Bảo mật dựa trên luật: Access Control Lists (ACL)


Một trong những phương pháp phổ biến để triển khai bảo mật dựa trên luật (rule-based security) là cấu hình Access Control Lists (ACLs). ACL có thể được cấu hình trên nhiều thiết bị mạng như:

• Router
• Switch
• Firewall
• Wireless Access Point

ACL giúp tăng cường bảo mật bằng cách kiểm soát luồng lưu lượng mạng.

---

Access Control Lists (ACL)


ACL là tập hợp các quy tắc dùng để:

• Permit (cho phép)
• Deny (từ chối)

đối với lưu lượng mạng.

ACL kiểm soát và lọc các gói tin dựa trên:

• Địa chỉ IP nguồn (Source IP)
• Địa chỉ IP đích (Destination IP)
• Giao thức (TCP, UDP, ICMP…)
• Số cổng (Port number)

---

Các loại ACL

1️⃣ Standard ACL

• Lọc chỉ dựa trên Source IP address
• Thường được đặt gần destination
• Phạm vi kiểm soát hạn chế
• Cấu hình đơn giản

Dải số trên Cisco IOS:

• 1 – 99
• 1300 – 1999

Ví dụ:

access-list 10 permit 192.168.1.10
access-list 10 deny any

Ý nghĩa:

• Cho phép traffic từ 192.168.1.10
• Từ chối tất cả các traffic khác

👉 Standard ACL phù hợp với yêu cầu bảo mật đơn giản.

---

2️⃣ Extended ACL

• Lọc dựa trên:
  • Source IP
  • Destination IP
  • Protocol
  • Port number
• Cho phép chính sách bảo mật chi tiết hơn
• Thường đặt gần source

Dải số trên Cisco IOS:

• 100 – 199
• 2000 – 2699

Ví dụ:

access-list 101 permit tcp 192.168.1.10 host 203.0.113.50 eq 80

Ý nghĩa:

• Cho phép TCP
• Từ 192.168.1.10
• Đến 203.0.113.50
• Port 80 (HTTP)
• Các lưu lượng khác bị deny ngầm (implicit deny)

👉 Extended ACL mạnh hơn và được sử dụng phổ biến trong môi trường doanh nghiệp.

---

❓ Câu hỏi ôn tập


Câu lệnh:
access-list 101 permit tcp any host 203.0.113.10 eq 80

Phân tích:

• ACL số 101 → Extended ACL
• permit → cho phép
• tcp → giao thức TCP
• any → từ bất kỳ source IP nào
• host 203.0.113.10 → đến IP đích cụ thể
• eq 80 → port 80 (HTTP)

---

✅ Đáp án đúng:

ACL with the number 101 permits TCP traffic from any source IP address to the destination IP address 203.0.113.10 on port 80 (HTTP).
​