ACL (standard, extended) 실습

 

학습목표 

• ACL에 대한 기본 이해
• ACL Standard와 extended의 차이 
• subnetmask와 wildmask의 차이
• 실습을 통한 적용

 

 

 

ACL이란?

1. 정책분류 (엔지니어들이 어떤걸 막을지 열지 의논)
2. 정책설정
3. 정책적용 (특정위치 라우터나 스위치에 적용하는 단계)

• Router에서의 보안
• 즉, 트래픽 필터링과 방화벽을 구축하는데 중요한 요소로 허가되지 않은 이용자가 접근하는 것을 차단.
• Access Control List를 사용하여 트래픽 식별, 필터링, 암호화, 분류, 변환 작업을 수행할 수 있다.
• Router를 경유하는 Packet을 Filtering이라고 부른다.
• 장비를 기준으로 들어오는쪽은 무조건 IN
• 장비를 기준으로 나가는쪽은 무조건 OUT

 

 

ACL 적용 방식

1. white list 
   기본적으로 모든주소를 거부하고 허용할것들을 지정하여 적용하는 방법
2. black list
   기본적으로 모든주소를 허용하고 거부할것들을 지정하여 적용하는 방법

 

 

 

Standard ACL

• 기본 액세스 제어
• 1~99번 
• Source Address를 검사하며, L3 장비에서 적용됨.
• 전체 프로토콜에 대한 Packet 출력을 허용하거나 거부!

 

 

Extended ACL

• 특정 프로토콜, 포트번호, 매개변수를 검사
• 100 ~199번
• Source Address와 Destination Address 모두를 검사하며 L3 장비에서 적용됨

 

 

 

Wildcard mask

• 특정 bit 검사 유무를 나타내는 값
• 검사를 하라고 하는 값은 0 
• 검사하지말고 무시하라는 값은 1
• *** subnetmask = 네트워크 식별자
• *** wildcardmask = 네트워크 검사유무 식별자 
• ---->> 두가지는 엄연히 다름 ★

 

※ 방화벽이 100% 어딘가에 적용해야한다라는것은 없음.

-> 방화벽은 전체 인프라의 최소 영향을 미치는 곳에 위치시켜 적용해야함!

 

 

 

 

 

 

 

실습 시나리오

• 토폴로지에 나와있는데로 IP 할당 및 라우팅까지 설정 완료한 뒤

1번 문제를 풀기 위해

정책 설정을 해줌

서버로의 핑통신은 되고 

웹접속은 막는데 성공함.

 

 

 

 

 

1번 문제를 풀고 2번 문제를 푸는데

acl은 동일한 방향으로 하나의 정책만이 정해진다는걸 깜빡하고 있었다...

그래서 처음에 정책 설정할때 2번문제까지 고려해 한꺼번에 다 해줘야함!

tcp, icmp 둘 다 한 그룹안에 정책설정이 같이 해야해서

다시 셋팅 시작

 

※ 유의사항

굳이 내부에 불필요한 속도저하를 가져갈 필요가 없기에

백본에서 아웃바운드로 정책 설정 완료!

ISP는 외부 업체이기 때문에 내부 규정에 따라서 설정하는것이 좋음.

 

 

1, 2번문제까지 풀이 완료.

 

 

 

 

 

 

 

 

네이버웹서버로는 전송불가!

백업설정을 위해 Extened ACL을 적용

tftp는 udp 프로토콜 적용.

정책 구분을 위해 102번으로 추가로 만듬.

 

ISP 입장에서는 굳이 라우팅까지 볼 필요가 없으니

인바운드를 아예 막아버리기로 설정.

업무서버로 백업 완료되었고

네이버웹서버로는 정책 설정에 따라 전송 X