ในขอบเขตของการจัดการและความปลอดภัยเครือข่าย Access Control Lists (ACLs) มีบทบาทสำคัญ บทความนี้มุ่งหวังที่จะให้ความเข้าใจที่ครอบคลุมว่า ACL คืออะไร ทำงานอย่างไร และมีความสำคัญในด้านความปลอดภัยและการจัดการปริมาณการใช้งานเครือข่าย
ACL คืออะไร
Access Control List (ACL) คือชุดกฎที่ใช้ควบคุมปริมาณการใช้งานเครือข่ายและเพิ่มความปลอดภัย ACL คือชุดกฎของ Classifier และ Policy Rule ซึ่งร่วมกันตั้งค่าตัวกรองเพื่อควบคุมว่าแพ็กเก็ตใดได้รับอนุญาตหรือปฏิเสธในหรือจากเครือข่าย
ส่วนประกอบของ ACL
Classifier: Classifier จัดกลุ่มปริมาณการใช้งานเป็นโฟลว์ข้อมูลโดยอิงตามเกณฑ์เฉพาะ เช่น ที่อยู่ต้นทาง ที่อยู่ปลายทาง หมายเลขพอร์ตต้นทาง หมายเลขพอร์ตปลายทาง หรือหมายเลขพอร์ตขาเข้า ตัวอย่างเช่น Classifier สามารถกำหนดค่าให้เลือกปริมาณการใช้งานจากพอร์ตโปรโตคอลเฉพาะ (เช่น Telnet) เพื่อสร้างโฟลว์ได้
กฎนโยบาย: กฎนโยบายช่วยให้แน่ใจว่าปริมาณการใช้งานที่จัดประเภทได้รับการจัดการตามที่ร้องขอในเครือข่าย หากต้องการใช้กฎนโยบาย คุณต้องกำหนดค่า Classifier ก่อน
ACL ทำงานอย่างไร
ACL ทำงานโดยใช้ตัวจัดหมวดหมู่เพื่อจัดเรียงทราฟฟิกขาเข้า จากนั้นจึงใช้กฎนโยบายกับทราฟฟิกเหล่านี้ การตั้งค่านี้จะกำหนดว่าแพ็กเก็ตขาเข้าที่ตรงกันนั้นสามารถส่งต่อหรือทิ้งได้หรือไม่ ซึ่งจะช่วยควบคุมทราฟฟิกเครือข่ายได้อย่างมีประสิทธิภาพ ผู้ใช้สามารถกำหนด ACL ได้หลายรายการเพื่อหลีกเลี่ยงการโจมตีที่เป็นอันตรายหรือความผิดพลาดที่ไม่ได้ตั้งใจซึ่งอาจทำให้เครือข่ายทำงานผิดปกติ
วัตถุประสงค์ของ ACL
วัตถุประสงค์หลักของ ACL คือ:
เพื่อกรองทราฟฟิกบางประเภทโดยเฉพาะและเพิ่มความปลอดภัยให้กับเครือข่าย
เพื่อควบคุมทราฟฟิกภายในเครือข่าย เพื่อให้แน่ใจว่าการส่งข้อมูลจะราบรื่นและปลอดภัย
เกณฑ์สำหรับตัวจัดหมวดหมู่
ตัวจัดหมวดหมู่จะจัดกลุ่มทราฟฟิกตามเกณฑ์ต่อไปนี้:
พอร์ตต้นทาง: พอร์ตที่ทราฟฟิกมาจาก
MAC ต้นทาง/MAC ปลายทาง: ที่อยู่ฮาร์ดแวร์ของอุปกรณ์ต้นทางและปลายทาง
ID VLAN: ตัวระบุสำหรับเครือข่ายพื้นที่เสมือน
DSCP (จุดรหัสบริการที่แตกต่างกัน): ฟิลด์ในส่วนหัว IP สำหรับการจำแนกแพ็กเก็ต ประเภทโปรโตคอล IP: ประเภทของโปรโตคอล IP (เช่น TCP, UDP)
IP ต้นทาง/IP ปลายทาง: ที่อยู่ IP ของต้นทางและปลายทาง
หมายเลขโปรโตคอล UDP/TCP: หมายเลขพอร์ตสำหรับโปรโตคอล UDP หรือ TCP
พารามิเตอร์ที่กำหนดค่าได้สำหรับตัวจำแนกประเภท
พารามิเตอร์ที่สามารถกำหนดค่าได้สำหรับตัวจำแนกประเภท ได้แก่:
ชื่อตัวจำแนกประเภท: ระบุตัวจำแนกประเภท
น้ำหนักสำหรับตัวจำแนกประเภท: กำหนดลำดับความสำคัญเมื่อลำดับการจับคู่อยู่ในโหมดแมนนวล
พอร์ตขาเข้า: ระบุพอร์ตขาเข้า
รูปแบบแพ็กเก็ต: กำหนดรูปแบบแพ็กเก็ต (เช่น 802.3, L2)
ID VLAN: ระบุ ID VLAN หรือช่วงของ ID VLAN
ลำดับความสำคัญ: กำหนดลำดับความสำคัญสำหรับแพ็กเก็ตที่ติดแท็ก
ประเภทอีเทอร์เน็ต: ระบุประเภทของโปรโตคอลอีเทอร์เน็ต (เช่น IP, ARP)
ที่อยู่ MAC ต้นทาง/ปลายทาง: กำหนดที่อยู่ MAC ด้วยมาสก์เครือข่ายย่อย
ความยาวแพ็กเก็ต IP: ระบุความยาวของแพ็กเก็ต IP
DSCP: ตั้งค่า DSCP สำหรับ IPv4 หรือ IPv6
Precedence: ตั้งค่าลำดับความสำคัญของ IP
ToS (ประเภทของบริการ): ระบุค่า ToS
IP Protocol: กำหนดโปรโตคอล IP (เช่น TCP, UDP)
IPv6 Next Header: ระบุส่วนหัวถัดไปสำหรับ IPv6
Source/Destination IP Address: กำหนดที่อยู่ IP พร้อมคำนำหน้า
Source/Destination Socket Number: ระบุหมายเลขพอร์ต UDP/TCP
Policy Rule คืออะไร
Policy Rule ช่วยให้แน่ใจว่าแพ็กเก็ตที่จัดประเภทจะได้รับการดำเนินการส่งต่อที่เหมาะสม กฎนโยบายแต่ละข้อจะเชื่อมโยงกับตัวจัดประเภทหนึ่งตัวและเกี่ยวข้องกับการตั้งค่าพารามิเตอร์และการกำหนดการดำเนินการ เช่น การส่งต่อ การจัดการลำดับความสำคัญ การจัดคิว และอื่นๆ
การดำเนินการที่กำหนดค่าได้ในกฎนโยบาย
การดำเนินการที่สามารถกำหนดค่าได้ในกฎนโยบาย ได้แก่:
การส่งต่อ: กำหนดว่าแพ็กเก็ตจะถูกส่งต่อหรือทิ้ง
ลำดับความสำคัญ: กำหนดระดับความสำคัญให้กับแพ็กเก็ต
คิว: กำหนดแพ็กเก็ตให้กับคิวเฉพาะ
Diffserv: จัดการการตั้งค่าบริการที่แตกต่างกัน
ขาออก: กำหนดเส้นทางแพ็กเก็ตไปยังพอร์ตเฉพาะ
การวัด: จำกัดแบนด์วิดท์สำหรับแพ็กเก็ตที่เข้ามา
การจัดการแบนด์วิดท์ด้วย ACL
ACL สามารถจัดการแบนด์วิดท์ได้ผ่านการดำเนินการวัดซึ่งจำกัดแบนด์วิดท์สำหรับแพ็กเก็ตที่เข้ามา ตัวอย่างเช่น หากตั้งค่าการวัดไว้ที่ 500Kbps สวิตช์จะจัดการเฉพาะทราฟฟิกที่เข้ามาที่ 500Kbps เท่านั้น ทราฟฟิกใดๆ ที่เกินอัตรานี้จะปฏิบัติตามการตั้งค่า Out-of-Profile เช่น การทิ้งแพ็กเก็ตที่เกิน
ข้อสรุป
รายการควบคุมการเข้าถึง (ACL) มีความสำคัญต่อความปลอดภัยของเครือข่ายและการจัดการทราฟฟิก การตั้งค่า ACL ช่วยให้ผู้ดูแลระบบเครือข่ายสามารถควบคุมปริมาณการรับส่งข้อมูลได้อย่างมีประสิทธิภาพ เพิ่มความปลอดภัย และรับรองประสิทธิภาพเครือข่ายที่เหมาะสมที่สุด การทำความเข้าใจและกำหนดค่า ACL อย่างเหมาะสมสามารถช่วยให้สภาพแวดล้อมเครือข่ายมีความปลอดภัยและได้รับการจัดการอย่างดีได้อย่างมาก