جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

ACL چیست و چگونه با کمک آن شبکه را کنترل و فیلتر کنیم؟

ACL چیست؟ Access List در سیسکو چیست؟ Access List Control چه کاری انجام می دهد؟ چند نوع ACL در سیسکو داریم؟ احتمالا تا حالا برای شما پیش آمده باشد که بخواهید دسترسی یک کلاینت را به یک سرور خاص محدود کنید یا بخواهید استفاده از یک برنامه خاص مثل telnet را مسدود کنید و یا به طور کلی بخواهید بروی عملکرد شبکه کنترل و نظارت داشته باشید. با استفاده از Access Control List که با آن Access list نیز گفته می شود می توانید تمام موارد ذکر شده و بسیاری قابلیت دیگر را داشته باشید. در این مقاله سعی سعی بر آن شده که ACLs را مورد بررسی قرار گیرد و نحوی عملکرد آن شرح داده شود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
وب سایت توسینسو


Access Control List یا ACL یک فیلتر است که به وسیله آن می توانیم جریان ترافیک را کنترل کنیم که چه بسته هایی اجازه ورود یا خروج از شبکه را دارند یا خیر. این فیلتر معمولا توسط مدیر شبکه تعیین و مورد استفاده قرار می گیرند تا به این وسیله بتواند کنترل و امنیت بیشتر را برای شبکه خود فراهم کند. این فیلترها را می توان روی بسیاری از دستگاه های شبکه مانند روتر و سوئیچ مورد استفاده قرار داد.

ACLs ها یک روش قدرتمند برای کنترل ترافیک ورودی یا خروجی از شبکه می باشد این کنترل می تواند به صورت ساده براساس آدرس IP انجام شود یا براساس بررسی آیتم ها متفاوت و پیچیده انجام گیرد. ACLs را میتوان برای پروتکل متفاوت مانند IP ، AppleTalk و ... استفاده کرد.مهمترین دلیل استفاده از ACLs ها فراهم کردن امنیت برای شبکه می باشد هرچند که برای مقاصد دیگری مانند کنترل ترافیک نیز استفاده می شود.

نحوی عملکرد ACLs ها چگونه است؟

برای اینکه نحوی عملکرد ACLs ها را بهتر درک کنیم یک نگهبان که جلوی یک در بسته مستقر است را تصور کنید. نگهبان براساس دستورالعملی که به او داده شده اجازه عبور به افراد را می دهد به طور مثال به او یک لیست داده شده که فقط این افراد اجازه ورود دارند. افراد که می خواهند از این در عبور کنند نام آنها توسط نگهبان با لیست خود مطابقت داده می شود و در صورتی که نام آنها در لیست بود به آنها اجازه عبور از در را می دهد در غیر اینصورت فرد اجازه عبور از در را نخواهد داشت.

اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.

ACLsها با استفاده از آیتم های مختلف مانند آدرس مبدا و مقصد ، پورت مبدا و مقصد ، نوع پروتکل و ... می تواند عمل فیلترینگ را روی بسته های ورودی یا خروجی یک پورت برای ما انجام دهد. زمانی که یک بسته به دستگاه می رسد در صورت وجود ACLs ، اطلاعات موجود در Header بسته را بررسی می کند و با آیتم های تعریف شده در ACLs مقایسه می کنند و نسبت به آن اجازه یا عدم اجازه عبور به بسته را می دهد.

وب سایت توسینسو

چه زمانی از ACLs استفاده می کنیم؟

  • جهت مقاصد امنیتی
  • محدود کردن ترافیک برای افزایش کارایی شبکه
  • جهت کنترل بسته های مربوط به پروتکل های مسیریابی
  • چه نوع ترافیکی اجازه عبور یا عدم عبور دارند
  • جداسازی برخی ترافیک های خاص به منظور عملیات خاص مانند QoS
  • اعمال محدودیت های زمانی
  • و ...

معرفی انواع Access Control List

  • Standard ACLs
  • Extended ACLs
  • Reflexive ACLs
  • Time-Base ACLs
  • Established ACLs

نحوی نام گذاری ACLs چگونه است؟

ACLs را می توان به دو صورت تعریف کرد یکی براساس نام و دیگری براساس عدد. که هر کدام می تواند یکی از دو نوع Extended یا Standard باشد.زمانی که یک ACLs با استفاده از نام ایجاد می کنیم قبل از مشخص کردن نام نوع آنرا مشخص می کنیم مانند مثال زیر:

Router(config)#ip access-list standard itpro
Router(config)#ip access-list extended itpro
  • نکته : استفاده از این نوع نام گذاری از نسخه Cisco IOS Software Release 11.3 به بعد امکان پذیر است.

زمانی که یک ACLs با استفاده از عدد ایجاد می کنیم شماره عددی که انتخاب می کنیم نشان دهنده نوع آن می باشد. یک نمونه از ACL با نام گذاری عددی:

Router(config)#access-list 50 permit host 192.168.1.1
Router(config)#access-list 101 deny tcp host 192.168.1.1 eq www host 10.1.1.1

جدول زیر نشان دهنده محدوده این اعداد و نوع آنها می باشد.

وب سایت توسینسو

نحوی تخصیص ACLs چگونه است؟

زمانی که یک ACLs تعریف می شود برای عمل کردن باید به یک پورت اختصاص داد شود که می تواند در دو جهت زیر ترافیک را کنترل کند:

  • Inbound : منظور ترافیکی است که وارد یک پورت می شود.
  • Outbound : ترافیک است که از یک پورت خارج می شود.

با انتخاب هر کدام از این دو جهت ترافیک توسط ACLs ترافیک شروع به کنترل می شود.

وب سایت توسینسو

ACLs Action چیست؟

زمانی که یک ACLs تعریف می شود دو نوع اقدام زیر را می توان نسبت به ترافیک که بررسی می کند می توان در نظر گرفت :

  • Deny : اجازه عبور به بسته را نمی دهد.
  • Permit : اجازه عبور به بسته را می دهد.

یک مثال ساده جهت آشنایی بیشتر:

به عکس زیر توجه کنید که یک شبکه بسیار ساده را به ما نشان می دهد که دارای دو کامپیوتر ، یک سوئیچ و یک روتر که به اینترنت متصل است. در اینجا بنا به دلایلی می خواهیم کامپیوتر شماره 2 نتواند به اینترنت دسترسی داشته باشد.

وب سایت توسینسو

برای اینکار باید یک Standard ACL نوشته شد و اجازه دسترسی به بیرون شبکه از آن گرفته شود(Deny) و این ACL را باید روی Outbound پورت روتر که به اینترنت متصل است اعمال شود. به این صورت اتصال کامپیوتر 2 به اینترنت قطع می شود. امیدوارم که این مقاله مفید واقع شده باشد و در قسمت های بعدی نحوی استفاده از انواع ACLها را به صورت کامل و دقیق توضیح خواهم داد.

  • کنترل سطح دسترسی یا ACL چیست؟

    بصورت کلی در امنیت اطلاعات ، مدیریت کردن دسترسی به منابع ، تجهیزات ، داده ها و اطلاعات توسط کنترل هایی به نام سطح دسترسی یا ACL تعیین می شوند ، به زبان ساده تر این ACL ها هستند که به ما می گویند به چه چیز دسترسی دارید ، تا چه حد دسترسی دارید و تعیین کننده حدود اختیارات ما در انجام تغییرات در تنظیمات و دسترسی به پورت های سویچ و روتر و ترافیک و ... هستند
  • انواع ACL در سیسکو چیست؟

    انواع ACL های تجهیزات سیسکو به ترتیب Standard ACL ، Extended ACLs ، Reflexive ACL ، Time-Base ACL ، و Established ACL هستند.

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان حدود 15 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات