ACL (Access Control List)
※ 엑세스 리스트 (Access List, ACL)
* 엑세스 리스트 제어방법에 따른 분류
Standard Access List
- 출입 통제 시 출발지 주소만을 참고
Extended Access List
- 출발지, 목적지, 프로토콜, 사용 포트 번호를 참고
* 엑세스 리스트 숫자와 이름에 따른 분류
Standard Access List : 1~99, 1300~1999
Extended Access List : 100~199, 2000~2699
Named Access List : 이름 사용
* access-list문의 정의
ㆍaccess~list는 Interface별, Direction(inㆍout)별, Protocol별로 각각
하나씩 적용 가능
ㆍ엑세스 리스트는 명시한 순서대로 윗줄부터 순차적으로 수행
ㆍ엑세스 리스트는 암묵적으로 deny any이 마지막으로 적용됨
ㆍ해당하지 않는 주소를 허용하려면 permit any를 명시해야함
* access~list문의 갱신
ㆍ엑세스 리스트는 추가 될 경우 맨 마지막 라인에 추가됨
ㆍ숫자 형태의 엑세스 리스트는 삭제한 엑세스 리스트 다음
모든 것이 삭제 되나, named 엑세스 리스트는 부분 추가
삭제가 가능함
ㆍ Wildcard Mask는 생략이 가능하지만, 생략이 가능한 경우는
0.0.0.0인 경우임 (host 특정 주소)
ㆍaccess~list문 interface에 적용
ㆍ인터페이스에 대한 엑세스 리스트의 정의가 되어 있지 않는 경우
결과는 permit any가 됨
ㆍ Interface의 기본 값은 out
※ 라우터 IN과 OUT 구분
* Subnet Mask와 Wildcard Mask의 비교
ㆍSubnet Mask
0 : 호스트 자리
1 : 네트워크 자리
ㆍWildcard Mask
0 : 무엇이 오든지 검사
1 : 무엇이 오든지 무시
※ Standard Access-list
◎ 참고!
access-list 1 deny 0.0.0.0 255.255.255.255
access-list 1 deny any
access-list 1 deny 1.1.1.1 0.0.0.0
access-list 1 deny host 1.1.1.1
※ Extended Access-list
ㆍStandard Access-list는 출발지 주소(Source Address)만으로 제어하는 반면,
Extended Access-list는 출발지 주소, 목적지 주소(Destination Address)까지
제어할 수 있음
ㆍStandard Access-list는 전체 TCP/IP에 대한 제어만을 하는 반면,
Extended Access-list는 TCP, IP, UDP, ICMP, FTP등 특정 프로토콜까지
지정하여 제어 가능
ㆍStandard Access-list는 (1~99), (1300~1999)를 사용
Extended Access-list는 (100~199), (2000~2699)를 사용
ㆍ 잘 알려진 포트 (Well Known Port)
ㆍ Extended Access-list 명령 형식
◎ 암묵적으로 존재 :
access-list 100 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
access-list 100 deny ip(tcp|udp|icmp) any any
ㆍ프로토콜 (Protocol)
IP패킷에 실려서 전송될 수 있는 상위 계층 프로토콜을 필터링 및
ICMP, TCP, UDP등을 지정
ㆍ오퍼레이터 (Operator)
gt (greater than) : ~보다 크다.
lt (less than) : ~보다 작다.
eq (equal) : ~와 같다.
neq (not equal) : ~와 같지 않다.
