Access Control List (ACL) چیست؟
Access Control List (ACL) چیست؟
در دنیای امنیت شبکه، Access Control List یکی از اساسی ترین مؤلفه های امنیت شبکه است.
لیست کنترل دسترسی “ACL” تابعی است که ترافیک ورودی و خروجی را نظارت می کند و آن را با مجموعه ای از عبارات تعریف شده مقایسه می کند تا در نهایت امکان Permit و یا Deny را مشخص کند.
در این مقاله ، ما به عملکرد ACL ها می پردازیم و به سؤالات متداول زیر درباره ACL پاسخ خواهیم داد.
- ACL چیست؟
- چرا از ACL استفاده می کنیم؟
- ACL را کجا قرار دهیم؟
- مؤلفه های ACL چیست؟
- انواع ACL چیست؟
- چگونه ACL را روی روتر پیاده سازی کنیم؟
لیست کنترل دسترسی Access Control List چیست؟
لیست های کنترل دسترسی “ACL” فیلترهای ترافیک شبکه هستند که می توانند ترافیک ورودی یا خروجی را کنترل کنند.
ACL ها روی مجموعه ای از قوانین کار می کنند که نحوه ادامه حرکت یا مسدود کردن یک پکت فایروال و یا روتر را تعریف می کند.
ACL همانند فایروال Stateless است که فقط بسته هایی را که از مبدا به مقصد در جریان است را محدود کرده، مسدود می کند یا اجازه عبور می دهد.
هنگامی که ACL را در یک دستگاه مسیریابی برای یک interface خاص تعریف می کنید، تمام ترافیک موجود در آن با عبارت ACL که یا آن را مسدود می کند یا به شما اجازه می دهد مقایسه می شود.
معیارهای تعیین قوانین ACL می تواند منبع ، مقصد ، یک پروتکل خاص یا اطلاعات بیشتر باشد.
ACL ها بیشتر در روترها یا فایروال ها استفاده می شوند، اما می توانند آنها را در هر دستگاهی که در شبکه کار می کند، از هاست، دستگاه های شبکه، سرورها و غیره پیکربندی شود.
چرا از Access Control List استفاده می کنیم؟
ایده اصلی استفاده از ACL تأمین امنیت شبکه شما است. بدون آن ، هرگونه ترافیکی اجازه ورود یا خروج دارد، و این امر باعث دریافت ترافیک ناخواسته و آسیب پذیرتر می شود.
برای مثال ، برای بهبود امنیت با ACL ، می توانید به روزرسانی های routing خاص را دریافت نکنید یا کنترل جریان ترافیک را انجام دهید.
با استفاده از ACL می توانید پکت های مربوط به یک یا تعدادی آدرس IP یا پروتکل های مختلف مانند TCP یا UDP را فیلتر کنید.
Access Control List را کجا می توانید قرار دهید؟
دستگاه هایی که با شبکه های خارجی ناشناخته مانند اینترنت روبرو هستند، باید راهی برای فیلتر کردن ترافیک داشته باشند. بنابراین ، یکی از بهترین مکان ها برای پیکربندی ACL در روترهای لبه edge routers است.
روتر و یا فایروال لبه اینترنت به عنوان دروازه ای برای همه شبکه های خارجی عمل می کند. این امر امنیت عمومی را با مسدود کردن IPهای بزرگتر از بیرون رفتن یا دریافت پکت ها فراهم می کند.
همچنین می توانید ACL را در این تجهیزات به نحوی تنظیم کنید تا در برابر پورت های شناخته شده خاص (TCP یا UDP) سیستم ها را محافظت کنید.
اجزاء تشکیل دهنده Access Control List
اجرای ACL در اکثر سیستم عامل های مسیریابی کاملاً مشابه است، و دستورالعمل کلی برای پیکربندی آنها وجود دارد.
به یاد داشته باشید که ACL مجموعه ای از قوانین یا نوشته ها است. شما می توانید یک ACL با ورودی های یک یا چندتایی داشته باشید ، جایی که قرار است هرکدام کاری انجام دهد ، این امکان وجود دارد که اجازه همه چیز را بدهید یا هیچ موردی را مسدود نکنید.
وقتی ورودی ACL را تعریف می کنید ، به اطلاعات لازم نیاز خواهید داشت:
Sequence Number:
مشخص سازی با استفاده از شماره
ACL Name:
ACL را با استفاده از یک نام تعریف کنید. به جای استفاده از توالی اعداد ، برخی از روترها ترکیبی از حروف و اعداد را امکان پذیر می کنند.
Remark:
برخی از روترها به شما امکان می دهند تا توضیحات را در ACL اضافه کنید، که می تواند به شما در شناسایی و نحوه کارکرد دقیق کمک کند.
Statement:
مشخص سازی Deny و یا permit بودن.
Network Protocol:
مشخص سازی نحوه برخورد بر اساس پروتکل.
Source or Destination:
مشخص سازی مبدا و مقصد.
Log:
برخی از تجهیزات میتوانند گزارش نیز تولید کنند.
سایر معیارها:
ACL های پیشرفته به شما امکان می دهند تا از اولویت نوع خدمات (ToS) ، اولویت IP ، و کدگذاری خدمات متفاوت (DSCP) استفاده کنید.
انواع ACL
چهار نوع ACL وجود دارد که می توانید برای مقاصد مختلف از آنها استفاده کنید:
Standard, Extended, Dynamic, Reflexive
۱. ACL استاندارد
هدف ACL استاندارد محافظت از یک شبکه با استفاده از تنها آدرس منبع است.
ابتدایی ترین نوع است و می تواند برای استقرارهای ساده مورد استفاده قرار گیرد ، اما متأسفانه امنیت بسیار خوبی را ارائه نمی دهد. پیکربندی یک ACL استاندارد در روتر سیسکو به شرح زیر است:
۲.Extended ACL
با استفاده از Extended ACL، می توانید منبع و مقصد را برای هر هاست و یا کل شبکه ها نیز مشخص کنید.
همچنین می توانید بر اساس اطلاعات پروتکل (IP ، ICMP ، TCP ، UDP) از فیلتر Extended ACL برای فیلتر کردن ترافیک استفاده کنید.
۳.Dynamic ACL
ACL های پویا ، به ACL های گسترده ، Telnet و تأیید اعتبار را اضافه می کنند. این نوع ACL ها اغلب به عنوان “قفل و کلید” شناخته می شوند و می توانند برای بازه های زمانی خاص استفاده شوند.
این لیست ها فقط در صورت احراز هویت کاربر از طریق Telnet به کاربر به یک منبع یا مقصد اجازه دسترسی می دهد.
۴.Reflexive ACL
ACL های بازتابنده همچنین به ACL های جلسه IP گفته می شوند. این نوع ACL ها ، ترافیک را بر اساس اطلاعات جلسه لایه بالایی فیلتر می کنند.
آنها نسبت به جلساتی که در داخل روتر ایجاد شده است ، واکنش نشان می دهند که آیا امکان ارسال ترافیک و یا محدود کردن ترافیک ورودی را دارند. روتر ترافیک ACL برون مرزی را تشخیص می دهد و ورودی جدید ACL را برای ورودی ایجاد می کند.
پس از پایان جلسه ، ورودی حذف می شود.
چگونه ACL را در روتر خود پیاده سازی کنیم؟
درک ترافیک ورودی و خروجی (یا ورودی و خروجی) در روتر ، برای اجرای صحیح ACL بسیار مهم است.
هنگام تنظیم قوانین برای ACL ، تمام جریانات ترافیک با بر مبنای نگاه روتر (نه شبکه های دیگر) انجام شود.
ترافیک ورودی جریانی است که از یک شبکه اعم از خارجی یا داخلی به اینترفیس روتر وارد می شود. از طرف دیگر ، ترافیک خارجی ، جریانی است ناشی از خروج ترافیک از اینترفیس روتر.
برای اعمال ACL ، آن را در اینترفیس روتر اعمال کنید. از آنجایی که کلیه تصمیمات مربوط به مسیریابی و هدایت از سخت افزار روتر گرفته می شود، ACL ها می توانند خیلی سریعتر اجرا شوند.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.