Access Control List (ACL) چیست؟ و شیوه پیکربندی آن چگونه است؟

در دنیای امنیت شبکه، لیست کنترل دسترسی یا Access Control List یکی از اساسی ترین مؤلفه‌های امنیت شبکه است.
لیست کنترل دسترسی “ACL” تابعی است که ترافیک ورودی و خروجی را نظارت می کند و آن را با مجموعه ای از عبارات تعریف شده مقایسه می کند تا در نهایت امکان Permit و یا Deny را مشخص کند.
در این مقاله ، ما به عملکرد ACL ها می پردازیم و به سؤالات متداول زیر درباره ACL پاسخ خواهیم داد.

ACL چیست؟
چرا از ACL استفاده می کنیم؟
ACL را کجا قرار دهیم؟ مؤلفه های ACL چیست؟
انواع ACL چیست؟ چگونه ACL را روی روتر یا سوئیچ پیاده‌سازی کنیم؟




لیست کنترل دسترسی Access Control List چیست؟


لیست های کنترل دسترسی “ACL” فیلترهای ترافیک شبکه هستند که می توانند ترافیک ورودی یا خروجی را کنترل کنند.
ACL ها روی مجموعه ای از قوانین کار می کنند که نحوه ادامه حرکت یا مسدود کردن یک پکت فایروال و یا روتر را تعریف می کند.
ACL ماهیت Stateless بودن را دارد به این معنی که که فقط بسته‌هایی را که از مبدا به مقصد در جریان است را محدود کرده، مسدود می کند یا اجازه عبور می دهد.
هنگامی که ACL را در یک دستگاه مسیریابی برای یک interface خاص تعریف می کنید، تمام ترافیک موجود در آن با عبارت ACL که یا آن را مسدود می کند یا به شما اجازه می دهد مقایسه می شود.
معیارهای تعیین قوانین ACL می تواند منبع، مقصد، یک پروتکل خاص یا اطلاعات بیشتر باشد.
ACL ها بیشتر در روترها یا فایروال‌ها استفاده می شوند، اما می توان آنها را در هر دستگاهی که در شبکه کار می کند، از جمله هاست‌ها، دستگاه‌های شبکه، سرورها و غیره پیکربندی کرد.
 
.

 

چرا از Access Control List استفاده می کنیم؟

ایده اصلی استفاده از ACL تأمین امنیت شبکه شما است. بدون آن، هرگونه ترافیکی اجازه ورود یا خروج دارد، و این امر باعث دریافت ترافیک ناخواسته شده و امنیت سیستم‌ها را کاهش می دهد.
به عنوان مثال برای بهبود امنیت با ACL، می توانید به‌روزرسانی‌های routing خاصی را دریافت نکنید یا کنترل جریان ترافیک را به نحوی که دوست دارید انجام دهید.
با استفاده از ACL می توانید پکت‌های مربوط به یک یا تعدادی آدرس IP یا پروتکل های مختلف مانند TCP یا UDP را فیلتر کنید.

Access Control List را کجا می توانید قرار دهید؟

دستگاه‌هایی که با شبکه‌های خارجی ناشناخته مانند اینترنت روبرو هستند، باید راهی برای فیلتر کردن ترافیک داشته باشند. بنابراین، یکی از بهترین مکان‌ها برای پیکربندی ACL در روترهای لبه edge routers است.
روتر و یا فایروال لبه اینترنت به عنوان دروازه‌ای برای اتصال شبکه‌های خارجی عمل می کند. این امر امنیت شبکه را با مسدود کردن IPها به هنگام خروج پکت‌ها یا دریافت پکت ها، فراهم می کند.
همچنین می توانید ACL را در این تجهیزات به نحوی تنظیم کنید تا در برابر پورت های شناخته شده خاص (TCP یا UDP) سیستم‌ها را محافظت کنید.

اجزاء تشکیل دهنده Access Control List

اجرای ACL در اکثر سیستم‌های مسیریابی کاملاً مشابه است، و دستورالعمل کلی برای پیکربندی آنها وجود دارد.
به یاد داشته باشید که ACL مجموعه ای از قوانین یا نوشته ها است. شما می توانید یک ACL با ورودی‌های یک یا چندتایی داشته باشید، جایی که قرار است هرکدام کاری انجام دهد، این امکان وجود دارد که اجازه همه چیز را بدهید یا هیچ موردی را مسدود نکنید.
وقتی ورودی ACL را تعریف می کنید، به اطلاعات لازم نیاز خواهید داشت:
Sequence Number:
مشخص سازی ترتیب با استفاده از شماره
ACL Name: ACL
را با استفاده از یک نام تعریف کنید. به جای استفاده از توالی اعداد، برخی از روترها ترکیبی از حروف و اعداد را امکان پذیر می کنند.
Remark:
برخی از روترها (مانند میکروتیک) به شما امکان می دهند تا توضیحات را در ACL اضافه کنید، که می‌تواند به شما در شناسایی و نحوه کارکرد دقیق کمک کند.
Statement:
مشخص سازی Deny و یا Permit بودن.
Network Protocol:
مشخص سازی نحوه اقدام بر اساس پروتکل.
Source or Destination:
مشخص سازی مبدا و مقصد.
Log:
برخی از تجهیزات میتوانند لاگ نیز تولید کنند.
سایر مولفه‌های ACL:
ACL های پیشرفته به شما امکان می دهند تا از اولویت نوع خدمات (ToS)، اولویت IP، و (DSCP) استفاده کنید.
انواع ACL
.

چهار نوع ACL وجود دارد که می توانید برای مقاصد مختلف از آنها استفاده کنید:
Standard
Extended
Dynamic
Reflexive
۱. ACL
استاندارد هدف ACL استاندارد محافظت از یک شبکه با استفاده از تنها آدرس منبع است.
ابتدایی ترین نوع است و می تواند برای موارد ساده مورد استفاده قرار گیرد، اما متأسفانه امنیت بسیار خوبی را ارائه نمی دهد. پیکربندی یک ACL استاندارد در روتر سیسکو به شرح زیر است:
.

۲.Extended ACL با استفاده از Extended ACL، می توانید منبع و مقصد را برای هر هاست یا شبکه نیز مشخص کنید. همچنین می توانید بر اساس اطلاعات پروتکل (IP ، ICMP ، TCP ، UDP) از فیلتر Extended ACL برای فیلتر کردن ترافیک استفاده کنید.
.
۳.Dynamic ACL ACL

های پویا، به Extended ACL ها، اعتبار سنجی را اضافه می کنند. این نوع ACL ها اغلب به عنوان “قفل و کلید” شناخته می شوند و می توانند برای بازه های زمانی خاص استفاده شوند.
این لیست ها فقط در صورت احراز هویت کاربر از طریق Telnet به کاربر به یک منبع یا مقصد اجازه دسترسی می دهد.
.
۴.Reflexive ACL
ACL های Reflexive همچنین به نام ACL های جلسه IP نیز شناخته می‌شوند. این نوع ACLها، ترافیک را بر اساس اطلاعات جلسه (Session) در لایه بالاتر فیلتر می کنند.
آنها نسبت به جلساتی که در داخل روتر ایجاد شده است، می‌توانند اقدا با استفاده از تنها آدرس منبع است.م انجام دهند.همچنین امکان ارسال ترافیک و یا محدود کردن ترافیک ورودی را دارند. روتر ترافیک ACL به مقصد بیرون را تشخیص می دهد و ورودی جدید ACL را ایجاد می کند. پس از پایان جلسه نیز ورودی حذف می شود. چگونه ACL را در روتر خود پیاده سازی کنیم؟
درک ترافیک ورودی و خروجی در روتر یا سویچ لایه ۳، برای اجرای صحیح ACL بسیار مهم است.
هنگام تنظیم قوانین برای ACL، تمام جریان‌های ترافیک را بر مبنای نگاه دستگاه روتر (نه شبکه های دیگر) باید انجام شود.
ترافیک ورودی جریانی است که از یک شبکه اعم از دخلی یا خارجی به اینترفیس روتر وارد می شود. از طرف دیگر ترافیک خارجی، جریانی خروجی ترافیک از اینترفیس روتر است.
برای اعمال ACL باید آن را در اینترفیس روتر اعمال کنیم. از آنجایی که کلیه تصمیمات مربوط به مسیریابی و هدایت از سخت افزار روتر گرفته می شود، ACL ها می توانند خیلی سریعتر اجرا شوند.
.




نویسنده مقاله : ساینت منبع مقاله : https://cynetco.com/what-is-access-control-list/

برچسب ها :

  • 16 تیر 1403
  • ادمین سایت
  • 407
طراحی سایت : رسانه گستر © 2002 - 2025