Bästa praxis för ACL

Access Control List (ACL) används för att kontrollera och filtrera nätverkstrafik på routrar och Layer 3-switchar. Genom att tillåta eller blockera specifik trafik kan ACL:er förbättra säkerheten, minska oönskad trafik och skydda nätverksresurser.

För att ACL:er ska fungera effektivt krävs en genomtänkt design och korrekt implementation. En felaktigt konfigurerad ACL kan orsaka kommunikationsproblem eller blockera legitim trafik.

Begränsningar för ACL på interface

Det finns begränsningar för hur många ACL:er som kan tillämpas på ett interface. På ett dual-stack-interface, som hanterar både IPv4 och IPv6, kan upp till fyra ACL:er användas samtidigt:

  • En inkommande ACL för IPv4
  • En utgående ACL för IPv4
  • En inkommande ACL för IPv6
  • En utgående ACL för IPv6

Om en router, exempelvis R1, har två dual-stack-interface kan totalt åtta ACL:er tillämpas – fyra per interface.

I bilden nedan visas ett interface på R1 med:

  • en inbound- och outbound-ACL för IPv4
  • en inbound- och outbound-ACL för IPv6

Observera: Det är inte nödvändigt att konfigurera både inkommande och utgående ACL:er på varje interface. Valet av riktning och antal ACL:er beror på nätverksdesign och säkerhetspolicy.

Rekommenderade riktlinjer för ACL

En välplanerad ACL-struktur minskar risken för säkerhetsproblem, driftstopp och onödig komplexitet.

Basera ACL:er på organisationens säkerhetspolicy

ACL:er bör utformas utifrån organisationens säkerhetskrav och trafikpolicy. Detta säkerställer att endast godkänd trafik tillåts i nätverket.

Dokumentera ACL-regler innan implementation

Innan en ACL implementeras bör dess syfte dokumenteras tydligt. Definiera vilken trafik som ska tillåtas eller blockeras för att minska risken för felkonfigurationer och nätverksproblem.

Använd en textredigerare vid skapande av ACL

Det rekommenderas att ACL-konfigurationer först skapas i en textredigerare innan de implementeras på nätverksenheter. Detta gör det enklare att spara konfigurationer, återanvända regler, granska syntax, och felsöka problem.

Dokumentera regler med remark

Kommandot remark används för att beskriva syftet med ACL-regler. Dokumentation gör konfigurationen enklare att förstå och underhålla. Till exempel:

access-list 100 remark Blockerar obehörig SSH-trafik
access-list 100 deny tcp any any eq 22

Testa ACL:er innan de implementeras i produktion

ACL:er bör testas i en utvecklings- eller labbmiljö innan de används i ett produktionsnätverk. Detta minskar risken för att legitim trafik blockeras eller att nätverkstjänster påverkas negativt.