لیست کنترل دسترسی “ACL” تابعی است که ترافیک ورودی و خروجی را نظارت می کند و آن را با مجموعه ای از عبارات تعریف شده مقایسه می کند تا در نهایت امکان Permit و یا Deny را مشخص کند.
در این مقاله ، ما به عملکرد ACL ها می پردازیم و به سؤالات متداول زیر درباره ACL پاسخ خواهیم داد.
ACL چیست؟
چرا از ACL استفاده می کنیم؟
ACL را کجا قرار دهیم؟ مؤلفه های ACL چیست؟
انواع ACL چیست؟ چگونه ACL را روی روتر یا سوئیچ پیادهسازی کنیم؟
لیست کنترل دسترسی Access Control List چیست؟
لیست های کنترل دسترسی “ACL” فیلترهای ترافیک شبکه هستند که می توانند ترافیک ورودی یا خروجی را کنترل کنند.
ACL ها روی مجموعه ای از قوانین کار می کنند که نحوه ادامه حرکت یا مسدود کردن یک پکت فایروال و یا روتر را تعریف می کند.
ACL ماهیت Stateless بودن را دارد به این معنی که که فقط بستههایی را که از مبدا به مقصد در جریان است را محدود کرده، مسدود می کند یا اجازه عبور می دهد.
هنگامی که ACL را در یک دستگاه مسیریابی برای یک interface خاص تعریف می کنید، تمام ترافیک موجود در آن با عبارت ACL که یا آن را مسدود می کند یا به شما اجازه می دهد مقایسه می شود.
معیارهای تعیین قوانین ACL می تواند منبع، مقصد، یک پروتکل خاص یا اطلاعات بیشتر باشد.
ACL ها بیشتر در روترها یا فایروالها استفاده می شوند، اما می توان آنها را در هر دستگاهی که در شبکه کار می کند، از جمله هاستها، دستگاههای شبکه، سرورها و غیره پیکربندی کرد.
.
چرا از Access Control List استفاده می کنیم؟
ایده اصلی استفاده از ACL تأمین امنیت شبکه شما است. بدون آن، هرگونه ترافیکی اجازه ورود یا خروج دارد، و این امر باعث دریافت ترافیک ناخواسته شده و امنیت سیستمها را کاهش می دهد.
به عنوان مثال برای بهبود امنیت با ACL، می توانید بهروزرسانیهای routing خاصی را دریافت نکنید یا کنترل جریان ترافیک را به نحوی که دوست دارید انجام دهید.
با استفاده از ACL می توانید پکتهای مربوط به یک یا تعدادی آدرس IP یا پروتکل های مختلف مانند TCP یا UDP را فیلتر کنید.
Access Control List را کجا می توانید قرار دهید؟
دستگاههایی که با شبکههای خارجی ناشناخته مانند اینترنت روبرو هستند، باید راهی برای فیلتر کردن ترافیک داشته باشند. بنابراین، یکی از بهترین مکانها برای پیکربندی ACL در روترهای لبه edge routers است.
روتر و یا فایروال لبه اینترنت به عنوان دروازهای برای اتصال شبکههای خارجی عمل می کند. این امر امنیت شبکه را با مسدود کردن IPها به هنگام خروج پکتها یا دریافت پکت ها، فراهم می کند.
همچنین می توانید ACL را در این تجهیزات به نحوی تنظیم کنید تا در برابر پورت های شناخته شده خاص (TCP یا UDP) سیستمها را محافظت کنید.
اجزاء تشکیل دهنده Access Control List
اجرای ACL در اکثر سیستمهای مسیریابی کاملاً مشابه است، و دستورالعمل کلی برای پیکربندی آنها وجود دارد.
به یاد داشته باشید که ACL مجموعه ای از قوانین یا نوشته ها است. شما می توانید یک ACL با ورودیهای یک یا چندتایی داشته باشید، جایی که قرار است هرکدام کاری انجام دهد، این امکان وجود دارد که اجازه همه چیز را بدهید یا هیچ موردی را مسدود نکنید.
وقتی ورودی ACL را تعریف می کنید، به اطلاعات لازم نیاز خواهید داشت:
Sequence Number:
مشخص سازی ترتیب با استفاده از شماره
ACL Name: ACL
را با استفاده از یک نام تعریف کنید. به جای استفاده از توالی اعداد، برخی از روترها ترکیبی از حروف و اعداد را امکان پذیر می کنند.
Remark:
برخی از روترها (مانند میکروتیک) به شما امکان می دهند تا توضیحات را در ACL اضافه کنید، که میتواند به شما در شناسایی و نحوه کارکرد دقیق کمک کند.
Statement:
مشخص سازی Deny و یا Permit بودن.
Network Protocol:
مشخص سازی نحوه اقدام بر اساس پروتکل.
Source or Destination:
مشخص سازی مبدا و مقصد.
Log:
برخی از تجهیزات میتوانند لاگ نیز تولید کنند.
سایر مولفههای ACL:
ACL های پیشرفته به شما امکان می دهند تا از اولویت نوع خدمات (ToS)، اولویت IP، و (DSCP) استفاده کنید.
انواع ACL
.
چهار نوع ACL وجود دارد که می توانید برای مقاصد مختلف از آنها استفاده کنید:
Standard
Extended
Dynamic
Reflexive
۱. ACL
استاندارد هدف ACL استاندارد محافظت از یک شبکه با استفاده از تنها آدرس منبع است.
ابتدایی ترین نوع است و می تواند برای موارد ساده مورد استفاده قرار گیرد، اما متأسفانه امنیت بسیار خوبی را ارائه نمی دهد. پیکربندی یک ACL استاندارد در روتر سیسکو به شرح زیر است:
.
۲.Extended ACL با استفاده از Extended ACL، می توانید منبع و مقصد را برای هر هاست یا شبکه نیز مشخص کنید. همچنین می توانید بر اساس اطلاعات پروتکل (IP ، ICMP ، TCP ، UDP) از فیلتر Extended ACL برای فیلتر کردن ترافیک استفاده کنید.
.
۳.Dynamic ACL ACLهای پویا، به Extended ACL ها، اعتبار سنجی را اضافه می کنند. این نوع ACL ها اغلب به عنوان “قفل و کلید” شناخته می شوند و می توانند برای بازه های زمانی خاص استفاده شوند.
این لیست ها فقط در صورت احراز هویت کاربر از طریق Telnet به کاربر به یک منبع یا مقصد اجازه دسترسی می دهد.
.
۴.Reflexive ACLACL های Reflexive همچنین به نام ACL های جلسه IP نیز شناخته میشوند. این نوع ACLها، ترافیک را بر اساس اطلاعات جلسه (Session) در لایه بالاتر فیلتر می کنند.
آنها نسبت به جلساتی که در داخل روتر ایجاد شده است، میتوانند اقدا با استفاده از تنها آدرس منبع است.م انجام دهند.همچنین امکان ارسال ترافیک و یا محدود کردن ترافیک ورودی را دارند. روتر ترافیک ACL به مقصد بیرون را تشخیص می دهد و ورودی جدید ACL را ایجاد می کند. پس از پایان جلسه نیز ورودی حذف می شود. چگونه ACL را در روتر خود پیاده سازی کنیم؟
درک ترافیک ورودی و خروجی در روتر یا سویچ لایه ۳، برای اجرای صحیح ACL بسیار مهم است.
هنگام تنظیم قوانین برای ACL، تمام جریانهای ترافیک را بر مبنای نگاه دستگاه روتر (نه شبکه های دیگر) باید انجام شود.
ترافیک ورودی جریانی است که از یک شبکه اعم از دخلی یا خارجی به اینترفیس روتر وارد می شود. از طرف دیگر ترافیک خارجی، جریانی خروجی ترافیک از اینترفیس روتر است.
برای اعمال ACL باید آن را در اینترفیس روتر اعمال کنیم. از آنجایی که کلیه تصمیمات مربوط به مسیریابی و هدایت از سخت افزار روتر گرفته می شود، ACL ها می توانند خیلی سریعتر اجرا شوند.