Chào các bạn, khi mới bắt đầu học về mạng, chúng ta thường nghe nói về Access Control List (ACL) như một người "gác cổng" khó tính. Nó đứng ở cửa ra vào (interface) của router và quyết định cho ai đi qua, chặn ai lại dựa trên một danh sách các quy tắc.
Ví dụ, một quy tắc đơn giản có thể là:
-> "Cấm tiệt anh chàng có IP 192.168.1.50 đi qua đây!"
Cách làm này rất hiệu quả để chặn những kẻ không mong muốn. Nhưng nó cũng nảy sinh một vấn đề rất lớn...
Hãy tưởng tượng mạng nội bộ của bạn là một văn phòng an toàn, còn Internet là thế giới bên ngoài. Người gác cổng (ACL) được lệnh: "Không cho bất kỳ ai từ bên ngoài tự ý đi vào."
Quy tắc này rất an toàn. Nhưng điều gì sẽ xảy ra khi một nhân viên bên trong văn phòng gọi điện ra ngoài để đặt pizza? Một lúc sau, anh chàng giao pizza đến. Người gác cổng nhìn vào danh sách và nói: "Anh từ bên ngoài đến, không có trong danh sách được vào. Mời anh đi về!"
Đây chính xác là vấn đề của một ACL thông thường. Nếu bạn chặn tất cả traffic đi vào, bạn cũng sẽ vô tình chặn luôn cả traffic phản hồi cho những kết nối mà người dùng của bạn đã chủ động bắt đầu.
Để giải quyết vấn đề này, các kỹ sư đã tạo ra một từ khóa cực kỳ thông minh trong ACL extended: established.
Khi bạn thêm dòng lệnh này vào ACL của mình:
Nó giống như bạn đưa cho người gác cổng một cuốn sổ tay và một quy tắc mới: "Nếu có ai đó từ bên ngoài đến, hãy kiểm tra xem họ có phải là người giao hàng cho một đơn hàng đã được đặt từ bên trong không. Nếu đúng, hãy cho họ vào. Nếu là người lạ tự ý đến, hãy chặn lại!"
Từ khóa established sẽ kiểm tra một thứ trong gói tin TCP gọi là cờ ACK (hoặc RST). Một gói tin có cờ này bật lên chứng tỏ nó không phải là một kết nối mới, mà là một phần của một cuộc hội thoại đã được bắt đầu từ trước.
Từ khóa established là một công cụ cực kỳ mạnh mẽ ở cấp độ CCNP. Nó biến một ACL thông thường thành một dạng "tường lửa trạng thái" (Stateful Firewall) đơn giản. Nó cho phép bạn xây dựng một chính sách bảo mật rất chặt chẽ: Chặn tất cả kết nối mới từ bên ngoài, nhưng vẫn cho phép traffic trả về cho các kết nối hợp lệ được khởi tạo từ bên trong.
Đây là một trong những dòng lệnh quan trọng và được sử dụng nhiều nhất khi cấu hình bảo mật trên router Cisco trong thực tế.