Tweet
Hoạt động của ACL (Access Control List)
Các bạn hãy tưởng tượng: bạn đang quản lý một hệ thống mạng doanh nghiệp. Trên mạng có các server chứa dữ liệu quan trọng (ERP, Database, HRM...), và bạn phải đảm bảo rằng chỉ những người có quyền mới được truy cập vào các dịch vụ đó. Nếu không có công cụ kiểm soát, mọi thiết bị trong LAN đều có thể gửi packet tới server, và như vậy nguy cơ rủi ro là cực lớn.
Đây chính là lúc ACL phát huy sức mạnh. ACL đóng vai trò như người gác cổng (gatekeeper) đứng ở interface router hoặc switch L3. Nó sẽ kiểm tra từng gói tin đi qua, đối chiếu với danh sách quy tắc (ACE – Access Control Entry), và quyết định: cho phép (permit) hay từ chối (deny).
Cơ chế hoạt động của ACL
Ví dụ minh họa
Giả sử bạn có ACL extended sau đây trên router:
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 10.10.10.10 eq 80 access-list 100 deny ip any any
Nếu một PC 192.168.1.20 truy cập web → được phép.
Nếu PC đó thử ping server, hay dùng FTP → bị deny.
Nếu máy từ mạng khác (ví dụ 172.16.0.5) truy cập → cũng bị deny.
Lưu ý thực chiến
Câu hỏi ôn tập
Anh em CCNA/CCNP đọc xong nhớ để ý: ACL không chỉ là kỹ thuật lọc gói, mà còn là nền tảng cho rất nhiều công nghệ bảo mật nâng cao khác như Firewall, IPS/IDS, hay ZTNA. Nếu nắm ACL chắc, bạn sẽ thấy dễ dàng hơn khi học tiếp các kiến thức bảo mật phức tạp.
Các bạn hãy tưởng tượng: bạn đang quản lý một hệ thống mạng doanh nghiệp. Trên mạng có các server chứa dữ liệu quan trọng (ERP, Database, HRM...), và bạn phải đảm bảo rằng chỉ những người có quyền mới được truy cập vào các dịch vụ đó. Nếu không có công cụ kiểm soát, mọi thiết bị trong LAN đều có thể gửi packet tới server, và như vậy nguy cơ rủi ro là cực lớn.
Đây chính là lúc ACL phát huy sức mạnh. ACL đóng vai trò như người gác cổng (gatekeeper) đứng ở interface router hoặc switch L3. Nó sẽ kiểm tra từng gói tin đi qua, đối chiếu với danh sách quy tắc (ACE – Access Control Entry), và quyết định: cho phép (permit) hay từ chối (deny).
Cơ chế hoạt động của ACL
- ACL là danh sách tuần tự gồm nhiều dòng lệnh (ACE). Mỗi dòng là một điều kiện so khớp packet header (ví dụ: địa chỉ IP nguồn, địa chỉ IP đích, giao thức, port).
- Xử lý tuần tự từ trên xuống dưới:
- Thiết bị sẽ so sánh gói tin với từng ACE theo thứ tự từ dòng đầu tiên đến cuối cùng.
- Ngay khi gói tin khớp với một ACE, hành động tương ứng (permit hoặc deny) sẽ được thực thi và ACL dừng xử lý gói tin đó.
- Những dòng sau không còn được xem xét nữa, kể cả nếu gói tin có thể khớp tiếp.
- Implicit Deny (phủ định ngầm):
- Nếu gói tin đi hết ACL mà không khớp bất kỳ dòng nào, thiết bị sẽ tự động áp dụng một luật ẩn (ngầm định) ở cuối: deny all.
- Vì vậy, nếu bạn cấu hình một ACL mà không có ít nhất một permit, thì toàn bộ traffic sẽ bị chặn.
- Lớp thông tin được so sánh:
- ACL standard: chỉ so khớp thông tin ở Layer 3 (IP nguồn).
- ACL extended: có thể so khớp thêm thông tin ở Layer 4 (TCP/UDP, port).
Ví dụ minh họa
Giả sử bạn có ACL extended sau đây trên router:
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 10.10.10.10 eq 80 access-list 100 deny ip any any
- Dòng 1: Cho phép toàn bộ máy trong subnet 192.168.1.0/24 truy cập Web Server 10.10.10.10 bằng giao thức TCP port 80 (HTTP).
- Dòng 2: Chặn tất cả lưu lượng còn lại. (Thực ra bạn không cần dòng này vì implicit deny đã mặc định tồn tại, nhưng thêm vào giúp người đọc ACL dễ hiểu hơn).
Nếu một PC 192.168.1.20 truy cập web → được phép.
Nếu PC đó thử ping server, hay dùng FTP → bị deny.
Nếu máy từ mạng khác (ví dụ 172.16.0.5) truy cập → cũng bị deny.
Lưu ý thực chiến
- Thứ tự các ACE rất quan trọng. Nếu bạn đặt deny ở trên trước khi permit, thì permit bên dưới sẽ không bao giờ có hiệu lực.
- Luôn luôn nhớ implicit deny ở cuối. ACL mà thiếu permit thì coi như bạn tự khóa toàn bộ traffic.
- ACL được áp dụng vào interface với hướng in hoặc out. Chỉ khi gói tin đi qua interface thì ACL mới được thực thi.
Câu hỏi ôn tập
- ACL xử lý gói tin theo cơ chế nào?
a. Xử lý song song tất cả các ACE
b. Xử lý tuần tự từ trên xuống dưới
c. Xử lý từ dưới lên trên
d. Dựa trên nguyên tắc longest prefix match - Nếu một gói tin không khớp bất kỳ ACE nào trong ACL thì điều gì xảy ra?
- Trong ví dụ ACL extended ở trên, nếu PC 192.168.1.50 muốn truy cập FTP server 10.10.10.10, kết quả sẽ như thế nào?
Anh em CCNA/CCNP đọc xong nhớ để ý: ACL không chỉ là kỹ thuật lọc gói, mà còn là nền tảng cho rất nhiều công nghệ bảo mật nâng cao khác như Firewall, IPS/IDS, hay ZTNA. Nếu nắm ACL chắc, bạn sẽ thấy dễ dàng hơn khi học tiếp các kiến thức bảo mật phức tạp.
Attached Files