Bạn đang xem: Access Control List là gì? Tại sao ACL có vai trò quan trọng trong bảo mật? Tại DongnaiArt

Trong thế giới mạng máy tính, danh sách kiểm soát truy cập (acl) là một trong những thành phần cơ bản nhất của bảo mật, nhưng không phải ai cũng biết danh sách kiểm soát truy cập là gì. Dịch sang tiếng Việt, acl là danh sách kiểm soát truy cập, là chức năng theo dõi lưu lượng vào ra và so sánh nó với một tập hợp các câu lệnh xác định. acl chỉ định người dùng hoặc quy trình hệ thống nào được cấp quyền truy cập vào các đối tượng, cũng như các hoạt động nào được phép trên các đối tượng nhất định. Để hiểu rõ hơn danh sách kiểm soát truy cập là gì và trả lời những câu hỏi thường gặp về khái niệm này, chúng ta hãy cùng tìm hiểu sâu hơn về chức năng của nó trong bài viết sau.

danh sách kiểm soát truy cập

là gì?

danh sách kiểm soát truy cập (acl) là danh sách tuần tự các lệnh được sử dụng để quản lý lưu lượng đến hoặc đi, chỉ định cách chuyển tiếp hoặc ngăn một gói trên thiết bị, được áp dụng trên giao diện và trên đầu vào hoặc đầu ra bộ đệm, điều khiển bộ định tuyến để thực hiện các hành động allow (cho phép) hoặc từ chối (từ chối) tương ứng.

acl giống như một bức tường lửa không trạng thái, nó chỉ hạn chế, chặn hoặc cho phép các gói chuyển tiếp từ nguồn đến đích.

Khi bạn chỉ định acl trên bộ định tuyến cho một giao diện cụ thể, tất cả lưu lượng đi qua sẽ được lệnh acl kiểm tra và quyết định chặn hoặc cho phép nó đi qua.

tiêu chí để xác định quy tắc kiểm tra acl có thể là địa chỉ nguồn, địa chỉ đích, số cổng cụ thể hoặc nhiều hơn thế.

acl phổ biến trên bộ định tuyến hoặc tường lửa, nhưng cũng có thể được định cấu hình trên bất kỳ thiết bị nào chạy trên mạng, từ máy chủ, thiết bị mạng, …

phân loại hệ thống acl

Có hai loại hệ thống triển khai acl:

• acl hệ thống tệp là một cấu trúc dữ liệu (thường là một bảng) chứa các mục kiểm soát truy cập (át) chỉ định quyền của từng người dùng hoặc nhóm đối với các đối tượng cụ thể trong hệ thống tệp. hệ thống, chẳng hạn như các ứng dụng, quy trình hoặc tệp. nói chung, hệ thống tệp acl cho hệ điều hành biết người dùng nào có thể truy cập vào hệ thống và những đặc quyền nào người dùng được phép.
• mạng acls cho thiết bị mạng ━ lọc quyền truy cập mạng. mạng lưới thông báo cho bộ định tuyến và chuyển mạch loại lưu lượng nào có thể truy cập vào mạng và hoạt động nào được phép.

Ban đầu, acl là cách duy nhất để đạt được sự bảo vệ của tường lửa. tuy nhiên, ngày nay có rất nhiều loại tường lửa và các lựa chọn thay thế cho acls. Mặc dù vậy, các tổ chức vẫn tiếp tục sử dụng acls kết hợp với các công nghệ như mạng riêng ảo (vpns) để chỉ định lưu lượng nào nên được mã hóa và định tuyến qua đường dẫn vpn.

lý do và mục đích sử dụng acl?

các doanh nghiệp và tổ chức tin tưởng acl vì acl giúp:

• kiểm soát lưu lượng đến và đi
• lưu lượng mạng bị hạn chế để đảm bảo hiệu suất mạng tốt hơn
• mức độ bảo mật truy cập mạng cao. giúp chỉ định khu vực nào của máy chủ / mạng / người dùng dịch vụ có thể và không thể truy cập
• Giám sát chi tiết lưu lượng truy cập đến và đi

mục đích chính của việc sử dụng acl là cung cấp bảo mật cho mạng của bạn. nếu không có nó, bất kỳ lưu lượng truy cập nào cũng có thể ra vào, khiến mạng của tổ chức trở nên dễ bị tổn thương hơn bao giờ hết trước lưu lượng truy cập không mong muốn và tiềm ẩn nguy hiểm.

ví dụ: để cải thiện bảo mật với acl, bạn có thể chặn các cập nhật định tuyến cụ thể hoặc cung cấp kiểm soát luồng lưu lượng.

Như hình dưới đây, acl đã kiểm soát các bộ định tuyến để từ chối truy cập đến từ máy chủ c để vào mạng tài chính trong khi vẫn cho phép truy cập từ máy chủ d.

với acl, bạn có thể lọc các gói cho một hoặc một nhóm địa chỉ ip hoặc các giao thức khác, chẳng hạn như tcp hoặc udp, dựa trên thông tin trong tiêu đề ip hoặc tiêu đề tcp / udp.

sau đó, ví dụ: thay vì chỉ chặn một máy chủ trong nhóm kỹ thuật, bạn có thể từ chối nhiều máy chủ truy cập vào toàn bộ mạng cùng một lúc và chỉ cho phép một máy chủ chẳng hạn. hoặc bạn cũng có thể hạn chế quyền truy cập của máy chủ c và cho phép mọi thứ khác.

acl hoạt động như thế nào

hệ thống tệp acl là một bảng thông báo cho hệ điều hành của máy tính chứa các mục nhập chỉ định quyền của một cá nhân hoặc một nhóm đối với các đối tượng hệ thống cụ thể, chẳng hạn như ứng dụng, menu tệp hoặc thư mục. Các phần tử này được gọi là các mục nhập kiểm soát truy cập (ACE) trong hệ điều hành Microsoft Windows NT. mỗi đối tượng có một thuộc tính bảo mật kết nối nó với danh sách kiểm soát truy cập, còn được gọi là số nhận dạng acl.

thông qua acl, các đặc quyền điển hình có thể được thực hiện bao gồm quyền đọc tệp (hoặc tất cả các tệp) trong thư mục, thực thi một đối tượng hoặc ghi vào tệp hoặc lưu trữ. hệ điều hành sử dụng acl bao gồm, ví dụ: microsoft windows nt / 2000, netware từ novell, openvms từ kỹ thuật số và hệ thống dựa trên unix.

Xem Thêm : &quotLiệt Kê&quot trong Tiếng Anh là gì: Định Nghĩa, Ví Dụ Anh Việt

khi người dùng yêu cầu một hành động với một đối tượng trong mô hình bảo mật dựa trên acl, hệ điều hành sẽ nghiên cứu acl cho hành động đó và xem liệu hoạt động được yêu cầu có được phép hay không.

trong khi acls mạng được cài đặt trên bộ định tuyến hoặc thiết bị chuyển mạch, nơi chúng hoạt động như bộ lọc lưu lượng. mỗi mạng acl chứa các quy tắc được xác định trước để kiểm soát các gói đến (gói tin) hoặc cập nhật định tuyến khi chúng truy cập vào mạng.

acls sử dụng bộ định tuyến và bộ chuyển mạch làm bộ lọc để chuyển tiếp hoặc từ chối gói dựa trên tiêu chí bộ lọc và thông tin trong tiêu đề ip hoặc tiêu đề tcp / udp. Là một thiết bị Lớp 3, bộ định tuyến được sử dụng để lọc các gói có một bộ quy tắc toàn diện để dựa vào khi xem xét từ chối hoặc chuyển tiếp lưu lượng truy cập. Quyết định này được đưa ra dựa trên thông tin về địa chỉ IP nguồn và đích, cổng đích và nguồn cũng như quy trình chính thức của gói tin.

phần tử acl?

triển khai acl khá giống nhau trên hầu hết các nền tảng định tuyến, tất cả đều có hướng dẫn chung để định cấu hình chúng.

hãy nhớ rằng acl là một tập hợp các quy tắc hoặc một danh sách các khai báo ace. bạn có thể có một át chủ bài với một hoặc nhiều quân Át, trong đó mỗi quân Át phải làm điều gì đó, bạn có thể cho phép mọi thứ hoặc không chặn gì cả.

Khi xác định một khai báo acl, bạn sẽ cần những thông tin sau:

1. số thứ tự:

1 từ định danh số acl, sử dụng số thập phân từ 1-99 đến 1300-1999.

2. tên của ac:

xác định acl bằng cách sử dụng tên. Thay vì sử dụng một dãy số, một số bộ định tuyến cho phép kết hợp cả chữ cái và số.

3. nhận xét:

một số bộ định tuyến cho phép bạn thêm mô tả chức năng vào acl, điều này giúp acl dễ hiểu hơn. mỗi nhận xét được giới hạn trong 100 ký tự.

4. tuyên bố:

từ chối hoặc cho phép một nguồn cụ thể dựa trên địa chỉ và mặt nạ ký tự đại diện. một số bộ định tuyến, như cisco, định cấu hình một câu lệnh từ chối ngầm ở cuối mỗi acl theo mặc định.

5. giao thức mạng:

chỉ định có từ chối / cho phép ip, ipx, icmp, tcp, udp, netbios, … hay không.

6. xuất xứ hoặc điểm đến:

là mạng, máy chủ lưu trữ nguồn / đích của gói tin. nó có thể là một ip duy nhất, một dải địa chỉ (cidr) hoặc tất cả các địa chỉ khác.

7. nhật ký:

Xem Thêm : &quotĐậu Bắp&quot trong Tiếng Anh là gì: Định Nghĩa, Ví Dụ Anh Việt

một số thiết bị có khả năng lưu tin nhắn khi tìm thấy kết quả phù hợp. thông báo này ghi lại thông tin về các gói đáp ứng át chủ bài. bao gồm thông tin về chỉ mục acl mà gói có thể chuyển hoặc từ chối, địa chỉ nguồn và số gói.

8. các tiêu chí khác:

acl nâng cao cho phép bạn kiểm soát lưu lượng theo loại dịch vụ (tos), ip và mức độ ưu tiên của các dịch vụ khác nhau (dscp).

các loại lca

Có bốn loại acls bạn có thể sử dụng cho các mục đích khác nhau: acls tiêu chuẩn, mở rộng, động, phản xạ và dựa trên thời gian.

1. acl tiêu chuẩn (acl tiêu chuẩn)

acl tiêu chuẩn nhằm bảo vệ mạng chỉ sử dụng các địa chỉ nguồn.

Đây là loại cơ bản nhất và có thể được sử dụng cho các triển khai đơn giản, nhưng tiếc là nó không cung cấp bảo mật mạnh mẽ. Cấu hình cho acl tiêu chuẩn trên bộ định tuyến cisco như sau:

2. acl mở rộng (acl mở rộng)

với acl mở rộng, bạn cũng có thể chặn nguồn và đích cho các máy chủ riêng lẻ hoặc cho toàn bộ mạng.

Bạn cũng có thể sử dụng tiện ích mở rộng acl để lọc lưu lượng truy cập dựa trên thông tin giao thức (ip, icmp, tcp, udp).

cấu hình acl mở rộng trên bộ định tuyến cisco cho tcp như sau:

3. acl động

acl

động, dựa trên acl, telnet và xác thực mở rộng. loại acl này thường được gọi là “khóa và chìa khóa” và có thể được sử dụng trong những khoảng thời gian cụ thể.

Những danh sách này chỉ cho phép người dùng truy cập nguồn hoặc đích khi người dùng xác thực thiết bị qua telnet.

Sau đây là cấu hình acl động trên bộ định tuyến cisco:

4. lca phản chiếu

phản xạ acl còn được gọi là ip phiên acl. các loại acls này lọc lưu lượng truy cập dựa trên thông tin từ lớp trên của phiên.

phản ứng với các phiên bắt nguồn từ bên trong bộ định tuyến để cho phép hoặc hạn chế lưu lượng đến. khi bộ định tuyến nhận ra một acl gửi đi, nó sẽ tạo ra một acl mới. khi phiên kết thúc, con át chủ bài đó sẽ bị loại bỏ.

cấu hình bộ phản xạ acl trên bộ định tuyến cisco như sau:

kết thúc

vì vậy, chúng ta đã cùng nhau xem xét khái niệm danh sách kiểm soát truy cập là gì và biết rằng đây là một giải pháp tối ưu cho ngành bảo mật ngày nay. Nói chung, ACL là bộ lọc gói của một mạng, chúng có thể hạn chế, cho phép hoặc từ chối lưu lượng khi cần thiết để đảm bảo an ninh. acl cho phép bạn kiểm soát luồng gói tin cho một hoặc một nhóm địa chỉ ip hoặc các giao thức khác nhau, chẳng hạn như tcp, udp, icmp, … cấu hình acl trên giao diện sai hoặc thay đổi nguồn / đích sai có thể có tác động tiêu cực trên Để tránh hiệu suất mạng kém, điều quan trọng là phải hiểu các luồng lưu lượng đến và đi, cách hoạt động của ACL và vị trí đặt chúng. Hy vọng qua bài viết này, bạn đã hiểu danh sách kiểm soát truy cập là gì và cách triển khai danh sách này cho phù hợp.

nguồn: https://www.ittsystems.com/access-control-list-acl/