

1. 정의 

 1.1. ACL(Access Control List) -> 패킷 필터링

 1.1. 표준 IP ACL

 1.2. 확장 IP ACL

 1.3. Named IP ACL

 1.4. 적용

  1.4.1. 위에서 부터 순차적으로 진행

  1.4.2. 일치할 경우 ACL의 구문(Deny or Permit) 수행

  1.4.3. 맨끝에는 Deny any 묵시적으로 존재

 

2. 종류

 2.1. 표준 ACL

  2.1.1. 출발지 IP주소만 참조하여 패킷을 필터링

  2.1.2. 1~99, 1300~1999 번호 사용

 2.2. 확장 ACL

  2.2.1. 출발지,목적지 IP주소,TCP,UDP,포트번호를 참조하여 패킷을 필터링

  2.2.2. 100~199, 2000~2699 번호 사용

 2.3. Named 표준 ACL

  2.3.1. 표준 ACL과 같으며, ACL 선언 시 번호가 아닌 사용자 설정 값 사용

 2.4. Named 확장 ACL

  2.4.1. 확장 ACL과 같으며, ACL 선언 시 번호가 아닌 사용자 설정 값 사용

 

3. 구문

 3.1. 표준 ACL 명령어 구문 

  3.1.1. config) # access-list 1 deny 1.1.1.2 0.0.0.0

  3.1.2. access-list 1 : 표준 ACL번호는 1~99번, 1300~1999번 사이의 번호를 사용

  3.1.3. deny : 조건에 맞는 트래픽을 전달(permit)할 것인지 버릴(deny)것인지 결정

  3.1.4. 1.1.1.2 : ACL이 적용될 출발지 주소

  3.1.5. 0.0.0.0 : ACL이 적용될 주소의 와일드카드 마스크

  3.1.6. access-list 1 permit any

   3.1.6.1. ACL이 deny 구문으로 이루어져 잇을 경우에는 deny 된 트래픽을 제외한 다른 모든 트래픽을 전달시키겟다는 의미,꼭 설정

  3.1.7. ip access-group 1 in : 위에서 작성한 ACL 1번을 적용하는데 들어오는 트래픽(in)에 적용할 것인지 나가는 트래픽(out)에 적용할 것인지 결정

 3.2. 확장 ACL 명령어 구분

  3.2.1. config)# access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 eq 80

  3.2.2. access-list 100 : 표준 ACL번호는 100~199번, 2000~2699번 사이의 번호를 사용

  3.2.3. permit or deny : 패킷 허용 or 거부

  3.2.4. tcp or udp or ip : Protocol 지정

  3.2.5. host 1.1.1.1 : 출발지 주소

  3.2.6. host 2.2.2.2 : 목적지 주소

  3.2.7. eq : 적용 조건 

  3.2.8. 80 : 일치하는 포트 or 서비스

  3.2.9. 블랙리스트 방식으로 사용할 시 마지막에 반드시 permit ip any any 

 3.3. Named 표준 ACL을 정의하는 명령어 구문

  3.3.1. config)# ip access-list standard babo

  3.3.2. ip access-list : 표준이나 확장 ACL과 달리 named ACL을 시작할때 사용

  3.3.3. standard : named 표준 ACL의 경우 standard 사용하고,

  3.3.4. named 확장 ACL의 경우 extended 사용

  3.3.5. babo : named ACL에 사용되는 ACL의 이름을 정의

  3.3.6. 실제 라우터에서는 두 ACL 옆에 순서대로 10, 20 일련번호 순차적으로 생성

  3.3.7. 만약 ACL을 위와 같이 작성한 후, 위 ACL들 사이에 ACL이 삽입되어야 하는 경우

  3.3.8. named 확장 ACL의 경우는 중간에 ACL문구를 삽입할 수 있음.

 

4. 사용 예

R2>en

R2#conf t

R2(config)#ip access-list extend R2_ACL

R2(config-ext-nacl)#permit tcp any host 1.1.1.1

R2(config-ext-nacl)#deny ip any any

R2(config-ext-nacl)#exit

R2(config)#do show access-list

Extended IP access list R2_ACL

permit tcp any host 1.1.1.1

deny ip any any

R2(config)#ip access-list extended R2_ACL

R2(config-ext-nacl)#15 permit tcp any host 203.230.7.1

R2(config-ext-nacl)#do show access-list

 

5. 실습

 5.1. 팀 별로 자유롭게 문제 출제

실습 1

방화벽을 기초 ACL!
잘 배워 두시면 보안 장비 및 Cloud 보안 설정에서 여러모로 사용되니 활용도가 높습니다.

꼭 익혀두세요!

Have a nice day!

728x90
저작자표시 비영리 변경금지