ACL (Access Control List)
ACL (Access Control List), network ataklarını engellemek ve network trafiğini kontrol etmek için kullanılan bir yapıdır. ACL’ler Firewall’ları konfigüre ederken kullanılan yapılardır.
ACL’ler sayesinde networke giren ve networkden çıkan trafik, adres ve port bazlı olarak filtrelenebilir. Bu işlemi yapmak için kullanılan iki tür ACL vardır. Bunlar Standard ACL ve Extended ACL’dir.
-
Standard ACL
Standard ACL’ler 1-99 veya 1300-1999 arası numaralandırılan ve trafiği kontrol etmek için IP başlıklarındaki kaynak IP bilgisini inceleyen ACL’lerdir. Standard ACL’ler filtreleme işlemini sadece Layer 3 bilgisine bakarak gerçekleştirirler. Standard ACL’ler şu şekilde oluşturulur:
Router(config)# access-list {1-99} {permit|deny} source-addr [source-wildcard]
İlk bölüm, ACL numarasını ifade eder. İkinci bölüm, belirtilen kaynak IP adresine izin verilip verilmeyeceğini belirtir. Üçüncü bölüm, üzerinde işlem yapılacak kaynak IP adresini gösterir. Dördüncü kısımdaki wildcard maskesi ise üzerinde işlem yapılacak ip adres aralığını belirler.
Örneğin;
RYPROJE_ACL(config)# ip access-list standard 10
RYPROJE_ACL(config-std-nacl)# permit 192.168.2.0 0.0.0.255
Örnekte standart ACL 10’un içine girilir. 192.168.2.0 ağına (192.168.2.1 – 192.168.2.255) izin (permit) verilir.
-
Extended ACL
Extended ACL’ler paketlerin Layer 3 ve Layer 4 bilgilerine göre filtreleme işlemi yaparlar. TCP veya UDP port bilgisini, kaynak ve hedef IP bilgisini içerirler. Extended ACL’ler şu şekilde düzenlenirler:
Router(config)# access-list {100-199} {permit|deny} protocol source-addr [source-wilcard] destination-addr [destination-wildcard] [operator operand]
İlk bölüm, extended ACL numarasını belirtir. İkinci bölüm, daha sonraki bölümlerde özellikleri belirtilen pakete izin verilip verilmeyeceğini gösterir. Üçüncü bölümde protokol türü ifade edilir. Protokol türü tcp, udp veya ip biçiminde belirtilebilir. Dördüncü bölümde filtre edilecek paketlerin kaynak IP adresleri ve IP aralığını belirten wildcard maskesi bulunur. Ardından hedef IP adresi ve aralığı belirtilir. Son olarak üzerinde filtreleme yapılacak port belirtilir.Örneğin;
RYPROJE_ACL(config)# ip access-list extended 110
RYPROJE_ACL(config-ext-nacl)#deny udp host 192.168.2.5 any
RYPROJE_ACL(config-ext-nacl)#permit tcp any 192.168.3.0 0.0.0.255
Belirtilen örnekte extended ACL 110’un içine girilir. 192.168.2.5 ip numaralı hosttan diğer bütün ağlara giden udp paketleri yasaklanır (deny). Bütün ağlardan 192.168.3.0 ağına gelen tcp paketlerine izin verilir.