<>TCP/UDP, Timerange 제어
1. TCP, UDP 제어
TCP, UDP 의 포트넘버를 분류하여 엑세스 리스트를 작성한다.
R1(config-ext-nacl)# deny {tcp | udp} {host | ip address} {eq | neq | gt | lt} {tcp, udp port number} {host | ip
address} {eq} {tcp, udp port number}
ex)
목적지 100.1.1.0/24 대역에 대해 모든 텔넷 세션을 차단
(eq 설정시 정확히 해당 포트넘버만 지정)
R1(config-ext-nacl)# deny tcp any 100.1.1.0 0.0.0.255 eq telnet
목적지 호스트 10.1.1.1이 NTP 서버로 운용중일때 내부 사설네트워크 대역 192.168.100.0/24 에서 들어오는 NTP 요청
을 차단하도록 한다.
R1(config-ext-nacl)# deny udp 192.168.100.0 0.0.0.255 host 10.1.1.1 eq ntp
목적지 192.168.10.0/24 에 대해 221.15.1.0/24 에서 유입되는 HTTP 관련 포트를 허용하고 그외에 모두 차단한다.
양방향 HTTP를 통한 통신이 원활하도록 출발지 포트번호 80을 모두 오픈한다.
R1(config-ext-nacl)# permit tcp 221.15.1.0 0.0.0.255 192.168.0.0 0.0.0.255 eq 80
R1(config-ext-nacl)# permit tcp 221.15.1.0 0.0.0.255 eq 80 192.168.0.0 0.0.0.255
2. TIme-range based ACL
엑세스 리스트를 시간대별로 나누어 적용하거나 제외하도록 한다.
이를 위해 time-range 를 먼저 생성하여 ACL 에 적용한다.
ex)
주중 오전 6시 부터 오후 10시까지 호스트 151.1.1.1 로 엑세스를 허용하지 않고, 그외 시간에는 허용하도록 설정
(1) periodic 명령은 주기적인 시간을 설정하며, absolute 정확히 그 시간 범위만 지정한다. 여기서 06:00~22:00으로 설정
(2) 설정한 time-range을 ACL 항목에 적용하였다.
'Network > Security' 카테고리의 다른 글
| ACL (5) RACL (0) | 2014.07.24 |
|---|---|
| 암호화, 인증 알고리듬 (Encryption, Authentication Algorithm) (0) | 2014.07.06 |
| ACL (3) Extended ACL (0) | 2014.07.06 |
| ACL (2) Standard ACL named mode (0) | 2014.07.06 |
| ACL (1) Standard ACL numbered mode (0) | 2014.07.06 |