라우터에 대한 ACL :
목적지에 가장 가까운 라우터의 인터페이스에 ACL을 설정하는 것이 효율적이다.
불필요한 검사나 연산이 가까운 라우터가 아니면 추가로 발생할 수 있기 때문이다.
ex) conf t -> access-list [numberred] [permit/deny/remark] [ip]
방화벽과 다르게 라우터는 적용할 인터페이스에 접속하고 ip access-group [numberred] [in/out]
statndard는 extended와 다르게 프로토콜이 없고 출발지 주소 ip만으로 필터링한다.
라우터도 extended 설정이 가능하다.
extended이든 standard형식의 정책이든 acl의 마지막에는 deny any가 생략되어 있어서 다 차단함.
RACL(Reflected Access Control List):
내부 사용자들은 외부로 연결할 수 있지만, 외부 사용자가 내부로 들어오지 못하게 함.
ex) ip access-list extended racl -> permit tcp any any reflect racltest(임시 acl정책이름)을 준다면
인터페이스에 out 방향으로 설정해 두고 in 방향으로 다른 정책을 생성한 다음
ip access-list extended test -> evaluate racltest 를 in방향으로 정책을 생성하면 내부에서 외부로 나가는 tcp패킷은 허용하면서 그 tcp패킷을 받아올 때, 유동적으로 그 acl을 받아온다. 1.1.1.1 -> 2.2.2.2로 tcp패킷을 보내면 다시 받아올 때, 2.2.2. 2->1.1.1.1인 acl이 생성됨.
DACL(Dynamic Access Control List):
인증(인증서버)을 통해서 외부 사용자가 내부로 접속을 가능하게 함.
username park password 1234
line vty 0 4
login local
autocommand access-enable host timeout 10 (access-enable을 해야 dacl을 사용가능) -> src ip가 host ip로 변경됨
ip access-list extended dacl -> dynamic dacltest permit ip any any
외부에서 접속하는 인증한 패킷만 내부로 이동가능
ZFW(Zone-based FireWall):
- zone 생성 -> interface 할당
- 트래픽 방향 지정
- 방화벽 정책 설정
- 정책 적용
zone이 다르면 통신이 우선 차단됨, 또한 방화벽처럼 동작하려하지만 인터페이스에 acl이 적용된게아니기 때문에, 방화벽처럼 ping reply를 따로 지정해주지 않아도 됨.
zone-security inside
zone-security outside
int f0/0 -> zone-member security inside
int f0/1 -> zone-member security outside
zone-pair security in-out(트래픽 방향 정책 이름) source inside destination outside
ip access-list extended acltest -> permit ip any any -> exit
class-map type inspect classtest(class 정책이름)
match access-group name acltest -> exit
policy-map type inspect policytest -> class type inspect classtest -> inspect -> exit -> exit
zone-pair security in-out(정책이름) ->service-policy type inspect policy-test
