ACL이란

Aceess List의 줄임말로써 접근 허용 또는 거부하는 접근제어 리스트를 의미한다.

ACL을 통해 필터링이라는 기능을 수행할 수 있는데 특정 주소를 가진 호스트이 접근을 막거나 특정 서비스를 차단하는 등의 목적으로 사용할 수 있다.

ACL의 TYPE

Standard와 Extended라는 두 가지 타입이 있고, 둘의 차이는 필터링에 사용될 기준이 되는 옵션이다.

Standard는 출발지 주소를 보고 패킷의 출력을 허용 또는 거부한다.

Extended는 출발지 주소 뿐만 아니라 도착지의 주소, 프로토콜, 포트번호 등 다른 옵션들도 함께 사용하여 좀 더 상세한 필터링이 가능하다.

ACL은 리스트이기 때문에 리스트에 이름을 붙여 구분하게 한다.

이름을 붙이는 방법은 두 가지인데, 숫자를 붙이거나 단어를 붙이는 것으로 나뉜다.

Numbered의 경우 숫자의 범위가 지정되어 있어 Standard와 Extended를 구분할 수 있지만,

Named는 그렇지 않기 때문에 따로 지정해주는 옵션이 필요하다고 한다.

ACL 설정의 특징

Inbound

패킷이 들어오면 가장 먼저 ACL List를 확인하여 허용된 패킷만 라우팅 테이블을 확인할 수 있게 하고 허용되지 않은 패킷은 버려진다.

Outbound

라우터에서 처리하여 내보낼 패킷을 ACL에 매칭시키기 전에 라우팅 테이블을 먼저 확인한다.

ACL은 각각 인터페이스에 설정이 되어있고 설정된 내용이 같지 않기 때문에, 라우팅 테이블을 확인하여 어떤 인터페이스로 나가는지를 확인하고 그 인터페이스에 설정된 ACL로 필터링 되도록 한다.

First-Match Rule

하나의 라우터에는 여러 ACL 리스트를 만들 수 있고, 하나의 ACL에는 여러 필터링 정책을 저장할 수 있다.

라우터에 만들어진 ACL은 해당 정책이 필요한 네트워크가 연결된 인터페이스에 설정이 되고,

ACL이 설정된 인터페이스로 들어온 패킷은 ACL과 순차적으로 매칭시켜 처리하는 방식을 사용한다.

여러 정책 중 가장 먼저 기준이 매칭되는 정책에 따라 패킷이 처리되는데 이를 First-Match Rule이라고 부른다.

그래서 정책을 세울 대 기준의 범위가 좁은 것부터 해야한다.

Reference

https://net-gate.tistory.com/18