ACL(Access Control List)

ACL(Access Control List)

접근 제어목록, 필터링방법

조건 : IP, TCP, UDP 등 프로토콜

Standard Access List (표준) 

- 출발지 주소만을 검사

Extended Access List (확장) ★★★★★

- 출발지 주소, 목적지, 프로토콜, 포트번호

표준과 확장 식별자?

Access List Type   Number Range/Identifier

Standard                1 ~ 99, 1300 ~ 1999

Extended             100 ~ 199, 2000 ~ 2699

번호는 아무거나 사용 가능.

**단, 번호는 그룹을 의미**

그룹단위로 적용

#access-list Number_Range permit Source Ips(서브넷) 와일드카드 마스크

#access-list 1 permit 172.16.0.0 0.0.0.255   // 허용

#access-list 1 deny 10.0.0.0 0.0.0.255       // 거부

#access-list 100 permit Protocol SRC DST 연산자 포트번호

#access-list 100 permit 172.16.0.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80

-> list 100은 tcp에 대해서 검사하는데 172.16.0.0에서 10.0.0.0 으로 가는 80번 포트인 것은 허용하겠다.

eq 는 '='을 의미

ACL 정책(라우터의 인터페이스의 기준)

Inbound 

- 인터페이스로 패킷이 입력될 때 검사

Outbound

- 나가는 데이터를 검사

하나의 패킷은 오직 하나의 조건문과 일치

조건문이 여러개 있어도 들어온 패킷은 하나의 조건문만 검사받음!

     1) #access-list 1 permit 172.16.0.0 0.0.0.255

     2) #access-list 1 permit 10.0.0.0 0.0.0.255

숨김 3) #access-list 1 deny 0.0.0.0 255.255.255.255 (모든 패킷들)

패킷이 들어와서 1번에 맞는 조건이면 뒤에 조건문은 검사 안함.

패킷이 들어왔는데 설정한 조건문들 모두 맞지 않은 나머지 deny. 거부!!!!!!!