[시스코 보안 아카데미 1기] 교육 29일차 정리 (Access-List, Standard ACL, Extended ACL)

네트워크/시스코 보안 아카데미 1기 2024. 12. 17. 15:29

1. 표준 액세스 리스트 (Standard ACL)

표준 액세스 리스트는 소스 IP 주소만을 기반으로 트래픽을 필터링합니다.

표준 액세스 리스트 설정

  1. 표준 ACL 생성 및 규칙 추가 
    • Router(config)# access-list <ACL_NUMBER> <PERMIT|DENY> <SOURCE_IP> [WILDCARD_MASK]
​
       
      • <ACL_NUMBER>: 1부터 99까지의 번호 (표준 ACL).
      • <PERMIT|DENY>: 허용(permiss) 또는 차단(deny) 설정.
      • <SOURCE_IP>: 소스 IP 주소.
      • [WILDCARD_MASK]: 서브넷 마스크의 반대값 (옵션).
      예제:
    • 소스 IP가 192.168.1.0의 서브넷을 허용하는 ACL 10을 생성하고 적용하는 예제:
    • Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
  2. 인터페이스에 ACL 적용 
    • Router(config)# interface <INTERFACE_TYPE> <INTERFACE_NUMBER>
Router(config-if)# ip access-group <ACL_NUMBER> {in | out}
​
       
      • <INTERFACE_TYPE>: 인터페이스 타입 (예: GigabitEthernet, FastEthernet).
      • <INTERFACE_NUMBER>: 인터페이스 번호 (예: 0/1, 1/0).
      • <ACL_NUMBER>: 설정한 ACL 번호.
      • {in | out}: 들어오는 트래픽 또는 나가는 트래픽.
      예제:
    • 인터페이스 GigabitEthernet 0/1에 ACL 10을 적용하여 들어오는 트래픽을 필터링: 
      • Router(config)# interface GigabitEthernet 0/1
Router(config-if)# ip access-group 10 in

 

2. 확장 액세스 리스트 (Extended ACL)

확장 액세스 리스트는 소스 및 목적지 IP 주소, 프로토콜, 포트 번호 등 다양한 기준으로 트래픽을 필터링할 수 있습니다.

확장 ACL 설정

  1. 확장 ACL 생성 및 규칙 추가 
    • Router(config)# access-list <ACL_NUMBER> <PERMIT|DENY> <PROTOCOL> <SOURCE_IP> [WILDCARD_MASK] <DESTINATION_IP> [WILDCARD_MASK] [eq <PORT>]
​
       
      • <ACL_NUMBER>: 100부터 199까지의 번호 (확장 ACL).
      • <PROTOCOL>: 필터링할 프로토콜 (예: ip, tcp, udp).
      • <SOURCE_IP>: 소스 IP 주소.
      • [WILDCARD_MASK]: 소스 IP의 서브넷 마스크의 반대값.
      • <DESTINATION_IP>: 목적지 IP 주소.
      • [WILDCARD_MASK]: 목적지 IP의 서브넷 마스크의 반대값.
      • [eq <PORT>]: 포트 번호 (옵션, 특정 포트를 필터링할 때 사용).
      예제:
    • 소스 IP가 192.168.1.0에서 목적지 IP가 10.0.0.0으로 오는 TCP 트래픽을 허용하는 ACL 100을 생성하는 예제: 
      • Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255
    • 특정 포트(예: 80)를 필터링하는 ACL 예제: 
      • Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
  2. 인터페이스에 ACL 적용예제:
    • 인터페이스 GigabitEthernet 0/1에 ACL 100을 적용하여 나가는 트래픽을 필터링: 
      • Router(config)# interface GigabitEthernet 0/1
Router(config-if)# ip access-group 100 out

ACL 관련 명령어

  • ACL 목록 확인: 
    • Router# show access-lists
  • 인터페이스에 적용된 ACL 확인: 
    • Router# show ip interface <INTERFACE_TYPE> <INTERFACE_NUMBER>
  • ACL 삭제:
    • 표준 ACL 삭제: 
      • Router(config)# no access-list <ACL_NUMBER>
    • 확장 ACL 삭제: 
      • Router(config)# no access-list <ACL_NUMBER>

참고 사항

  • ACL 번호: 표준 ACL은 1-99, 확장 ACL은 100-199 범위를 사용합니다.
  • 서브넷 마스크와 와일드카드 마스크: 와일드카드 마스크는 서브넷 마스크의 반대값으로, 특정 IP 범위를 지정할 때 사용됩니다.
  • 순서: ACL 규칙은 설정된 순서대로 평가되며, 첫 번째로 일치하는 규칙이 적용됩니다.

이러한 명령어들을 사용하여 Cisco 장비에서 액세스 리스트를 구성하고 트래픽을 효과적으로 필터

 

 

'네트워크 > 시스코 보안 아카데미 1기' 카테고리의 다른 글

[시스코 보안 아카데미 1기] 교육 31일차 정리 (NAT, Static NAT, Dynamic NAT, PAT)  (0) 2024.12.17
[시스코 보안 아카데미 1기] 교육 30일차 정리 (모니터링, SNMP, PRTG, Zabbix, Cacti, 3CDaemon, MRTG)  (0) 2024.12.17
[시스코 보안 아카데미 1기] 교육 27일차 정리 (Spanning Tree Protocol, STP)  (0) 2024.12.17
[시스코 보안 아카데미 1기] 교육 26일차 정리 (GLBP, 로드 밸런싱, VTP)  (0) 2024.12.17
[시스코 보안 아카데미 1기] 교육 23일차 정리 (제1 차 팀 프로젝트 중간발표, 인프라 설계 계획서)  (0) 2024.12.17

꼬리표

'네트워크/시스코 보안 아카데미 1기' 더보기

티스토리툴바