| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- aws
- Linux
- 클라우드엔지니어
- 컴퓨터
- Microsoft 365
- Exchange Online
- It
- Azure
- Microsoft
- Microsoft Azure
- 네트워크
- Docker
- 리눅스
- 클라우드
- Server
- windows server
- windows
- network
- 시스템 엔지니어
- Entra ID
- 리눅스마스터1급
- cloud
- Azure AD
- 메일보안
- SE
- 그룹정책
- cloud engineer
- 시스템엔지니어
- 가상화
- 시트릭스
- Today
- Total
Cloud System Engineer
ACL(access-control-list) 본문
표준 엑세스 리스트
ACL(access control list) 접근 제어 리스트는 특정한 패킷을 허용 및 차단 할때 사용된다.
패킷을 검사할 때 출발지 ip 주소만 참조하는 것을 표준 acl
출발지/목적지 ip 주소,프로토콜 번호 및 전송 계층의 포트번호까지 참조하는 것을 확장 acl 이라 한다.
acl 를 정의할 때 번호를 사용하거나 이름을 사용 할 수도 있다.
#네트워크 보안장비
방화벽: 사전에 정의된 rule 을 이용하여 트래픽을 제어한다. 시스코의 대표적인 방화벽은 asa와 pix가 있으며 라우터도 방화벽 기능을 제공한다.
vpn 게이트웨이
vpn (가상 사설망) 게이트웨이는 인터넷과 같은 공중망을 사설망 처럼 사용할 수 있도록 하는 장비이다.
패킷의 암호화, 인증 , 패킷의 변조확인 을 제공한다.
침입 방지 시스템(IPS)
가변적인 공격 트래픽을 차단하거나 탐지할 수 있는 장비이다. 공격을 탐지하는 장비는 IDS라고 하여 IPS 와 구분하기도 하지만
대부분 IDS도 공격 차단 기능이 있으므로 무방하다.
#ACL 설정을 위한 네트워크 구축
기본설정
conf t
no ip domain lookup
line c 0
logg sy
exec-timeout 0
line vty 0 4
password cisco
login
exit
R1)
int f0/0
no sh
ip add 1.1.10.1 255.255.255.0
int s1/1
no sh
ip add 1.1.12.1 255.255.255.0
R2)
int s1/1
no sh
ip add 1.1.12.2 255.255.255.0
int s1/2
no sh
ip add 1.1.23.2 255.255.255.0
R3)
int s1/2
no sh
ip add 1.1.23.3 255.255.255.0
int s1/3
no sh
ip add 1.1.34.3 255.255.255.0
R4)
int s1/3
no sh
ip add 1.1.34.4 255.255.255.0
int f0/0
no sh
ip add 1.1.40.1 255.255.255.0
int lo 0
ip add 1.1.4.4 255.255.255.0
ACL 을 하기위한 R5 추가
R5)
int s1/1
no sh
ip add 1.1.45.5 255.255.255.0
int f0/0
no sh
ip add 1.1.50.1 255.255.255.0
int lo 0
ip add 1.1.5.5 255.255.255.0
exit
OSPF 설정
R1)
router ospf 1
router-id 1.1.1.1
network 1.1.10.1 0.0.0.0 area 0
network 1.1.12.1 0.0.0.0 area 0
R2)
router ospf 1
router-id 2.2.2.2
network 1.1.12.2 0.0.0.0 area 0
network 1.1.23.2 0.0.0.0 area 0
R3)
router ospf 1
router-id 3.3.3.3
network 1.1.23.3 0.0.0.0 area 0
network 1.1.34.3 0.0.0.0 area 0
R4)
router ospf 1
router-id 4.4.4.4
network 1.1.34.4 0.0.0.0 area 0
network 1.1.40.1 0.0.0.0 area 0
network 1.1.4.4 0.0.0.0 area 0
network 1.1.45.4 0.0.0.0 area 0
R5)
router ospf 1
rotuer-id 5.5.5.5
network 1.1.45.5 0.0.0.0 area 0
network 1.1.5.5. 0.0.0.0 area 0
network 1.1.50.1 0.0.0.0 area 0
표준 IP ACL
출발지 ip 주소가 1.1.34.3 이나 1.1.40.1 R5의 1.1.5.5 패킷만 R3에서만 허용하려면
r3)
access-list 1 permit 1.1.34.4 0.0.0.0
access-list 1 permit 1.1.45.4 0.0.0.0
access-list 1 permit 1.1.5.5 0.0.0.0
int s1/3
ip access-group 1 in
r3에서 acl이 패킷을 차단하면서 출발지 ip 주소로 acl 에 의해 패킷이 차단되었다
이것이 U로 표시된다.
1.1.34.4 1.1.45.4 패킷만 가능하다.
R4의 lo 0 는 불가능하다.
ip 1.1.5.5 패킷만 허용된다.
경계 라우터인 R3 에서 show ip access-lists 를 통해 acl이 동작한 것을 확인 할 수 있다.
