當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)技巧>正文

輕松學(xué)習(xí)理解ACL訪問控制列表

http://m.yibo1263.com　2008/8/20 8:28:59 　來源:51CTO 　編輯:葉子

　　任何企業(yè)網(wǎng)絡(luò)系統(tǒng)在為創(chuàng)造價(jià)值的同時(shí)，對安全性也有很高的要求。ACL（網(wǎng)絡(luò)層訪問控制列表）其實(shí)可以幫助企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略，可以說ACL是一個(gè)很不錯(cuò)的解決工具或方案。

　　那什么是ACL呢？為了幫助企業(yè)網(wǎng)絡(luò)運(yùn)維人員深入理解ACL，可以根據(jù)以下幾點(diǎn)看透ACL本質(zhì)。

　　一、從名稱解析ACL

　　ACL：Acess Control List，即訪問控制列表。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。

　　信息點(diǎn)間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。

　　二、看透ACL的本質(zhì)

　　通常，很多企業(yè)都在使用NAT技術(shù)進(jìn)行地址轉(zhuǎn)換，而NAT技術(shù)中就包含了ACL的應(yīng)用。通過ACL，我們可以控制哪些私有地址能上外網(wǎng)（公網(wǎng)），哪些不能。然后把這些過濾好的數(shù)據(jù)，進(jìn)行NAT轉(zhuǎn)換。另外，企業(yè)也需要對服務(wù)器的資源訪問進(jìn)行控制，通過ACL過濾出哪些用戶不能訪問，哪些用戶能訪問。

　　從實(shí)際應(yīng)用中，我們看到ACL能夠區(qū)分不同的數(shù)據(jù)流。這也意味著ACL的本質(zhì)其實(shí)是一種流量分類技術(shù)，它是人為定義的一組或幾組規(guī)則，目的是通過網(wǎng)絡(luò)設(shè)備對數(shù)據(jù)流分類，以便執(zhí)行用戶規(guī)定的動作。換句話說，ACL本身不能直接達(dá)到訪問控制的目的，它間接輔助特定的用戶策略，達(dá)到人們所需效果的一種技術(shù)手段。在筆者看來，ACL是一種輔助型的技術(shù)或者說是工具。

　　三、玩轉(zhuǎn)基本的ACL

　　拓?fù)涿枋觯耗称髽I(yè)有100個(gè)信息點(diǎn)，分屬五個(gè)部門。用一臺二層交換機(jī)和一臺路由器作為網(wǎng)絡(luò)層設(shè)備；局域網(wǎng)內(nèi)部有一臺OA服務(wù)器。

　　組網(wǎng)需求：五個(gè)部門分屬5個(gè)VLAN，VLAN間不能互通。要求所有終端都可以上公網(wǎng)，并訪問OA服務(wù)器。

　　也就是說，有兩個(gè)需求：

　　1、5個(gè)部門的終端不能互相通訊

　　2、5個(gè)部門都要求能夠訪問OA SERVER和公網(wǎng)。

　　根據(jù)這兩種實(shí)際需求，怎么用ACL實(shí)現(xiàn)呢？

　　以Cisco路由器為例，在全局模式下進(jìn)行如下配置：

　　access-list 100 permit ip any host OA的ip

　　access-list 100 deny ip any ip網(wǎng)絡(luò)號通配符

　　access-list 100 permit ip any any

　　然后在相應(yīng)的子接口下綁定:

　　ip access-group 100 in

　　命令解釋：第一條就是允許OA服務(wù)器上的數(shù)據(jù)進(jìn)入，第二條就是拒絕其它四個(gè)部門的數(shù)據(jù)流進(jìn)入，第三條是允許所有流量進(jìn)入，然后最后在相應(yīng)接口綁定并啟用放通或丟棄的操作。

　　我們配置ACL都有幾個(gè)配置原則，細(xì)化優(yōu)先原則和最長匹配原則，不同的配置順序影響不同的執(zhí)行效果。通常都是按一個(gè)匯總的原則進(jìn)行規(guī)劃IP地址，所以第二條后面的IP網(wǎng)絡(luò)號代表的是其它VLAN的子網(wǎng)匯總網(wǎng)絡(luò)號。一般來說，思科的ACL最后都默認(rèn)隱藏了一條deny 所有的語句，所以必須人為添加一條permit語句。

　　在邊界路由器上配置上述的命令，就能滿足需求了，當(dāng)然還需要和其他配置命令相結(jié)合使用，比如劃分VLAN，配置路由協(xié)議等。但無論是怎樣的需求，只要記住ACL的核心，它是一種流量分類技術(shù)，可以用特定的方式標(biāo)記和分類網(wǎng)絡(luò)中的流量，配合其它操作策略一起完成某項(xiàng)任務(wù)。只要明白這點(diǎn)，我們就能夠玩好基本的ACL了。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费