Tweet
Giới thiệu – ACL và Bài toán Bảo mật Trong Mạng Doanh Nghiệp
Hãy tưởng tượng bạn đang là kỹ sư mạng tại một tập đoàn y tế lớn, nơi mà bảo mật dữ liệu là yếu tố sống còn. Các thông tin nhạy cảm như hồ sơ bệnh án, kết quả xét nghiệm hay dữ liệu bệnh nhân phải được bảo vệ tuyệt đối.
Một ngày đẹp trời, trên bàn IT của bạn xuất hiện hai phiếu yêu cầu:
Bạn nhanh chóng nhận ra:
Vậy làm sao để chặn người không được phép, đồng thời vẫn cho phép người được cấp quyền giao tiếp an toàn?
Câu trả lời: Access Control List (ACL).
ACL là gì và vì sao nó quan trọng?
Access Control List (ACL) là một tập hợp các câu lệnh trên thiết bị mạng (router, switch L3) dùng để:
ACL trên Cisco IOS có thể dùng trong nhiều tình huống:
Nguyên tắc hoạt động:
Ví dụ:
access-list 15 permit 192.168.10.0 0.0.0.255 access-list 15 deny any
Lệnh trên cho phép mạng 192.168.10.0/24 và chặn tất cả các mạng khác.
Ứng dụng của ACL trong môi trường doanh nghiệp
💡 Lưu ý: ACL có nhiều loại khác nhau: Standard, Extended, Dynamic, Reflexive, Time-based, MAC ACL, VLAN ACL, Port ACL… Trong phạm vi bài này, chúng ta sẽ tập trung vào IPv4 basic ACL để nắm vững nền tảng trước.
Hãy tưởng tượng bạn đang là kỹ sư mạng tại một tập đoàn y tế lớn, nơi mà bảo mật dữ liệu là yếu tố sống còn. Các thông tin nhạy cảm như hồ sơ bệnh án, kết quả xét nghiệm hay dữ liệu bệnh nhân phải được bảo vệ tuyệt đối.
Một ngày đẹp trời, trên bàn IT của bạn xuất hiện hai phiếu yêu cầu:
- Alex muốn giới hạn quyền truy cập vào cơ sở dữ liệu bệnh nhân, chỉ cho phép các bác sĩ hoặc nhân viên y tế đã được cấp quyền mới có thể truy xuất thông tin.
- Maria thì yêu cầu đảm bảo việc trao đổi thông tin giữa phòng hành chính và phòng khám được mã hóa và ngăn chặn mọi truy cập trái phép.
Bạn nhanh chóng nhận ra:
- Mạng nội bộ của công ty khá phức tạp, với nhiều hệ thống quan trọng cần bảo vệ.
- Quyền truy cập tài nguyên chưa được kiểm soát chi tiết, dẫn tới nguy cơ rò rỉ dữ liệu.
- Thiết kế mạng hiện tại chưa có cơ chế kiểm soát truy cập cụ thể giữa các bộ phận.
Vậy làm sao để chặn người không được phép, đồng thời vẫn cho phép người được cấp quyền giao tiếp an toàn?
Câu trả lời: Access Control List (ACL).
ACL là gì và vì sao nó quan trọng?
Access Control List (ACL) là một tập hợp các câu lệnh trên thiết bị mạng (router, switch L3) dùng để:
- Lọc lưu lượng (permit hoặc deny) dựa trên thông tin trong header gói tin.
- Kiểm soát ai được phép truy cập tài nguyên nào trong mạng.
- Tối ưu hiệu suất và giảm nguy cơ bảo mật.
ACL trên Cisco IOS có thể dùng trong nhiều tình huống:
- Lọc gói tin vào/ra interface.
- Kiểm soát quảng bá route.
- Xác định traffic “interesting” cho VPN.
- Giới hạn output của debug.
Nguyên tắc hoạt động:
- ACL gồm nhiều dòng lệnh (statements), mỗi dòng có tiêu chí khớp (match rule) và hành động (permit/deny).
- Thứ tự dòng rất quan trọng — thiết bị sẽ so sánh gói tin từ trên xuống, gặp match đầu tiên sẽ thực hiện hành động và dừng kiểm tra.
- Nếu không match dòng nào, gói tin sẽ bị áp dụng implicit deny (tự động chặn).
Ví dụ:
access-list 15 permit 192.168.10.0 0.0.0.255 access-list 15 deny any
Lệnh trên cho phép mạng 192.168.10.0/24 và chặn tất cả các mạng khác.
Ứng dụng của ACL trong môi trường doanh nghiệp
- Tăng hiệu suất mạng
- Chặn lưu lượng không cần thiết, ví dụ: cấm video streaming trong giờ làm việc để giảm tải băng thông.
- Kiểm soát luồng dữ liệu
- Cho phép một số loại traffic được ưu tiên hoặc giới hạn tốc độ với traffic không quan trọng.
- Bảo mật cơ bản
- Chỉ cho phép nhóm HR truy cập server HR, chặn các nhóm khác.
- Lọc theo loại traffic
- Cho phép email (SMTP/IMAP/POP3) nhưng chặn Telnet.
- Giới hạn dịch vụ mạng
- Chặn hoặc cho phép truy cập FTP, HTTP, SSH tới một server nhất định.
- Phân loại traffic để xử lý đặc biệt
- Ví dụ: chỉ định loại traffic được ưu tiên trong QoS giống như “vé VIP” vào khu vực ưu tiên.
💡 Lưu ý: ACL có nhiều loại khác nhau: Standard, Extended, Dynamic, Reflexive, Time-based, MAC ACL, VLAN ACL, Port ACL… Trong phạm vi bài này, chúng ta sẽ tập trung vào IPv4 basic ACL để nắm vững nền tảng trước.
Attached Files