您當(dāng)前位置: 主頁 > 資訊動(dòng)態(tài) > IT知識(shí)庫 >
網(wǎng)絡(luò)運(yùn)維|訪問控制列表ACL
2020-04-28 16:42 作者:艾銻無限 瀏覽量:
網(wǎng)絡(luò)運(yùn)維|訪問控制列表ACL
大家好,我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師,今天和大家聊點(diǎn)安全方面的技術(shù),這次咱們就聊一聊訪問控制列表ACL。
ACL簡介
介紹ACL的定義和作用。定義
訪問控制列表ACL(Access Control List)是由一條或多條規(guī)則組成的集合。所謂規(guī)則,是指描述報(bào)文匹配條件的判斷語句,這些條件可以是報(bào)文的源地址、目的地址、端口號(hào)等。ACL本質(zhì)上是一種報(bào)文過濾器,規(guī)則是過濾器的濾芯。設(shè)備基于這些規(guī)則進(jìn)行報(bào)文匹配,可以過濾出特定的報(bào)文,并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來允許或阻止該報(bào)文通過。
目的
隨著網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)質(zhì)量QoS(Quality of Service)問題日益突出。- 企業(yè)重要服務(wù)器資源被隨意訪問,企業(yè)機(jī)密信息容易泄露,造成安全隱患。
- Internet病毒肆意侵略企業(yè)內(nèi)網(wǎng),內(nèi)網(wǎng)環(huán)境的安全性堪憂。
- 網(wǎng)絡(luò)帶寬被各類業(yè)務(wù)隨意擠占,服務(wù)質(zhì)量要求最高的語音、視頻業(yè)務(wù)的帶寬得不到保障,造成用戶體驗(yàn)差。
通過ACL可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中報(bào)文流的精確識(shí)別和控制,達(dá)到控制網(wǎng)絡(luò)訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的,從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。
圖1是一個(gè)典型的ACL應(yīng)用組網(wǎng)場景。
圖1 ACL典型應(yīng)用場景
- 某企業(yè)為保證財(cái)務(wù)數(shù)據(jù)安全,禁止研發(fā)部門訪問財(cái)務(wù)服務(wù)器,但總裁辦公室不受限制。實(shí)現(xiàn)方式:
- 保護(hù)企業(yè)內(nèi)網(wǎng)環(huán)境安全,防止Internet病毒入侵。實(shí)現(xiàn)方式:
ACL的基本原理
ACL由一系列規(guī)則組成,通過將報(bào)文與ACL規(guī)則進(jìn)行匹配,設(shè)備可以過濾出特定的報(bào)文。ACL的組成
一條ACL的結(jié)構(gòu)組成,如圖2所示。圖2 ACL的結(jié)構(gòu)組成
- ACL編號(hào):用于標(biāo)識(shí)ACL,表明該ACL是數(shù)字型ACL。
除了可以通過ACL編號(hào)標(biāo)識(shí)ACL,設(shè)備還支持通過名稱來標(biāo)識(shí)ACL,就像用域名代替IP地址一樣,更加方便記憶。這種ACL,稱為命名型ACL。
命名型ACL實(shí)際上是“名字+數(shù)字”的形式,可以在定義命名型ACL時(shí)同時(shí)指定ACL編號(hào)。如果不指定編號(hào),則由系統(tǒng)自動(dòng)分配。
-
規(guī)則:即描述報(bào)文匹配條件的判斷語句。
- 規(guī)則編號(hào):用于標(biāo)識(shí)ACL規(guī)則。可以自行配置規(guī)則編號(hào),也可以由系統(tǒng)自動(dòng)分配。
- 動(dòng)作:包括permit/deny兩種動(dòng)作,表示允許/拒絕。
- 匹配項(xiàng):ACL定義了極其豐富的匹配項(xiàng)。除了圖2中的源地址和生效時(shí)間段,ACL還支持很多其他規(guī)則匹配項(xiàng)。例如,二層以太網(wǎng)幀頭信息(如源MAC、目的MAC、以太幀協(xié)議類型)、三層報(bào)文信息(如目的地址、協(xié)議類型)以及四層報(bào)文信息(如TCP/UDP端口號(hào))等。
ACL的匹配機(jī)制
設(shè)備將報(bào)文與ACL規(guī)則進(jìn)行匹配時(shí),遵循“一旦命中即停止匹配”的機(jī)制,如圖3所示。圖3 ACL的匹配機(jī)制
- 如果ACL不存在,則返回ACL匹配結(jié)果為:不匹配。
-
如果ACL存在,則查找設(shè)備是否配置了ACL規(guī)則。
- 如果規(guī)則不存在,則返回ACL匹配結(jié)果為:不匹配。
-
如果規(guī)則存在,則系統(tǒng)會(huì)從ACL中編號(hào)最小的規(guī)則開始查找。
- 如果匹配上了permit規(guī)則,則停止查找規(guī)則,并返回ACL匹配結(jié)果為:匹配(允許)。
- 如果匹配上了deny規(guī)則,則停止查找規(guī)則,并返回ACL匹配結(jié)果為:匹配(拒絕)。
- 如果未匹配上規(guī)則,則繼續(xù)查找下一條規(guī)則,以此循環(huán)。如果一直查到最后一條規(guī)則,報(bào)文仍未匹配上,則返回ACL匹配結(jié)果為:不匹配。
- 匹配(命中規(guī)則):指存在ACL,且在ACL中查找到了符合匹配條件的規(guī)則。
- 不匹配(未命中規(guī)則):指不存在ACL,或ACL中無規(guī)則,再或者在ACL中遍歷了所有規(guī)則都沒有找到符合匹配條件的規(guī)則。
以上文章由北京艾銻無限科技發(fā)展有限公司整理
相關(guān)文章
- [網(wǎng)絡(luò)服務(wù)]保護(hù)無線網(wǎng)絡(luò)安全的十大
- [網(wǎng)絡(luò)服務(wù)]無線覆蓋 | 無線天線對(duì)信
- [網(wǎng)絡(luò)服務(wù)]綜合布線 | 綜合布線發(fā)展
- [數(shù)據(jù)恢復(fù)服務(wù)]電腦運(yùn)維技術(shù)文章:win1
- [服務(wù)器服務(wù)]串口服務(wù)器工作模式-服務(wù)
- [服務(wù)器服務(wù)]串口服務(wù)器的作用-服務(wù)維
- [服務(wù)器服務(wù)]moxa串口服務(wù)器通訊設(shè)置參
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何臨時(shí)關(guān)閉
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何重置IE瀏覽
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|win10系統(tǒng)升級(jí)后
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN簡介
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN技術(shù)的要求
IT電腦維護(hù)外包
關(guān)閉