Network | ACL(Access Control List), PacketTracer 실습

1. 특징

- 특정 트래픽의 접근을 허용할지 차단할지 결정하는 리스트 (Filtering) => 보안을 위해서 많이 사용

- 정책에 따른 traffic filtering, 식별, 분류, 암호화, 변환 작업 등 수행

- L3 장비인 Router에서 설정하지만 Application Layer 부분도 관리하기 때문에 Network Layer라고 단정할 수 없음

 -> Application Layer 부분의 보완을 위해 Firewall 등의 보안 장비 사용

- Router는 물리적인 Interface와 가상 포트 존재 -> 가상 터미널(vty) 접근 제한은 일반적으로 트래픽 제어 기법으로 사용하지 않고 보안을 증가시키기 위해 사용함

- ACL은 Router 내에서 생성된 패킷은 막을 수 없음 -> 가상 터미널 인터페이스에 ACL을 적용할 때는 access-class 사용

 

---

2.  규칙

- Access List에 매치되지 않는 모든 Packet은 거부됨

- 모든 조건에 해당되지 않으면 ALL Deny (조건의 마지막에 기본값으로 ALL Deny 정책이 지정되어 있음)

- 선행 조건이 우선되기 때문에 좁은 범위부터 조건 설정해야 함

- 정책 구성 후 필요한 위치에서 적용함

- Named ACL을 제외하고는 순서대로 입력되기 때문에 중간 삽입이나 중간 삭제가 불가능함

 

---

3. Filtering 조건

1. Numbered ACL

- 숫자를 식별 값으로 사용함

- 특정 기능 수행을 위한 트래픽 분류를 목적으로 사용됨

* Wildcard Bits 사용 : bit단위로 검사

 -> 0은 검사, 1은 검사 x

 ex) 0.255.0.255 => 첫 번째, 세 번째 옥텟만 검사

 

 1) Standard (1~99, 1300~1999) : Source Address만 조건 부여 가능

- 목적지 주소를 명시하지 않으므로, 가능한 한 목적지 가까운 곳에 설정

# access-list [list-number] [permit/deny] [Source Address] [Destination]

# ip access-list standard [access-list-name]

-> Interface 적용 : # ip access-group [access-list-number] [in/out]

 

 2) Extended (100~199, 2000~2699) : Source Address, Destination Address, Port, Protocol 등의 매개변수를 검사하여 유연하게 제어 가능

- 가능한 한 거부하고자 하는 트래픽의 발신지에 설정

# access-list [list-number] [permit/deny] [Protocol] [Source Address] [Destination] (option)

-> Interface 적용 : # ip access-group [access-list-number] [in/out]

---

* Option

- eq(Equal to) : 트래픽=조건

- neq(Not equal to) : 트래픽!=조건

- It(Less than) : 트래픽<조건

- gt(Greater than) : 트래픽>조건

- range : first ~ end

---

2. Named ACL

- 문자를 식별 값으로 사용함

- 방화벽의 보안정책 구성 및 복잡한 정책 구성을 할 때 사용함

- ACL을 생성하고 ACL Mode에서 조건 지정

- 조건을 원하는 위치에 추가, 수정, 삭제 가능

 

 

 

 

---

 # TEST

예제

Simulation Mode로 Test해본 모습

ACL.txt

0.00MB