?在計(jì)算機(jī)網(wǎng)絡(luò)世界中,ACL是最基本的安全組件之一,是一種監(jiān)視傳入和傳出流量并將其與一組定義的語句進(jìn)行比較的功能。


【資料圖】

ACL 主要存在于具有包過濾功能的網(wǎng)絡(luò)設(shè)備中,包括路由器和交換機(jī)。

本文瑞哥將用圖解的形式帶大家揭開ACL的神秘面紗。

讓我們直接開始!

什么是ACL?英文全稱:Access Control List中文名稱:訪問控制列表

ACL是一個規(guī)則列表,用于指定允許或拒絕哪些用戶或系統(tǒng)訪問特定對象或系統(tǒng)資源,訪問控制列表也安裝在路由器或交換機(jī)中,它們充當(dāng)過濾器,管理哪些流量可以訪問網(wǎng)絡(luò)。

ACL類型

ACL一般有兩種類型:

ACL類型文件系統(tǒng)ACL:一般是過濾對文件和/或目錄的訪問。網(wǎng)絡(luò)ACL:過濾對網(wǎng)絡(luò)的訪問,一般用于網(wǎng)絡(luò)設(shè)備,比如路由器、交換機(jī)等。

本文會著重介紹網(wǎng)絡(luò)ACL。

ACL優(yōu)點(diǎn)

ACL優(yōu)點(diǎn)非常多,比如:

通過限制網(wǎng)絡(luò)流量幫助提高網(wǎng)絡(luò)性能通過定義權(quán)限和訪問權(quán)限來提供安全性對進(jìn)入網(wǎng)絡(luò)的流量提供精細(xì)控制為什么使用ACL?

ACL 起到維護(hù)網(wǎng)絡(luò)流量正常流動的作用,這種對網(wǎng)絡(luò)流量的監(jiān)管是維護(hù)組織或網(wǎng)絡(luò)安全的主要方式,訪問控制列表有助于限制似乎不適合組織安全的流量,從而最終實(shí)現(xiàn)更好的網(wǎng)絡(luò)性能。

使用訪問控制列表的主要原因是維護(hù)網(wǎng)絡(luò)的安全并保護(hù)它免受易受攻擊和危險(xiǎn)的嘗試,如果消息在未經(jīng)過濾的情況下通過網(wǎng)絡(luò)傳輸,則將組織置于危險(xiǎn)之中的機(jī)會就會增加。

通過使用訪問控制列表,為網(wǎng)絡(luò)授予特定的安全級別,來規(guī)范所有那些被授權(quán)和未被授權(quán)由用戶使用的服務(wù)器、網(wǎng)絡(luò)和服務(wù),此外,ACL 有助于監(jiān)控進(jìn)入和離開系統(tǒng)的所有數(shù)據(jù)。

ACL控制

如圖,SW3和SW1由于ACL的控制,不允許訪問,SW4到SW2允許訪問。

ACL的組成

ACL 是一組規(guī)則或條目,每臺設(shè)備可以設(shè)置一個包含單個或多個條目的 ACL,其中每個條目可以設(shè)置不同的規(guī)則,允許或拒絕某種流量。

一般ACL有以下部分:

ACL的組成

ACL編號

標(biāo)識ACL條目的代碼。

ACL名稱

ACL 名稱也可以用來標(biāo)識 ACL 條目。

備注

可以為ACl添加注釋或詳細(xì)描述

ACL語句

就是寫一些拒絕或者允許流量的語句,這個很重要,后面會詳細(xì)講。

網(wǎng)絡(luò)協(xié)議

比如IP、TCP、UDP、IPX 等,可以根據(jù)這些網(wǎng)絡(luò)協(xié)議編寫規(guī)則。

源地址、目的地址

就是這些ACL規(guī)則針對的出入地址,比如你的電腦訪問公司服務(wù)器,那么你的電腦就是源地址,公司的服務(wù)器就是目的地址。

源地址、目的地址

日志

傳入和傳出的流量可以用ACL日志功能去記錄,用來統(tǒng)計(jì)或者排查網(wǎng)絡(luò)問題。

ACL的分類

從大的方向講ACL分為四大類:

ACL的分類

標(biāo)準(zhǔn) ACL

這是安全性最弱的基本 ACL,只查看源地址。

以下是編號是5號的ACL,是標(biāo)準(zhǔn) ACL,允許172.16.1.0/24的網(wǎng)絡(luò):

access-list 5 permit 172.16.1.0 0.0.0.255擴(kuò)展 ACL

更高級的 ACL,能夠根據(jù)其協(xié)議信息阻止整個網(wǎng)絡(luò)和流量。

以下是編號為150號的ACl,如果目標(biāo)將 HTTP 端口 80 作為主機(jī)端口,允許從172.16.1.0/24網(wǎng)絡(luò)到任何IPv4網(wǎng)絡(luò)的所有流量:

access-list 200 permit tcp 172.16.1.0 0.0.0.255 any eq www動態(tài) ACL

更安全的 ACL,它利用身份驗(yàn)證、擴(kuò)展 ACL 和 Telnet,只允許用戶在經(jīng)過身份驗(yàn)證過程后訪問網(wǎng)絡(luò)。

自反 ACL

將會話過濾功能添加到其他 ACL 類型的數(shù)據(jù)包過濾功能中,也被稱為IP 會話 ACL,使用上層會話詳細(xì)信息來過濾流量。

自反 ACL 不能直接應(yīng)用于接口,通常嵌套在擴(kuò)展的命名訪問列表中,不支持在會話期間更改端口號的應(yīng)用程序,例如 FTP 客戶端。

ACL 規(guī)則ACL 規(guī)則按順序匹配的,假如有多行,一定是從第一行開始,一直到最后一行。每個 ACL 的末尾都有一個隱式拒絕,如果沒有條件或規(guī)則匹配,則數(shù)據(jù)包將被丟棄。一般會有出站和入站ACL,每個方向每個協(xié)議每個接口只能分配一個 ACL,即每個接口只允許一個入站和出站 ACL。盡可能使用備注和日志提供有關(guān) ACL 的詳細(xì)信息,以便于后期排查問題和記憶。ACL使用場景

ACL使用場景

一般情況下就是這三種情況:

NAT

在地址轉(zhuǎn)換的時(shí)候,內(nèi)外網(wǎng)安全性考慮,會設(shè)置大量的ACL去控制網(wǎng)絡(luò)流量。

防火墻

這個就不用說了,防火墻干的事情就是ACL的規(guī)則。

QoS

這個一般在流策略中比較常見,控制不同網(wǎng)段的用戶對流量的訪問權(quán)。

一般來說,ACL使用場景逃不過這三種情況,即使有其他的情況,肯定也是可以用這三種情況去概況聯(lián)想的。

總結(jié)

ACL是一組允許或拒絕訪問計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)則,網(wǎng)絡(luò)設(shè)備,即路由器和交換機(jī),將 ACL 語句應(yīng)用于入站和出站網(wǎng)絡(luò)流量,從而控制哪些流量可以通過網(wǎng)絡(luò)。?

標(biāo)簽: