[MSSQL] ACL 간단 요약

-An ACL is a series of IOS commands that are used to filter packets based on information found in the packet header

번역 : ACL은 IOS 명령어(라우터에서 사용하는 명령어이며,) 패킷 헤더의 내용 (L3) 주소 정보를 바탕으로 하여 패킷을 필터링하는 데 사용하는 명령어이다.

 

-A router does not have any ACLs configured by default.

번역 : 기본적으로 라우터는 ACL 구성이 되어있지 않다.

 

-When an ACL is applied to an interface, the router performs the additional task of evaluating all network packets as they pass through the interface to determine if the packet can be forwarded.

번역 : 인터페이스에 ACL를 적용할 때, 패킷을 통과시켜서 전송할지, 결정하기 위해 인터페이스를 들어오거나 나갈 때 네트워크 패킷을 평가하기 위한 추가적인 활동을 수행한다..

 

네트워크 패킷의 출발지 주소, 확장형 ACL인 경우 목적지 주소도 확인... 이렇게 추가적인 활동을 통해서 해당하는 라우터의 ACL를 구현할 수 있다.

 

-An ACL uses a sequential list of permit or deny statements, known as ACEs.

번역 : ACL은 (접근 제어 목록) 리스트들을 순차적으로 확인해서 들어오는 패킷과 매칭을 한다.

매칭 테스트 시,A주소를 허용하면 허용, B주소를 거부하면 거부..

ACL은 아주 많은 접근 제어 문구들로 이루어져 있다.

ACE = A : Access C : Control E : Entry

ACL은 접근 제어 문구라고 표현할 수 있다.

ACL과 ACE는 동일한 뜻을 가지고 있다고 보면 된다.

 

-Cisco routers support two types of ACLs: standard ACLs and extended ACLs.

번역 : Cisco 라우터는 두 가지 타입의 ACL을 지원한다

표준 ACL 과 확장 ACL

 

standard ACL : IPv4 주소의 출발지 주소만을 사용하여 L3에서 필터링한다..

extended ACL : L3로 이루어진 출발지 목적지 IPv4 주소를 통해서 필터링하고, 또한 L4의 내용을 토대로 필터링.. TCP, UDP, 추가적인 프로토콜 타입 정보를 보고 세밀한 제어를 한다

TCP와 UDP 이후 L7에서 사용하는 서비스까지 주어진 기준을 생성할 수 있다.

 

-An inbound ACL filters packets before they are routed to the outbound interface. If the packet is permitted by the ACL, it is then processed for routing.

번역 : 인바운드 패킷은 인터페이스로 나가기 전에 필터링이 된다. 이러한 인바운드 ACL은 효과적이다. 왜냐하면 패킷의 라우팅(경로 산출) 과정을 하기 전에 수행되므로 오버헤드를 절약하기 때문에 효과적이다..

즉, Inbound 방향에서 패킷을 필터링하면 drop 되는 패킷을 불 필요하게 경로 산출 과정을 거치지 않아도 되기 때문에 라우터의 자원을 절약할 수 있다.

 

-An outbound ACL filters packets after being routed, regardless of the inbound interface.

번역 : 아웃 바운드 ACL은 인바운드 인터페이스와 상관없이 경로 산출(라우팅) 과정 이후에 필터링이 된다.

 

아웃 바운드에 걸어놓게 되면 인바운드와 상관없이 무조건 경로 산출을 한 다음에 아웃바운드 인터페이스가 결정이 되면 해당하는 아웃바운드 인터페이스에 액세스 리스트 목록이 적용이 되었는지 확인을 하고 적용이 되었다면 매칭 테스트를 한 이후에 전송이 이루어진다.

아웃 바운드에 걸게 되면 경로 산출 과정을 무조건 해야 한다..

인바운드와 아웃바인드에 차이점!!

 

-An IPv4 ACE uses a 32-bit wildcard mask to determine which bits of the address to examine for a match.

번역 : IPv4 ACE에서는 32비트의 와일드카드 마스크를 사용하고, 각각의 주소들을 2진수 비트로 변환을 했을 때 매칭을 테스트하기 위해서 전체 32비트를 2진수로 바꾼다.

 

와일드카드 마스크는 서브넷 마스크와 유사하다. ipv4주소를 매칭 테스트하기 위해서 각각의 비트들을 식별하기 위한 절차..

 

-A wildcard mask is similar to a subnet mask in that it uses the ANDing process to identify which bits in an IPv4 address to match. However, they differ in the way they match binary 1s and 0s. Wildcard mask bit 0 matches the corresponding bit value in the address. Wildcard mask bit 1 ignores the corresponding bit value in the address.

번역 : 와일드카드 마스크는 AND연산자를 사용하여 IPv4 주소에서 일치시킬 비트를 식별한다는 점에서 서브넷 마스크와 비슷하다. 하지만, 1과 0을 일치시키는 방식이 다릅니다.

와일드카드 마스크의 bit0는 주소에서 해당 비트 값을 매치

와일드카드 마스크의 bit1은 주소에서 해당 비트 값을 무시

 

와일드 카드 마스크는 서브넷 마스크와 비슷하다. IPv4 주소를 매칭 테스트하기 위해서 각각의 비트들을 식별하기 위한 절차이다.

2진수 1은 매칭 테스트 시 동일하다.라는 의미를 가지며,

2진수 0은 매칭 테스트 시 동일하지 않다.라는 의미를 가진다.

서브넷 마스크에서는 이러한 1과 0의 의미가 이러하다면 와일드카드 마스크에서는 서브넷의 역이다..

 

-A shortcut to calculating a wildcard mask is to subtract the subnet mask from 255.255.255.255.

번역 : 와일드카드 마스크를 계산하는 방법은 255.255.255.255에서 서브넷 마스크를 빼는 것이다.

 

-Working with decimal representations of binary wildcard mask bits can be simplified by using the Cisco IOS keywords host and any to identify the most common uses of wildcard masking

번역 : 2진 와일드카드 마스크 비트의 10진수 표현은 Cisco IOS 키워드 Host와 any를 사용하여 가장 일반적인 와일드카드 마스크 사용을 식별하여 단순화할 수 있습니다.

 

Cisco IOS는 와일드카드 마스킹의 일반적인 용도를 식별하기 위해 두 가지 키워드를 제공

host : 이 명령어는 0.0.0.0 마스크를 대체하며, 이 마스크는 하나의 호스트 주소만 필터링할 때 모든 IPv4 주소 가 모두 일치해야 함을 의미

any : 이 명령어는 255.255.255.255 마스크로 대체되며, 이 마스크는 전체 IPv4 주소를 무시하거나 모든 주소를 수락하는 의미가 있다.

host는 특정 호스 트을 지칭할 때 사용, any는 전체 네트워크를 지칭할 때 사용

 

-There is a limit on the number of ACLs that can be applied on a router interface.

번역 : 라우터 인터페이스 한 곳에 적용할 수 있는 ACL의 수는 제한이 있으며, 최대 4개의 ACL를 적용할 수 있다.

 

1) One outbound IPv4 ACL.

2) One inbound IPv4 ACL.

3) One inbound IPv6 ACL.

4) One outbound IPv6 ACL.

 

-ACLs do not have to be configured in both directions. The number of ACLs and their direction applied to the interface will depend on the security policy of the organization.

번역 : ACL는 양방향 구성이 불가능하며, ACL의 수와 인터페이스의 방향의 적용은 항상 조직의 보안 정책에 달려있다.

 

-Standard ACLs permit or deny packets based only on the source IPv4 address.

번역 : 표준형 ACL의 경우 IPv4 출발지(소스) 주소만을 기반으로 패킷을 허용 여부 또는 거부 여부를 판단한다.

 

-Extended ACLs permit or deny packets based on the source IPv4 address and destination IPv4 address, protocol type, source and destination TCP or UDP ports and more.

번역 : 확장형 ACL의 경우 IPv4 출발지(소스) 및 목적지 주소, 프로토콜 형태, 출발지 목적지 TCP, UDP 포트 등을 기반으로 패킷을 허용 또는 거부한다.

 

ACL에는 2가지 유형이 있다. 표준형과 확장형!

 

-ACLs numbered 1-99, or 1300-1999, are standard ACLs. ACLs numbered 100-199, or 2000-2699, are extended ACLs.

번역 : 1~99 또는 1300-1999 까지는 표준형 ACL, 100~199 또는 2000~2699번 까지는 확장형 ACL이다.

 

ACL에는 추가적인 유형이 있다. 첫 번째로 Numbered.. 추가적 이란? 표준형이라고 했을 때 표준형을 입력할 때 번호를 사용해서 입력하게 된다.

 

-Named ACLs is the preferred method to use when configuring ACLs.

번역 : Named ACL은 표준형 ACL 및 확장형 ACL 이름을 지정하여 ACL 목적지를 명시할 수 있다.

 

-Specifically, standard and extended ACLs can be named to provide information about the purpose of the ACL.

번역 : 표준형 ACL 및 확장형 ACL의 이름을 지정하는 것은 번호가 지정된 ACL을 갖는 것보다 목적을 뚜렷하게 나타낼 수 있다.

 

예를 들어서 FTP-FILTER로 지정!

-Every ACL should be placed where it has the greatest impact on efficiency.

번역 : 모두 ACL는 가장 큰 효율성이 발휘될 수 있는 곳에 적용해야 한다.

 

기본적으로

확장형 ACL은 필터링을 할 때 트래픽이 발생하는 출발지에 최대한 가까운 위치에 적용

표준형 ACL은 가능한 트래픽의 목적지에 가까운 위치에 적용시키도록 제한

 

-Extended ACLs should be located as close as possible to the source of the traffic to be filtered. This way, undesirable traffic is denied close to the source network without crossing the network infrastructure.

번역 : 확장형 ACL은 필터링을 할 때 가능하면 출발지에 가까운 위치에 적용해야 한다.

그러나, 조직에서 해당하는 출발지를 컨트롤할 수 있는지 없는지에 따라서 달려 있다...

그래서 확장형 ACL 같은 경우 출발지와 목적지가 회사 내부에 있는 장비인지 꼭 확인을 해야 한다.

 

-Standard ACLs should be located as close to the destination as possible. If a standard ACL was placed at the source of the traffic, the "permit" or "deny" will occur based on the given source address no matter where the traffic is destined.

번역 : 표준형 ACL은 가능한 트래픽의 목적지에 가까운 위치에 적용시키도록 제한

표준 ACL이 트래픽의 출발지에 설정이 된 경우 트래픽의 목적지에 관계없이 지정된 출발지 주소를 기반으로 “허용” 또는 “거부”가 발생하게 됩니다.

 

-Placement of the ACL may depend on the extent of organizational control, bandwidth of the networks, and ease of configuration.

번역 : ACL의 배치는 조직 제어 범위, 네트워크 대역폭 및 구성 용이성에 따라 달라질 수 있습니다.