控制访问列表ACL

日期:2016-02-22 / 人气: / 来源:

ACL

(一)  ACL的定义

ACL(Access  Control List),即访问控制列表,是Cisco IOS所提供的一种访问控制技术,用来控制进入或离开接口的流量。ACL初期仅在路由器上支持,近些年来已经拓展到三层交换机,部分最近的二层交换机和2950之类也开始提供ACL的支持。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式有细微的差别。

(二)ACL基本原理

ACL使用过滤技术、在路由器上读取第三层级第四层包头中的信息如源地址、目的地址、源端口、目的端口、协议和协议信息等,根据预先定义好的规则对包进行过滤,从而达到控制访问控制的目的。

(三)  ACL的作用

1)       安全控制:访问控制列表可以允许一些符合匹配准则的数据包通过路由器,而丢弃其他不符合匹配准则的数据包,从而达到为网络提供安全访问功能的目的。

2)       流量过滤:访问控制列表可以拒绝一些不必要的数据包通过网络,以提高带宽的利用率,这在带宽资源有限的广域网上特别有效。

3)       流量标识:访问控制列表还经常和路由器的一些“工具”结合起来使用,例如拨号表,路由策略、QoS等,这些“工具”都需要使用访问控制列表来标识特定的网络流量。

(四)  配置ACL的基本原则

1)       最小特权原则:只给受控制对象完成任务所必须的最小权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。

2)       最靠近受控对象原则:所有的网络层访问权限顺序控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。

3)       默认丢弃原则:在Cisco路由器交换设备中默认的最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。

 

(五)  ACL配置步骤

定义访问表——指定访问表所在应用的接口——定义访问表作用于接口上的方向

 

(六)  使用ACL时需注意的几个问题

1)       在定义访问控制列表时,要贴别注意语句输入的先后顺序,因为路由器在执行该列表时的顺序是自上而下的。

2)       在接口上引用访问控制列表时,使用in或out子命令。这里的in和out是指以路由器本身为参考点,数据包是进入(in)还是离开(out)路由器。

3)       为了减少网络流量,标准ACL要尽量靠近目的端,而拓展ACL要尽量靠近源端。

4)       不要忘记把ACL应用在端口上。

5)       在ACL的配置中,如果要删除一条表项,其结果是删掉全部的ACL,所以在配置时一定要小心。

(七)  结语

ACL是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。但ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第三层包头中的部分信息,这种技术聚友一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限等级等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。





作者:


Go To Top 回顶部