Tweet
🔐 Access Control Lists (ACL) – Lớp bảo vệ đầu tiên của hệ thống mạng
Trong bảo mật mạng, không phải lúc nào doanh nghiệp cũng cần đến những thiết bị tường lửa đắt tiền để kiểm soát traffic.
Đôi khi, chỉ với Access Control List (ACL) – bạn đã có thể xây dựng một lớp phòng thủ cơ bản nhưng cực kỳ hiệu quả cho hệ thống của mình.
🔹 ACL là gì?
Access Control List (ACL) là tập hợp các quy tắc (rules) giúp router hoặc switch kiểm soát luồng dữ liệu ra/vào mạng dựa trên các tiêu chí như:
Hiểu đơn giản: ACL giống như “bộ lọc giao thông” của hệ thống mạng – quyết định gói tin nào được phép đi qua và gói nào bị chặn lại.
🔸 Phân loại ACL
Cisco chia ACL thành hai loại chính: 1️⃣ Standard ACL
Cú pháp ví dụ:
access-list 10 deny 192.168.10.0 0.0.0.255 access-list 10 permit any interface g0/0 ip access-group 10 out 2️⃣ Extended ACL
Ví dụ cấu hình:
access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 80 access-list 101 permit ip any any interface g0/0 ip access-group 101 in
➡️ Lệnh trên chặn HTTP (port 80) từ mạng 192.168.1.0 nhưng vẫn cho phép tất cả lưu lượng khác.
🔧 Ứng dụng thực tế của ACL
💡 Gợi ý Lab thực hành
Mục tiêu:
Cấu hình Extended ACL để chặn HTTP (port 80) từ mạng 192.168.10.0/24, nhưng vẫn cho phép HTTPS (port 443).
Bước 1:
access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq 80 access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443
Bước 2:
interface g0/1 ip access-group 110 in
Kết quả:
Người dùng từ mạng 192.168.10.0 không thể truy cập web bằng HTTP,
nhưng vẫn có thể truy cập các trang HTTPS – giúp bảo mật dữ liệu tốt hơn.
🧠 Giá trị học được
✅ Hiểu cách hoạt động của kiểm soát truy cập ở lớp 3 & 4.
✅ Tăng cường bảo mật ngay trên router/switch – không cần thiết bị firewall riêng.
✅ Nắm vững nền tảng để học tiếp các công nghệ bảo mật cao hơn như:
🚀 Tổng kết
ACL là “cửa ngõ đầu tiên” để bảo vệ hệ thống mạng.
Nó không chỉ là kiến thức cơ bản của CCNA/CCNP, mà còn là kỹ năng thực tế cần có cho mọi kỹ sư Network hoặc Security.
Hiểu và cấu hình đúng ACL sẽ giúp bạn chủ động kiểm soát luồng dữ liệu, bảo vệ tài nguyên, và xây dựng mạng an toàn, hiệu quả hơn.
Trong bảo mật mạng, không phải lúc nào doanh nghiệp cũng cần đến những thiết bị tường lửa đắt tiền để kiểm soát traffic.
Đôi khi, chỉ với Access Control List (ACL) – bạn đã có thể xây dựng một lớp phòng thủ cơ bản nhưng cực kỳ hiệu quả cho hệ thống của mình.
🔹 ACL là gì?
Access Control List (ACL) là tập hợp các quy tắc (rules) giúp router hoặc switch kiểm soát luồng dữ liệu ra/vào mạng dựa trên các tiêu chí như:
- Địa chỉ IP nguồn hoặc đích (source/destination IP)
- Cổng (port)
- Giao thức (protocol)
Hiểu đơn giản: ACL giống như “bộ lọc giao thông” của hệ thống mạng – quyết định gói tin nào được phép đi qua và gói nào bị chặn lại.
🔸 Phân loại ACL
Cisco chia ACL thành hai loại chính: 1️⃣ Standard ACL
- Chỉ lọc dựa trên IP nguồn.
- Dễ cấu hình, dùng cho các nhu cầu đơn giản (ví dụ: chặn toàn bộ traffic từ một mạng cụ thể).
- Vị trí đặt: Gần đích (destination) để giảm ảnh hưởng đến các mạng khác.
Cú pháp ví dụ:
access-list 10 deny 192.168.10.0 0.0.0.255 access-list 10 permit any interface g0/0 ip access-group 10 out 2️⃣ Extended ACL
- Cho phép lọc theo IP nguồn, IP đích, port, và giao thức (TCP/UDP/ICMP).
- Linh hoạt và mạnh mẽ hơn nhiều.
- Vị trí đặt: Gần nguồn (source) để giảm tải router và tránh lãng phí băng thông.
Ví dụ cấu hình:
access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 80 access-list 101 permit ip any any interface g0/0 ip access-group 101 in
➡️ Lệnh trên chặn HTTP (port 80) từ mạng 192.168.1.0 nhưng vẫn cho phép tất cả lưu lượng khác.
🔧 Ứng dụng thực tế của ACL
- Bảo mật Router:
Chỉ cho phép một nhóm IP nhất định truy cập vào thiết bị quản trị.
→ Ngăn chặn truy cập trái phép. - Quản lý người dùng:
Phân quyền truy cập giữa các phòng ban (VD: HR không thể truy cập server IT). - QoS (Quality of Service):
Ưu tiên hoặc hạn chế băng thông cho một số loại traffic (VD: VoIP, video call). - Kiểm soát truy cập Internet:
Chặn truy cập web không mong muốn từ người dùng nội bộ.
💡 Gợi ý Lab thực hành
Mục tiêu:
Cấu hình Extended ACL để chặn HTTP (port 80) từ mạng 192.168.10.0/24, nhưng vẫn cho phép HTTPS (port 443).
Bước 1:
access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq 80 access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443
Bước 2:
interface g0/1 ip access-group 110 in
Kết quả:
Người dùng từ mạng 192.168.10.0 không thể truy cập web bằng HTTP,
nhưng vẫn có thể truy cập các trang HTTPS – giúp bảo mật dữ liệu tốt hơn.
🧠 Giá trị học được
✅ Hiểu cách hoạt động của kiểm soát truy cập ở lớp 3 & 4.
✅ Tăng cường bảo mật ngay trên router/switch – không cần thiết bị firewall riêng.
✅ Nắm vững nền tảng để học tiếp các công nghệ bảo mật cao hơn như:
- Firewall (ASA, FortiGate)
- Security Policy trên Cloud (Azure NSG, AWS Security Group)
🚀 Tổng kết
ACL là “cửa ngõ đầu tiên” để bảo vệ hệ thống mạng.
Nó không chỉ là kiến thức cơ bản của CCNA/CCNP, mà còn là kỹ năng thực tế cần có cho mọi kỹ sư Network hoặc Security.
Hiểu và cấu hình đúng ACL sẽ giúp bạn chủ động kiểm soát luồng dữ liệu, bảo vệ tài nguyên, và xây dựng mạng an toàn, hiệu quả hơn.