이 문서는 시작의 새로운 시리즈 중심으로 그것에서 보안,하지만에 초점을 확보 네트워크 액세스 제어 목록,일반적으로 Acl. 액세스 제어 목록의 기능 및 적절한 구현에서는 시스코 시험,하지만 개념 및 배포 전략에 적용되는 인증과 같은 보안 및 CISSP., 이 문서에서,우리는 조사하고 정의하는 다른 형태의 액세스 제어 목록을 검사는 일부 배포 개념,특히”왜”우리는 그들을 사용하고 있는”때에”. 미래 기사에 초점을 맞출 것이 자신의 구현에서는 시스코 라우터,특정 디자인을 위해 허용하거나 거부하는 서비스,그리고 벤처 세계로의 방화벽에서도 그대로 적용됩니다.
액세스 제어 목록이란 무엇입니까?
Acl 은 라우터 및 일부 스위치가 네트워크 인터페이스 내외의 데이터 흐름을 허용하고 제한하기 위해 사용하는 네트워크 필터입니다., 때 ACL 에 구성되어 인터페이스,네트워크는 장치로 분석 데이터를 전달하는 인터페이스를 통해,비교하는 기준에서 설명 ACL 및 허가 데이터를 전송하거나 금지하고 있습니다.
액세스 제어 목록을 사용하는 이유는 무엇입니까?
우리가 Acl 을 사용하는 다양한 이유가 있습니다. 주된 이유는 네트워크에 대한 기본 보안 수준을 제공하는 것입니다. Acl 지 않으로 복잡하고 깊이에서의 보호 상태를 보존하는 방화벽이지만,그들은 보호 기능을 제공에서 더 높은 속도 인터페이스가 선율 속도로 중요한 방화벽과될 수 있습 제한적입니다., Acl 또한 사용을 제한 업데이트를 위한 라우팅 네트워크에서 동료들과할 수 있게 해주는 유용한 도구를 정의 흐름을 제어를 위한 네트워크 트래픽이 있습니다.
언제 액세스 제어 목록을 사용합니까?
이전에 언급했듯이,Acl 라우터지 않으로 복잡하거나 강력한 상태로 방화벽,그러나 그들은 제안 상당한 양의 방화벽 기능입니다. IT 네트워크 또는 보안 전문가로서 방어 장치의 배치는 네트워크,자산 및 데이터를 보호하는 데 중요합니다., Acl 은 덜 바람직한 네트워크 및 알려진 취약한 프로토콜에 대한 트래픽을 필터링하기 위해 외부 라우터에 배치해야합니다.
이 경우 가장 일반적인 방법 중 하나는 네트워크에서 DMZ 또는 de-militarized 버퍼 영역을 설정하는 것입니다. 이 아키텍처는 일반적으로 두 개의 개별 네트워크 장치로 구현됩니다.
이 구성의 예가 그림 1 에 나와 있습니다.
장 외부 라우터 액세스를 제공하는 모든 외부 네트워크 연결이 있습니다., 이 라우터 일반적으로는 더 제한적인 Acl 제공하지만 더 큰 보호 액세스 블록을 분야의 글로벌 라우팅 테이블을하고자하는 제한. 이 라우터는 또한 당신이 절대적으로 또는 네트워크에서 액세스를 허용 할 계획이없는 잘 알려진 프로토콜에 대해 보호해야합니다. 또한,Acl 여기에 있어야하도록 구성된 네트워크를 제한 피어에 액세스할 수 있습과 함께 사용 라우팅 프로토콜을 제한 업데이트 및 범위의 경로에서 받거나 또는 전송 네트워크 동료들.,
DMZ 는 대부분의 IT 전문가가 외부에서 액세스해야하는 시스템을 배치하는 곳입니다. 이들 중 가장 일반적인 예는 웹 서버,DNS 서버 및 원격 액세스 또는 VPN 시스템입니다.
DMZ 의 내부 라우터에는 더 정의 된 위협으로부터 내부 네트워크를 보호하도록 설계된보다 제한적인 Acl 이 포함되어 있습니다. Acl 은 종종 특정 주소 및 프로토콜 서비스에 대한 명시적 허가 및 거부 명령문으로 구성됩니다.
액세스 제어 목록은 무엇으로 구성됩니까?,
어떤 라우팅 플랫폼을 활용하든 관계없이 모두 액세스 제어 목록을 정의하기위한 유사한 프로파일을 가지고 있습니다.,s 와 숫자)
- 예 IP,IPX,ICMP,TCP,UDP, NETBIOS 및 많은 다른 사람
- 이들은 일반적으로 주소와으로 정의될 수 있는 하나의 개별 주소,범위 또는 서브넷,또는 모든 주소
- 이러한 추가적인 진술을 요청 함수를 추가할 때 일치에 대한 문의입니다., 이 플래그는 다양한 각 프로토콜지만 일반적인 깃발을 추가 문서는 로그 기능을 기록하는 모든 일치하는 문 라우터 log
어떤 종류의 액세스 제어 목록이 있습니까?
여러 유형의 액세스 제어 목록이 있으며 대부분은 별개의 목적이나 프로토콜에 대해 정의됩니다. 시스코 라우터에는 표준 및 확장의 두 가지 주요 유형이 있습니다. 이러한 두 가지 유형은 가장 널리 사용되는 Acl 고 사람들은 내가에 초점을 맞출 것이 이와 미래의 문 있지만,일부 고급 Acl 니다., 고급 Acl 중 일부는 reflexive Acl 및 동적 Acl 을 포함하며 다음과 같이 정의됩니다. Ip 세션 Acl 이라고도하는 Reflexive Acl 은 내부 네트워크에서 시작된 트래픽에 대해 아웃 바운드 ACL 에서 트리거됩니다. 라우터는이 새로운 트래픽 흐름을 식별하고 인바운드 경로에 대해 별도의 ACL 에 항목을 만듭니다. 세션이 끝나면 reflexive ACL 의 항목이 제거됩니다.
동적 Acl 또는 잠금 및 키 Acl 을 만들어 사용자 액세스를 허용하는 특정한 근원/목적지 호스트를 통해 사용자 인증 과정입니다., Cisco 구현은 IOS 방화벽 기능을 활용하며 기존 보안 제한을 방해하지 않습니다.
의 구현 Acl 라우터 인터페이스
배치 및 이해 트래픽의 흐름을 이해하는 것이 중요하기 전에 너를 구성 ACL 라우터 인터페이스입니다. 의 이해 배치 및 영향의 Acl 은 자주 묻는 질문에 CCNA 및 등급의 시험 및 실수를 ACL 배치는 일부의 가장 일반적인 것들이 네트워크 관리자에게 보안 구현합니다. 날 믿어,그것은 우리 모두에게 일어나고 나는 그 일에 면역이되지 않는다., 그림 2 는 라우터 네트워크 인터페이스에서 수신 및 송신에 관해서 트래픽 흐름의 좋은 예를 제공합니다.
에서 볼 수 있듯이 다이어그램,트래픽에서 흐르는 네트워크 인터페이스로 인바운드 및 아웃바운드 흐름에서 인터페이스는 네트워크에 있습니다. IT 네트워크 및 보안 전문가는 여기에서 세심한주의를 기울여야합니다. Acl 은 구성에서 먼저 소스 주소로 시작하고 두 번째로 대상이됩니다., 으로 구성 ACL 에 진입의 네트워크 인터페이스를 인식하는 것이 중요하다는 모든 로컬 또는 네트워크 호스트를 볼 수 있어야 근원으로 여기고 정확한에 대한 반대를 송신 인터페이스입니다.
이 가장 혼란스럽게 만드는 것은 외부 네트워크에 직면하는 라우터의 인터페이스에서 Acl 을 구현하는 것입니다. 그림 1 을 다시 살펴보십시오. 이 예에서,침투 측에서 오는 외부 네트워크 및 그 주소를 고려하는 원인이 될 동안,모두의 내부 네트워크 주소가 없습니다., 송신 측에서 내부 네트워크 주소는 이제 소스 주소이고 외부 주소는 이제 대상입니다.
확장 Acl 에 포트를 추가하면 혼란이 마운트 될 수 있습니다. 구현하기 전에 내가 가진 가장 좋은 조언은 흐름을 문서화하고 소스/대상 주소를 적어 두는 것입니다. 나중에 ACL 구성 기사에서 이러한 구현을 더 많이 다룰 것입니다.
요약
액세스 제어 목록도 원칙 요소의 보안 네트워크를 이해하고 그들의 기능과 적절한 배치를 달성에 필수적인 그들의 가장 효과적입니다., 인증 교육은 Acl 을 다루며 시험에 관한 몇 가지 질문이 있습니다. 우리는 계속 이 시리즈에서,그것은 것이 현명 할 것이의 일부를 테스트하는 개념에서 네트워크 시뮬레이터 또는 라우터 포트를 사용하지 않는 더 나은 관점을 얻을 수 Acl 을 사용하여 어떻게 그들로 표시될 수 있에서 실제 구현에서는 시험.
컴퓨터 네트워킹 기술을 테스트 할 준비가 되셨습니까? 그들이 Smarterer 에서이 평가와 함께 스택 방법을 참조하십시오. 이 컴퓨터 네트워킹 테스트를 지금 시작하십시오.