네트워크 액세스 제어 목록이란 무엇입니까?
네트워크 ACL(액세스 제어 목록)은 컴퓨터 환경에 대한 액세스를 허용하거나 거부하는 규칙으로 구성됩니다. 어떤 면에서 ACL은 독점 클럽의 게스트 목록과 같습니다. 목록에 있는 사람만 문에 들어갈 수 있습니다. 이를 통해 관리자는 장치에서 적절한 자격 증명을 제공하지 않는 한 장치에 액세스할 수 없도록 할 수 있습니다.
ACL에는 두 가지 기본 종류가 있습니다.
- 파일 시스템 ACL : 필터로 작동하여 디렉토리 또는 파일에 대한 액세스를 관리합니다. 파일 시스템 ACL은 시스템에 액세스할 수 있는 사용자에 대한 운영 체제 지침과 해당 사용자가 내부에 있을 때 부여되는 권한을 제공합니다.
- 네트워킹 ACL : 네트워킹 ACL은 네트워크에 대한 액세스를 관리합니다. 이를 위해 네트워크와 인터페이스할 수 있는 트래픽 종류에 대한 지침을 스위치와 라우터에 제공합니다. 또한 각 사용자 또는 장치가 내부에 있을 때 수행할 수 있는 작업을 지시합니다.
ACL은 어떻게 작동합니까?
파일 시스템 ACL을 사용하면 컴퓨터의 운영 체제에 어떤 사용자가 어떤 액세스 권한을 가지고 있는지 알려주는 테이블이 있습니다. 이 테이블은 시스템의 디렉토리나 파일과 같은 특정 개체에 액세스할 수 있는 사용자를 나타냅니다. 컴퓨터의 모든 개체에는 연결된 액세스 제어 목록에 연결하는 보안 속성이 있습니다. 목록에는 시스템에 액세스하는 데 필요한 권한이 있는 모든 사용자에 대한 정보가 있습니다.
컴퓨터에서 파일을 변경하거나 열려고 시도하는 동안 ACL과 인터페이스했을 수 있습니다. 예를 들어 관리자만 액세스할 수 있는 특정 개체가 있습니다. 일반 사용자로 컴퓨터에 로그인하면 특정 파일을 열지 못할 수 있습니다. 그러나 관리자로 로그인하면 개체의 보안 속성에서 사용자가 관리자임을 확인한 다음 액세스를 허용합니다.
네트워크 ACL과 보안 그룹을 고려할 때 둘은 유사성을 공유합니다. 보안 그룹은 액세스 권한을 얻을 수 있는 사람들의 목록으로 구성되거나 관리자, 게스트 및 일반 사용자와 같은 사용자 범주로 구성될 수 있습니다.
사용자가 개체에 대한 액세스를 요청하면 컴퓨터의 운영 체제는 ACL을 확인하여 사용자가 원하는 액세스 권한을 가져야 하는지 확인합니다. 목록에 사용자가 특정 개체를 열거나 사용하거나 수정할 수 없도록 명시되어 있으면 액세스가 거부됩니다.
네트워킹 ACL은 스위치와 라우터에 설치된다는 점에서 다릅니다. 여기서는 트래픽 필터입니다. 트래픽을 필터링하기 위해 네트워크 ACL은 관리자나 제조업체가 미리 정의한 규칙을 사용합니다. 이러한 규칙은 액세스 매개변수를 제어하는 테이블에 대해 패킷 내용을 확인합니다. 사용자가 체크아웃했는지 여부에 따라 액세스가 허용되거나 거부됩니다.
이러한 방식으로 ACL이 있는 스위치와 라우터는 패킷 필터의 기능을 수행합니다. 그들은 발신지와 목적지의 인터넷 프로토콜(IP) 주소 , 발신지와 목적지 포트, 네트워크를 통해 이동하는 방법을 지시하는 패킷의 공식 절차를 확인합니다.
ACL 사용의 이점
액세스 목록을 사용하면 로컬 사용자, 원격 사용자 및 원격 호스트를 식별하는 방법을 단순화할 수 있습니다. 이는 승인된 사용자만 장치에 액세스할 수 있도록 구성된 인증 데이터베이스를 사용하여 수행됩니다.
액세스 목록을 사용하면 원치 않는 사용자와 트래픽을 방지할 수도 있습니다. 소스 또는 대상 주소와 네트워크에 액세스할 수 있는 사용자를 지정하는 매개변수를 설정하면 다른 모든 사용자가 네트워크에 들어가는 것을 방지할 수 있습니다. 네트워크 액세스를 허용할 트래픽 종류를 분류한 다음 해당 카테고리를 ACL에 적용할 수도 있습니다. 예를 들어, 모든 이메일 트래픽은 네트워크로 통과하지만 실행 파일이 포함된 트래픽은 차단하는 규칙을 생성할 수 있습니다.
ACL을 어디에 배치할 수 있습니까?
많은 관리자가 네트워크의 에지 라우터에 ACL을 배치하도록 선택합니다. 이를 통해 트래픽이 시스템의 나머지 부분에 도달하기 전에 트래픽을 필터링할 수 있습니다. 이를 위해 ACL이 있는 라우팅 장치를 배치하여 DMZ(비무장 지대) 와 인터넷 사이에 배치할 수 있습니다. DMZ 내에는 애플리케이션 서버, 웹 서버, VPN 또는 DNS(Domain Name System) 서버와 같은 장치가 있을 수 있습니다.
DMZ와 나머지 네트워크 사이에 ACL을 배치할 수도 있습니다. 인터넷과 DMZ 사이, 그리고 DMZ와 나머지 네트워크 간에 ACL을 사용하는 경우 각 설정은 ACL 다음에 오는 장치와 사용자를 보호하도록 설계된 서로 다른 구성을 갖게 됩니다.
ACL의 구성요소
ACL은 기능의 중심이 되는 여러 구성 요소로 구성됩니다.
- 시퀀스 번호 : 시퀀스 번호는 특정 번호로 ACL 항목을 식별합니다.
- ACL 이름 : ACL 이름은 숫자가 아닌 할당된 이름을 사용하여 ACL 항목을 정의합니다. 경우에 따라 라우터는 숫자와 문자를 모두 허용합니다.
- 비고 : 일부 라우터에서는 주석을 입력할 수 있으며, 이는 더 자세한 설명을 포함하는 데 사용할 수 있습니다.
- 명령문 : 명령문을 사용하면 와일드카드 마스크 또는 주소를 사용하여 소스를 허용하거나 거부합니다. 와일드카드 마스크는 시스템에서 검사할 수 있는 IP 주소 요소를 지정합니다.
- 네트워크 프로토콜 : 네트워크 프로토콜은 IP, IPX(Internetwork Packet Exchange), TCP(Transmission Control Protocol) , ICMP(Internet Control Message Protocol) , UDP(User Datagram Protocol) , 또는 다른 사람.
- 원본 또는 대상 : 원본 또는 대상 구성 요소는 대상 또는 원본 IP 주소를 주소 범위 또는 단일 IP로 정의합니다. 모든 주소를 허용할 수도 있습니다.
- 로그 : ACL과 일치하는 항목을 찾았을 때 로그를 유지할 수 있는 장치가 있습니다.
- 고급 ACL의 기타 기준 : 일부 고급 ACL은 IP 우선 순위, 서비스 유형(ToS) 또는 DSCP(Differentiated Services Code Point)에서 파생된 우선 순위에 따라 트래픽을 제어하는 옵션을 제공합니다. DSCP는 네트워크에서 트래픽을 분류하고 관리할 수 있는 네트워킹 아키텍처입니다.
라우터에서 ACL을 구현하는 방법
라우터에서 ACL을 올바르게 구현하려면 트래픽이 라우터로 들어오고 나가는 방식을 이해해야 합니다. 라우터 인터페이스의 관점을 기반으로 규칙을 설정합니다. 이것은 네트워크의 것과 다릅니다. 예를 들어, 트래픽이 라우터로 유입되면 네트워크 외부로 유출되기 때문에 관점은 트래픽의 움직임을 설명하는 방식에 큰 차이를 만듭니다.
ACL이 의도한 기능을 수행하도록 하려면 라우터 인터페이스에 적용해야 합니다. 전달 및 라우팅 결정은 라우터의 하드웨어에 의해 실행되므로 프로세스가 더 빨라집니다.
ACL 항목을 생성하는 동안 소스 주소를 먼저 입력하고 대상 주소를 뒤에 입력합니다. 라우터는 이 형식으로 표시될 때 항목을 읽을 줄 압니다. 소스는 트래픽이 들어오는 곳이며 이것은 라우터의 "외부"입니다. 목적지는 라우터를 지나 데이터 패킷이 끝나는 지점입니다.
댓글