大部分企業(yè)現(xiàn)在存在一種狀況,就是網(wǎng)絡(luò)訪(fǎng)問(wèn)無(wú)序的狀態(tài)。如所有公司的員工都可以隨意反問(wèn)財(cái)務(wù)部門(mén)的電腦;如在開(kāi)集團(tuán)的視頻會(huì)議的時(shí)候,其他員工下載電影或者游戲浪費(fèi)了寶貴的帶寬,導(dǎo)致視頻會(huì)議不怎么連貫;如為了管理的方便,大開(kāi)Telnet端口,對(duì)于這個(gè)威脅視若無(wú)睹,等等。其實(shí),對(duì)于這些問(wèn)題,都可以通過(guò)訪(fǎng)問(wèn)控制列表來(lái)實(shí)現(xiàn)。筆者將通過(guò)一系列的文章,來(lái)跟大家分享訪(fǎng)問(wèn)控制列表的使用方法與使用技巧,跟大家一起利用訪(fǎng)問(wèn)控制列表來(lái)提高網(wǎng)絡(luò)的管理。
我們?cè)谄髽I(yè)日常網(wǎng)絡(luò)的管理中,經(jīng)常會(huì)遇到一些進(jìn)退兩難的問(wèn)題。如我們即要保障網(wǎng)絡(luò)點(diǎn)暢通,同時(shí),也必須設(shè)法拒絕那些不希望的網(wǎng)絡(luò)連接。雖然,我們也可以通過(guò)其他的一些方式,如密碼、權(quán)限、虛擬局域網(wǎng)等功能實(shí)現(xiàn)這些目的,但是,他們的管理往往是單一的,也就是說(shuō),只能實(shí)現(xiàn)一些獨(dú)立的管理功能,或者缺乏管理的靈活性。而訪(fǎng)問(wèn)控制列表,則給我們網(wǎng)絡(luò)管理員提供了一個(gè)網(wǎng)絡(luò)控制的平臺(tái)。他就好象一個(gè)連通兩個(gè)國(guó)家的邊關(guān)要地,我們可以根據(jù)各種需要,允許某些人通過(guò),而其他人則不允許,或者說(shuō)有些人可以自由無(wú)阻的在兩個(gè)國(guó)家內(nèi)通行,而有些人則必須憑證件才能夠通行;如當(dāng)?shù)缆贩泵r(shí),我們可以設(shè)置哪些人具有優(yōu)先通行權(quán);如我們可以設(shè)置每天的通行數(shù)量,等等。
這個(gè)訪(fǎng)問(wèn)控制列表是路由器上的一個(gè)服務(wù),他結(jié)合路由器的基本功能,來(lái)實(shí)現(xiàn)對(duì)于訪(fǎng)問(wèn)流量的過(guò)濾與控制。實(shí)際上,訪(fǎng)問(wèn)控制列表就是一串連續(xù)的語(yǔ)句的集合,這些語(yǔ)句定義了哪些流量可以通過(guò),哪些不可以通過(guò);同時(shí)也定義了哪些流量具有優(yōu)先性等等。
具體的來(lái)說(shuō),訪(fǎng)問(wèn)控制列表可以起到如下作用:
1、 可以限制員工對(duì)外部網(wǎng)絡(luò)的有限訪(fǎng)問(wèn)
若在企業(yè)內(nèi)網(wǎng)與外網(wǎng)的接口處,部署路由器的訪(fǎng)問(wèn)控制列表的話(huà),則可以決定哪種類(lèi)型的通信流量杯轉(zhuǎn)發(fā)、哪些類(lèi)型的通信流量被禁止等等。例如,我們可以允許只有Email的通信流量被允許,而其他類(lèi)型的通信流量都會(huì)被路由器所禁止。根據(jù)這個(gè)控制規(guī)則,則就可以限制用戶(hù)內(nèi)與外部網(wǎng)絡(luò)的訪(fǎng)問(wèn),只允許員工接收外部郵件,而不能進(jìn)行其他的網(wǎng)絡(luò)訪(fǎng)問(wèn)。通過(guò)類(lèi)似的規(guī)則,還可以限制員工訪(fǎng)問(wèn)外部的WEB服務(wù)器(禁止瀏覽網(wǎng)頁(yè))、限制員工訪(fǎng)問(wèn)FTP服務(wù)器(不允許像外部的FTP服務(wù)器上傳公司內(nèi)部的資料,從而保護(hù)企業(yè)內(nèi)部信息安全)、限制員工使用BT下載工具(BT工具由于其又是下載工具又是一個(gè)上載的服務(wù)器,會(huì)占用比較大的帶寬,所以,應(yīng)該禁止使用),等等。總之,若把帶有訪(fǎng)問(wèn)控制列表的路由器部署在企業(yè)內(nèi)網(wǎng)與外網(wǎng)的接口上,網(wǎng)絡(luò)管理員就可以根據(jù)協(xié)議、端口、IP地址等等各種參數(shù)以及相互的結(jié)合來(lái)對(duì)員工的網(wǎng)絡(luò)行為進(jìn)行管理控制。
2、 提供網(wǎng)絡(luò)訪(fǎng)問(wèn)的限制
若從企業(yè)內(nèi)部考慮,有時(shí)會(huì)企業(yè)可能希望財(cái)務(wù)部門(mén)的電腦除了總經(jīng)理辦公室可以訪(fǎng)問(wèn)之外,而其他辦公室都不能訪(fǎng)問(wèn);但是,財(cái)務(wù)部門(mén)的電腦則可以訪(fǎng)問(wèn)其他部門(mén)的電腦,如他們?cè)L問(wèn)行政部門(mén)的電腦,等等。雖然通過(guò)虛擬局域網(wǎng)也可以實(shí)現(xiàn)網(wǎng)絡(luò)的隔離,但是,他是雙向的,也就是說(shuō)要么兩個(gè)部門(mén)的網(wǎng)絡(luò)都不能相互訪(fǎng)問(wèn),要么就是兩個(gè)部門(mén)的電腦可以暢通無(wú)阻的訪(fǎng)問(wèn),而不能實(shí)現(xiàn)這個(gè)有限制的訪(fǎng)問(wèn),除非為其設(shè)置具體的訪(fǎng)問(wèn)權(quán)限等等。一般情況下,我們可以把一些重要的部門(mén)設(shè)置成一個(gè)獨(dú)立的網(wǎng)絡(luò),然后利用路由器對(duì)于彼此的訪(fǎng)問(wèn)進(jìn)行控制。
如筆者企業(yè)現(xiàn)在就把產(chǎn)品開(kāi)發(fā)部門(mén)設(shè)置成了一個(gè)獨(dú)立的網(wǎng)絡(luò),他們這個(gè)部門(mén)的網(wǎng)絡(luò),全體部門(mén)的員工都不能在網(wǎng)絡(luò)上找到他們的蹤影;這個(gè)部門(mén)網(wǎng)絡(luò)上的一些共享文件,也不能夠被其他部門(mén)的人訪(fǎng)問(wèn)。其他部門(mén)的員工若需要向這個(gè)部門(mén)傳遞信息的話(huà),則只能夠通過(guò)書(shū)面的傳遞或者通過(guò)U盤(pán)等工具(這些工具的使用也被嚴(yán)格的監(jiān)督控制)復(fù)制傳遞。總之,這么處理的話(huà),是為了保障產(chǎn)品開(kāi)發(fā)部門(mén)資料的安全性,以及產(chǎn)品開(kāi)發(fā)設(shè)計(jì)系統(tǒng)的正常運(yùn)轉(zhuǎn),不受到外部網(wǎng)絡(luò)的功能。不過(guò),同時(shí),產(chǎn)品部門(mén)的網(wǎng)絡(luò)要能夠連接到企業(yè)的文件備份服務(wù)器,他們電腦上的文件必須及時(shí)的在企業(yè)的文件備份服務(wù)器上進(jìn)行備份,以保障文件的安全。
3、 管理網(wǎng)絡(luò)流量、對(duì)網(wǎng)絡(luò)流量進(jìn)行優(yōu)化
網(wǎng)絡(luò)管理員還可以利用網(wǎng)絡(luò)控制列表,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的控制,并且對(duì)網(wǎng)絡(luò)流量進(jìn)行適當(dāng)?shù)膬?yōu)化。
如筆者的企業(yè)現(xiàn)在部署了網(wǎng)絡(luò)視頻會(huì)議系統(tǒng),有時(shí)會(huì)集團(tuán)各個(gè)子公司的領(lǐng)導(dǎo)需要開(kāi)視頻會(huì)議;有時(shí)候銷(xiāo)售總監(jiān)也需要對(duì)國(guó)外的客戶(hù)進(jìn)行視頻溝通等等。我們都知道,視頻會(huì)帶來(lái)很大的數(shù)據(jù)流量,而且,保障視頻的連續(xù)性與流暢性,也是一個(gè)不小的挑戰(zhàn)。如何在視頻的時(shí)候,保障視頻的連續(xù)性與流暢性呢?為了達(dá)到這個(gè)目的,我們首先需要保障視頻流量的有限性。如當(dāng)他們?cè)谶M(jìn)行視頻會(huì)議時(shí),若網(wǎng)絡(luò)比較繁忙,則我們必須保障視頻會(huì)議的流量能夠優(yōu)先被放行。這就好像救護(hù)車(chē),載著重傷病人,當(dāng)其拉響警報(bào)時(shí),其他車(chē)輛必須為其讓道,其也有闖紅燈的特權(quán)。若其他車(chē)不讓道時(shí),就是違法,就可能得到交警的處罰。而采用訪(fǎng)問(wèn)控制列表,就可以做到這一點(diǎn)。如訪(fǎng)問(wèn)控制列表,可以根據(jù)數(shù)據(jù)包的協(xié)議類(lèi)型,我們可以事先指定這種視頻會(huì)議的協(xié)議類(lèi)型具有比較高的優(yōu)先性,在同等情況下,會(huì)被路由器優(yōu)先處理。如此的話(huà),一些重要協(xié)議的數(shù)據(jù)包,就可以實(shí)現(xiàn)比較高的優(yōu)先性。
同時(shí),還可以在不影響網(wǎng)絡(luò)性能的情況下,開(kāi)通一些限制級(jí)別的服務(wù)。如雖然BT等下載工具會(huì)占用比較大的帶寬,但是,其存在也有其的特殊優(yōu)勢(shì),就是下載速度特別快。而現(xiàn)在我們通過(guò)訪(fǎng)問(wèn)控制列表,可以把BT類(lèi)型的數(shù)據(jù)優(yōu)先級(jí)別設(shè)置為最低,如此的話(huà),就可以實(shí)現(xiàn),在不影響網(wǎng)絡(luò)性能的情況下,運(yùn)行BT軟件。因?yàn)楫?dāng)網(wǎng)絡(luò)繁忙的時(shí)候,BT類(lèi)型的數(shù)據(jù)包會(huì)被暫時(shí)放放,其他類(lèi)型的數(shù)據(jù)包會(huì)優(yōu)先被路由器處理。如此的話(huà),就可以把BT軟件給網(wǎng)絡(luò)帶來(lái)的負(fù)面影響將到最低,同時(shí),在閑暇的時(shí)候,如下班后,仍然可以正常使用BT等下載工具,提高網(wǎng)絡(luò)管理的靈活性。
由此我們也可以獲得這么一個(gè)信息,利用訪(fǎng)問(wèn)控制列表,可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的靈活管理與控制。而不是像其他控制手段,如虛擬局域網(wǎng)或者憑用戶(hù)名與密碼訪(fǎng)問(wèn)那樣,利用一幫子打死的策略。
上面是筆者對(duì)于訪(fǎng)問(wèn)控制列表的一些基本介紹。在后續(xù)的文章中,筆者將結(jié)合自己企業(yè)的配置實(shí)例,講述在企業(yè)網(wǎng)絡(luò)中如何通過(guò)訪(fǎng)問(wèn)控制列表,來(lái)提高對(duì)于網(wǎng)絡(luò)的掌控。為了能夠深刻的說(shuō)明問(wèn)題,在后續(xù)的文章中,會(huì)采用比較多的實(shí)例以及注意技巧,筆者相信,通過(guò)這些文章,你或許還不能成為一個(gè)訪(fǎng)問(wèn)控制列表的專(zhuān)家,但是,會(huì)對(duì)訪(fǎng)問(wèn)控制列表有一個(gè)整體的認(rèn)識(shí)。俗話(huà)說(shuō),師傅領(lǐng)進(jìn)門(mén),修行在自身。相信大家通過(guò)自己的實(shí)踐,會(huì)成為這方面對(duì)高手。
#p#副標(biāo)題#e#
案例一:拒絕某個(gè)IP地址訪(fǎng)問(wèn)互聯(lián)網(wǎng)
現(xiàn)在某個(gè)企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)大致如下:
公司的網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單,一臺(tái)路由器連接交換機(jī),然后再連接終端電腦,路由器作為企業(yè)內(nèi)網(wǎng)與外網(wǎng)連接的通信口。現(xiàn)在的問(wèn)題是,企業(yè)在網(wǎng)絡(luò)管理員,可能需要限制某些IP地址,他們不能夠訪(fǎng)問(wèn)互聯(lián)網(wǎng)。但是,他們可以訪(fǎng)問(wèn)連接在路由器上的服務(wù)器。針對(duì)企業(yè)的這種需求,訪(fǎng)問(wèn)控制列表該如何實(shí)現(xiàn)呢?下面我們就以拒絕一個(gè)IP地址為例,談?wù)勗撊绾卧O(shè)置訪(fǎng)問(wèn)控制列表,多個(gè)IP地址也是類(lèi)似的道理。假設(shè)用戶(hù)電腦的IP地址為192.168.0.10,我們現(xiàn)在需要拒絕這個(gè)IP地址訪(fǎng)問(wèn)互聯(lián)網(wǎng)。
首先,我們來(lái)看看訪(fǎng)問(wèn)控制列表的設(shè)置。
Access-list 1 deny host 192.168.0.10 0.0.0.0
Access-list 1 permit 0.0.0.0 255.255.255.255
只要在路由器上配置這兩條簡(jiǎn)單的訪(fǎng)問(wèn)控制列表語(yǔ)句,就可以達(dá)到限制192.168.0.10這個(gè)IP地址訪(fǎng)問(wèn)互聯(lián)網(wǎng)。然后把這個(gè)訪(fǎng)問(wèn)控制列表關(guān)聯(lián)到互聯(lián)網(wǎng)的出站端口即可。
在寫(xiě)以上的訪(fǎng)問(wèn)控制列表語(yǔ)句的時(shí)候,我們需要注意以下幾點(diǎn):
1、要注意語(yǔ)句的順序。我們?cè)谏掀恼轮校劦竭^(guò)訪(fǎng)問(wèn)控制列表其實(shí)就是各種允許或者拒絕語(yǔ)句的集合。不過(guò),其還有一個(gè)特點(diǎn),就是其是根據(jù)從上到下的語(yǔ)句來(lái)判斷的。當(dāng)?shù)谝粋€(gè)條件滿(mǎn)足時(shí),就不會(huì)去判斷第二條語(yǔ)句。如現(xiàn)在有一個(gè)來(lái)自于192.168.0.10的數(shù)據(jù)包,他要發(fā)送到互聯(lián)網(wǎng)上。則在路由器進(jìn)行檢查的時(shí)候,他從數(shù)據(jù)包中獲得IP地址,然后根據(jù)這個(gè)IP地址來(lái)核對(duì)訪(fǎng)問(wèn)控制列表。當(dāng)他看到訪(fǎng)問(wèn)控制列表中,第一條語(yǔ)句就是拒絕192.168.0.10這個(gè)IP地址訪(fǎng)問(wèn)互聯(lián)網(wǎng)的話(huà),則其就不會(huì)去判斷第二條語(yǔ)句/。假設(shè)我們現(xiàn)在把第一條語(yǔ)句跟第二條語(yǔ)句進(jìn)行對(duì)換的話(huà),又會(huì)有什么結(jié)果發(fā)生呢?當(dāng)路由器接到192.168.0.10發(fā)來(lái)的數(shù)據(jù)包,然后核對(duì)訪(fǎng)問(wèn)控制列表中的語(yǔ)句。而“Access-list 1 permit 0.0.0.0 255.255.255.255”這條語(yǔ)句的意思則是允許所有的IP地址從這個(gè)端口轉(zhuǎn)發(fā)出去。也就是說(shuō),也允許來(lái)自于192.168.0.10的數(shù)據(jù)包從這個(gè)端口出去。而這一條語(yǔ)句滿(mǎn)足的時(shí)候,第二條語(yǔ)句“Access-list 1 deny host 192.168.0.10 0.0.0.0”就不會(huì)被執(zhí)行。此時(shí),主機(jī)192.168.0.10就可以光明正大的訪(fǎng)問(wèn)互聯(lián)網(wǎng)。這就達(dá)不到企業(yè)所期望的控制要求。所以,若訪(fǎng)問(wèn)控制列表中的語(yǔ)句順序出現(xiàn)顛倒的話(huà),則最后出現(xiàn)的結(jié)果可能是跟用戶(hù)預(yù)先期待的會(huì)大相徑庭。
2、訪(fǎng)問(wèn)控制列表的名字是用數(shù)字來(lái)表示的。如上面語(yǔ)句中的1,就表示這是一號(hào)訪(fǎng)問(wèn)控制列表。把訪(fǎng)問(wèn)控制列表關(guān)聯(lián)到具體的路由器端口時(shí),也是利用這個(gè)數(shù)字進(jìn)行關(guān)聯(lián)。不過(guò)這里要注意一個(gè)潛規(guī)則。一般訪(fǎng)問(wèn)控制列表分為兩類(lèi),一是標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表,二是擴(kuò)展的訪(fǎng)問(wèn)控制列表。為了管理的方便,一般1-99之間的數(shù)字用來(lái)表示是標(biāo)準(zhǔn)的訪(fǎng)問(wèn)控制列表。而100到199之間,就表示路由器將用擴(kuò)展的訪(fǎng)問(wèn)控制列表?xiàng)l件來(lái)進(jìn)行判斷。一般在定義訪(fǎng)問(wèn)控制列表的時(shí)候,最好大家都要遵守這個(gè)規(guī)則。因?yàn)橛袝r(shí)會(huì),可能不僅一個(gè)網(wǎng)絡(luò)管理員來(lái)管理路由器。
3、訪(fǎng)問(wèn)控制列表配置四步走。雖然在官方的文檔上,一般把訪(fǎng)問(wèn)控制列表的配置分成兩步,不過(guò),在實(shí)際工作中,筆者還是喜歡把他分為四個(gè)步驟,如此的話(huà),可以減少錯(cuò)誤的發(fā)生。第一步就是書(shū)寫(xiě)需求。從上面我們可以看出,訪(fǎng)問(wèn)控制列表就是一條條條件語(yǔ)句的集合,而且對(duì)于條件的順序非常敏感。為此,我們?cè)谧鲈L(fǎng)問(wèn)控制列表之前,需要先對(duì)用戶(hù)的需求進(jìn)行整理,先在紙上對(duì)于各條判斷語(yǔ)句做出順序的調(diào)整。第二步先在路由器模擬器上進(jìn)行測(cè)試。因?yàn)槁酚善鞯母膭?dòng)會(huì)影響整個(gè)網(wǎng)絡(luò)的運(yùn)行,所以,在對(duì)路由器進(jìn)行任何調(diào)整之前,筆者的建議是現(xiàn)在路由器的模擬器上進(jìn)行測(cè)試。像CISCO就提供了一些很好的路由模擬器,企業(yè)可以在這些模擬器上測(cè)試自己配置的準(zhǔn)確性。第三步在路由器上寫(xiě)訪(fǎng)問(wèn)控制列表語(yǔ)句。當(dāng)測(cè)試沒(méi)有問(wèn)題的時(shí)候,就把訪(fǎng)問(wèn)控制列表語(yǔ)句移植到路由器上。第四步把訪(fǎng)問(wèn)控制列表語(yǔ)句關(guān)聯(lián)到特定的端口。在訪(fǎng)問(wèn)控制列表語(yǔ)句中,沒(méi)有指定這個(gè)訪(fǎng)問(wèn)控制列表用于哪個(gè)端口。只有等訪(fǎng)問(wèn)控制列表完成后,把這個(gè)訪(fǎng)問(wèn)控制列表關(guān)聯(lián)到特定的路由器端口,這個(gè)訪(fǎng)問(wèn)控制列表才會(huì)起作用。
4、訪(fǎng)問(wèn)控制列表建立之后,如果需要更改訪(fǎng)問(wèn)控制列表,該怎么辦呢?如我們現(xiàn)在想讓192.168.0.10這個(gè)Ip地址訪(fǎng)問(wèn)互聯(lián)網(wǎng),而是想禁止102.168.0.60這個(gè)IP地址。一般來(lái)說(shuō),用戶(hù)是不能直接更改這個(gè)訪(fǎng)問(wèn)控制列表的,即使更改了也沒(méi)有作用。而是必須先用命令刪除整個(gè)訪(fǎng)問(wèn)控制列表,然后再重新建立并進(jìn)行端口的關(guān)聯(lián)。另外需要注意的是,沒(méi)一條新建的條件語(yǔ)句都被安置在訪(fǎng)問(wèn)控制列表的最后面。還有就是,訪(fǎng)問(wèn)控制列表建立之后,若想通過(guò)行序號(hào)刪除訪(fǎng)問(wèn)控制列表中的某條語(yǔ)句,也是不可以的。如在上面這個(gè)訪(fǎng)問(wèn)控制列表中,如果現(xiàn)在網(wǎng)絡(luò)管理員加入“Access-list 1 deny host 192.168.0.60 0.0.0.0”這條條件語(yǔ)句。網(wǎng)絡(luò)管理員原來(lái)的設(shè)想是同時(shí)拒絕192.168.0.10與192.168.0.60兩臺(tái)主機(jī)訪(fǎng)問(wèn)互聯(lián)網(wǎng)絡(luò),可是,若在原有的訪(fǎng)問(wèn)控制列表中,加入語(yǔ)句的話(huà),則會(huì)變?yōu)椋?/p>
Access-list 1 deny host 192.168.0.10 0.0.0.0
Access-list 1 permit 0.0.0.0 255.255.255.255
Access-list 1 deny host 192.168.0.60 0.0.0.0
而根據(jù)我們上面所講的訪(fǎng)問(wèn)控制列表時(shí)按先后順序進(jìn)行條件語(yǔ)句判斷的,由于第二條語(yǔ)句是允許所有的IP地址訪(fǎng)問(wèn)互聯(lián)網(wǎng)絡(luò),所以,第三條判斷語(yǔ)句永遠(yuǎn)不會(huì)被執(zhí)行。如此的話(huà),就不能達(dá)到用戶(hù)的目的。
如果現(xiàn)在網(wǎng)絡(luò)管理員想刪除第二條語(yǔ)句,然后建一條“Access-list 1 permit 0.0.0.0 255.255.255.255”語(yǔ)句,如此,順序不是對(duì)了嗎?這個(gè)設(shè)想是好的,但是,訪(fǎng)問(wèn)控制列表時(shí)不能夠通過(guò)行序號(hào)來(lái)刪除某個(gè)行的條件語(yǔ)句。所以,如果用戶(hù)需要新加條件語(yǔ)句時(shí),一般只有刪除原先的所有條件語(yǔ)句,然后重新建立。
基于這個(gè)原因,所以,筆者不建議直接在路由器上編輯訪(fǎng)問(wèn)控制列表。而是現(xiàn)在網(wǎng)絡(luò)管理的終端電腦上,利用記事本先編輯好訪(fǎng)問(wèn)控制列表,然后再利用TFTP(簡(jiǎn)單文本傳輸協(xié)議),把這訪(fǎng)問(wèn)控制列表移植到路由器上。如此的話(huà),就可以提高訪(fǎng)問(wèn)控制列表編輯的效率,而且,通過(guò)簡(jiǎn)單的復(fù)制、粘貼還可以減少錯(cuò)誤的發(fā)生。
5、若有多臺(tái)主機(jī)需要拒絕訪(fǎng)問(wèn)互聯(lián)網(wǎng),該如何處理呢?在企業(yè)網(wǎng)絡(luò)的實(shí)際管理中,往往不是一臺(tái)或者幾臺(tái)電腦不能訪(fǎng)問(wèn)互聯(lián)網(wǎng)或者某個(gè)應(yīng)用,而是某幾個(gè)部門(mén)的電腦不能訪(fǎng)問(wèn),如不能使用QQ等。遇到這種情況,若一個(gè)個(gè)的區(qū)制定IP地址,那顯然會(huì)非常的麻煩。此時(shí),我們可以考慮,把這些不能夠訪(fǎng)問(wèn)互聯(lián)網(wǎng)的電腦,對(duì)他們的IP地址盡心規(guī)劃,劃分成一個(gè)子網(wǎng)。然后再訪(fǎng)問(wèn)控制列表中,對(duì)子網(wǎng)進(jìn)行過(guò)濾,而不是對(duì)IP地址進(jìn)行過(guò)濾。如現(xiàn)在網(wǎng)絡(luò)管理員希望對(duì)于192.168.4.0的子網(wǎng)進(jìn)行管理,不允許他們?cè)L問(wèn)互聯(lián)網(wǎng),但是訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)是沒(méi)有限制的。此時(shí),我們就可以按照如下的規(guī)則書(shū)寫(xiě)訪(fǎng)問(wèn)控制列表。
Access-list 1 deny host 192.168.4.0 0.0.0.255
Access-list 1 permit 0.0.0.0 255.255.255.255
如此的話(huà),只要數(shù)據(jù)包的IP地址屬于這個(gè)子網(wǎng)的,則路由器就會(huì)拒絕這些數(shù)據(jù)包通過(guò)其互聯(lián)網(wǎng)接口進(jìn)行轉(zhuǎn)發(fā)。現(xiàn)在利用子網(wǎng)來(lái)進(jìn)行過(guò)濾的話(huà),我們只用了一條條件語(yǔ)句;而我們?nèi)衾脝蝹€(gè)IP地址來(lái)過(guò)濾的話(huà),則這個(gè)子網(wǎng)內(nèi)有多少主機(jī)就需要書(shū)寫(xiě)多少條條件語(yǔ)句。而且,靈活性也很差。如以后我們還需要指定某些IP地址不能訪(fǎng)問(wèn)互聯(lián)網(wǎng)的話(huà),還必須對(duì)訪(fǎng)問(wèn)控制列表進(jìn)行調(diào)整。而我們?nèi)敉ㄟ^(guò)子網(wǎng)的形式進(jìn)行過(guò)濾的話(huà),以后遇到這種需求,只需要把用戶(hù)的電腦歸入到這個(gè)子網(wǎng)內(nèi),如此的話(huà),在不調(diào)整原有訪(fǎng)問(wèn)控制列表的情況下,也可以實(shí)現(xiàn)企業(yè)的網(wǎng)路管理需求。這明顯比按單個(gè)IP地址來(lái)進(jìn)行過(guò)濾,要方便的多。
上面筆者講述的是按IP地址或者子網(wǎng)來(lái)進(jìn)行網(wǎng)絡(luò)過(guò)濾。不過(guò),這有一個(gè)比較大的缺陷,這個(gè)過(guò)濾是“一棒子打死”的過(guò)濾方法。也就是說(shuō),根據(jù)IP地址過(guò)濾的話(huà),則會(huì)過(guò)濾所有的網(wǎng)絡(luò)流量。被訪(fǎng)問(wèn)控制列表列入黑名單的IP地址,不僅不能夠使用QQ等被禁止的網(wǎng)絡(luò)聊天工具,而且,也不能訪(fǎng)問(wèn)互聯(lián)網(wǎng)的郵件等等。也就是說(shuō),不能根據(jù)協(xié)議的類(lèi)型來(lái)管理網(wǎng)絡(luò)流量。而后面筆者要舉的擴(kuò)展訪(fǎng)問(wèn)控制列表的例子,就可以滿(mǎn)足企業(yè)根據(jù)協(xié)議對(duì)網(wǎng)絡(luò)流量進(jìn)行管理的需求。
#p#副標(biāo)題#e#
擴(kuò)展訪(fǎng)問(wèn)控制列表比標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表提供了更廣闊的控制范圍,其靈活性也比標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表要高的多。在實(shí)際工作中,很少有網(wǎng)絡(luò)管理員會(huì)簡(jiǎn)單的采用標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表,而基本上是采用擴(kuò)展型的訪(fǎng)問(wèn)控制列表,來(lái)對(duì)通過(guò)路由器的部分?jǐn)?shù)據(jù)流量進(jìn)行過(guò)濾。如我們有時(shí)候只允許來(lái)自于外部的EMAIL通信流量進(jìn)入企業(yè)網(wǎng)絡(luò),而其他的通信流量,如FTP、WEB等等,路由器都要把他們擋在門(mén)外,此時(shí),就可以通過(guò)擴(kuò)展型的訪(fǎng)問(wèn)控制列表來(lái)實(shí)現(xiàn)。擴(kuò)展訪(fǎng)問(wèn)控制列表提供了很多的控制關(guān)口,如源地址、目標(biāo)地址、協(xié)議類(lèi)型、端口號(hào)等等,這種擴(kuò)展后所帶來(lái)的功能,可以實(shí)現(xiàn)網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行復(fù)雜控制的要求,而不再是簡(jiǎn)單的只根據(jù)IP地址進(jìn)行控制。廢話(huà)不說(shuō)了,我們先來(lái)看一個(gè)擴(kuò)展訪(fǎng)問(wèn)控制列表的實(shí)例,看看其到底有什么神秘的地方。
案例二:拒絕企業(yè)內(nèi)部某個(gè)用戶(hù)訪(fǎng)問(wèn)FTP服務(wù)器
假設(shè)現(xiàn)在企業(yè)內(nèi)部有一臺(tái)主機(jī)A,其IP地址為192.168.1.10。而路由器上有一臺(tái)FTP服務(wù)器B,其IP地址為192.168.0.2。現(xiàn)在企業(yè)為了FTP服務(wù)器的安全,只有經(jīng)過(guò)授權(quán)的用戶(hù)才能夠訪(fǎng)問(wèn)這臺(tái)FTP服務(wù)器。一般來(lái)說(shuō),這臺(tái)FTP服務(wù)器是為業(yè)務(wù)部門(mén)準(zhǔn)備的,默認(rèn)情況下,只要業(yè)務(wù)員可以訪(fǎng)問(wèn)這臺(tái)FTP服務(wù)器。
針對(duì)這種情況,該如何配置訪(fǎng)問(wèn)控制列表呢?
Access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.0.2 0.0.0.0 eq 21
Access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255
要拒絕某個(gè)協(xié)議類(lèi)型的數(shù)據(jù)流量,若依靠標(biāo)準(zhǔn)的訪(fǎng)問(wèn)控制列表是達(dá)到這個(gè)目標(biāo)的。一般來(lái)說(shuō),標(biāo)準(zhǔn)的訪(fǎng)問(wèn)控制列表之能夠簡(jiǎn)單的對(duì)IP地址進(jìn)行數(shù)據(jù)流量的過(guò)濾,也就是說(shuō),其要么允許全部的數(shù)據(jù)包通過(guò),要么就是拒絕所有的數(shù)據(jù)包。而現(xiàn)在若采用擴(kuò)展的訪(fǎng)問(wèn)控制列表,則可以根據(jù)數(shù)據(jù)包的協(xié)議來(lái)類(lèi)型來(lái)實(shí)現(xiàn)對(duì)部門(mén)數(shù)據(jù)包進(jìn)行過(guò)濾,對(duì)部分?jǐn)?shù)據(jù)包放行。
下面筆者對(duì)以上的訪(fǎng)問(wèn)控制列表?xiàng)l件語(yǔ)句作一些必要的說(shuō)明
1、訪(fǎng)問(wèn)控制列表標(biāo)號(hào)。在上面一篇文章中,筆者談到,為了管理的方便,訪(fǎng)問(wèn)控制列表規(guī)定,用數(shù)字1到99來(lái)表示標(biāo)準(zhǔn)的訪(fǎng)問(wèn)控制列表;而100到199用來(lái)表示擴(kuò)展的訪(fǎng)問(wèn)控制列表。而這邊數(shù)字“101”就表示這個(gè)訪(fǎng)問(wèn)控制列表是一個(gè)擴(kuò)展型的訪(fǎng)問(wèn)控制列表。
2、關(guān)鍵字deny與permit。這兩個(gè)關(guān)鍵字,顧名思義,就是表示拒絕某個(gè)流量還是允許某個(gè)流量通過(guò)路由器。這里要注意一個(gè)書(shū)寫(xiě)的順序。在一般情況下,都把拒絕的語(yǔ)句,而就是deny語(yǔ)句放在前頭,而把拒絕的語(yǔ)句放在后面。因?yàn)樵L(fǎng)問(wèn)控制列表示從頭到腳對(duì)這些語(yǔ)句進(jìn)行判斷,若前面一條語(yǔ)句滿(mǎn)足的話(huà),則后續(xù)的將都不會(huì)被判斷。所以,一般要把拒絕的條件語(yǔ)句放在前面。具體的例子在上篇文章中筆者已經(jīng)詳細(xì)介紹過(guò),這里就不再過(guò)過(guò)多的敘述了。
3、tcp表示一種傳輸層的協(xié)議。若想要使用擴(kuò)展型的訪(fǎng)問(wèn)控制列表,則一定要對(duì)傳輸層的各種訪(fǎng)問(wèn)協(xié)議有清晰的認(rèn)識(shí),否則的話(huà),配置訪(fǎng)問(wèn)控制列表的時(shí)候,就有點(diǎn)束手束腳的了。
4、192.168.1.0 0.0.0.255,表示對(duì)那些IP地址進(jìn)行這個(gè)拒絕操作。這兩組數(shù)字是配套使用的。后面的0.0.0.255表示對(duì)IP地址的前三位進(jìn)行檢查,而對(duì)最后一位不進(jìn)行檢查。如此的話(huà),結(jié)合前面的IP地址,也就表示IP地址前面三位為192.168.1的IP地址,后面不管是什么,從192.168.1.0到192.168.1.255,都會(huì)采用這條語(yǔ)句。也就是說(shuō),0表示檢查,必須完全匹配,而255的話(huà),就表示不進(jìn)行檢查。
5、172.168.0.2 0.0.0.0,表示目的地址。在采用訪(fǎng)問(wèn)控制列表中,一般源地址與目的地址是成對(duì)出現(xiàn)的。因?yàn)榫W(wǎng)絡(luò)管理員雖然不允許內(nèi)部用戶(hù)訪(fǎng)問(wèn)企業(yè)內(nèi)部的FTP服務(wù)器,但是,有可能其允許訪(fǎng)問(wèn)其他的FTP服務(wù)器。所以,最好能夠指定目的IP地址,以防止把一些正常訪(fǎng)問(wèn)的流量拒絕掉。
6、eq 21,表示服務(wù)的端口好。我們都知道,在訪(fǎng)問(wèn)某個(gè)服務(wù)的時(shí)候,一般都是需要有協(xié)議類(lèi)型與端口號(hào)才可以。如我們?cè)L問(wèn)FTP服務(wù)器的時(shí)候,可能就是通過(guò)“FTP://192.168.0.2:21”進(jìn)行訪(fǎng)問(wèn)。最后面的21就表示FTP服務(wù)器為這個(gè)服務(wù)所開(kāi)的端口。所以,在配置擴(kuò)展訪(fǎng)問(wèn)列表的時(shí)候,需要對(duì)各種服務(wù)的默認(rèn)端口了如指掌。如端口23表示終端連接,25表示簡(jiǎn)單郵件傳輸協(xié)議,69表示普通文本傳輸協(xié)議等等。不過(guò)這些端口是系統(tǒng)默認(rèn)的端口,而在實(shí)際工作中,有時(shí)會(huì)我們會(huì)為了安全方面的考慮,改變這些端口。如把FTP的端口21改為8000等等,這主要是為了讓別人不能夠破解FTP服務(wù)器。所以,針對(duì)這種情況的話(huà),我們?cè)谂渲迷L(fǎng)問(wèn)控制列表的話(huà),也需要注意。
這種拒絕某種通信流量的設(shè)置,我們一般會(huì)在路由器上普遍采用。如我們都知道,在知道路由器管理員用戶(hù)名與密碼的情況下,可以把一些路由器的配置文件,如訪(fǎng)問(wèn)控制列表,通過(guò)普通文本傳輸協(xié)議,放到路由器上。所以,有時(shí)會(huì)為了確保其他人員無(wú)法使用路由器的普通文本傳輸協(xié)議,我們就會(huì)利用訪(fǎng)問(wèn)控制列表,禁止除了管理員以外的IP地址利用這個(gè)普通文本傳輸協(xié)議向路由器傳輸相關(guān)的配置文件。
所以,Access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.0.2 0.0.0.0 eq 21這條語(yǔ)句完整的意思就是,拒絕所有來(lái)自于192。168.1.0到192.168.01.255的IP地址訪(fǎng)問(wèn)192.168.0.2的FTP服務(wù)器。若FTP的服務(wù)器發(fā)生了變化的話(huà),則這個(gè)訪(fǎng)問(wèn)列表的端口號(hào)也要進(jìn)行相應(yīng)的更改。不過(guò),在上面文章中,我們談到過(guò)對(duì)以標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表來(lái)說(shuō),使不能直接在原有的訪(fǎng)問(wèn)控制列表中進(jìn)行更改,而必須先把原有訪(fǎng)問(wèn)控制列表中的判斷語(yǔ)句刪除,然后重新建訪(fǎng)問(wèn)控制列表,并關(guān)聯(lián)到相關(guān)的端口。這個(gè)規(guī)則,對(duì)于擴(kuò)展訪(fǎng)問(wèn)控制列表來(lái)說(shuō),也是適用的。所以,對(duì)于配置擴(kuò)展訪(fǎng)問(wèn)控制列表,我們也是建議現(xiàn)在管理員的主機(jī)上寫(xiě)好擴(kuò)展訪(fǎng)問(wèn)控制列表,然后再通過(guò)簡(jiǎn)單文本傳輸協(xié)議把訪(fǎng)問(wèn)控制列表傳到路由器上,再進(jìn)行端口的關(guān)聯(lián)動(dòng)作。如此的話(huà),可以提高訪(fǎng)問(wèn)控制列表配置的效率與準(zhǔn)確性。
另外要注意最后一條語(yǔ)句,Access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255,這表示來(lái)自于192.168.1.0到192.168.1.255的IP地址的主機(jī)通信流量,可以暢通無(wú)阻的進(jìn)行訪(fǎng)問(wèn)。這跟前面那條語(yǔ)句結(jié)合起來(lái),就表示路由器只是拒絕了對(duì)FTP服務(wù)器21端口的訪(fǎng)問(wèn)而已。也就是說(shuō),我們此時(shí)仍然可以利用PING命令PING通FTP服務(wù)器,或者通過(guò)網(wǎng)上鄰居找到這臺(tái)服務(wù)器,只是不能夠通過(guò)FTP工具訪(fǎng)問(wèn)這個(gè)服務(wù)器而已。
在管理訪(fǎng)問(wèn)控制列表的時(shí)候,無(wú)論是標(biāo)準(zhǔn)型的訪(fǎng)問(wèn)控制列表,還是擴(kuò)展型的訪(fǎng)問(wèn)控制列表,都需要注意一個(gè)問(wèn)題就是即可以在路由器的進(jìn)口,也可以在出口關(guān)聯(lián)訪(fǎng)問(wèn)控制列表。不過(guò),兩者還是有一點(diǎn)區(qū)別。若在出口關(guān)聯(lián)訪(fǎng)問(wèn)控制列表的時(shí)候,就意味著被允許的數(shù)據(jù)包將直接被發(fā)送出去,而被拒絕的數(shù)據(jù)包就會(huì)被阻塞。而若把訪(fǎng)問(wèn)控制列表關(guān)聯(lián)到進(jìn)口的話(huà)在,則被允許的數(shù)據(jù)包將進(jìn)入路由器進(jìn)行后續(xù)的處理,而被拒絕的數(shù)據(jù)包將直接被丟棄。這個(gè)進(jìn)出口的差異,就引起了訪(fǎng)問(wèn)控制列表的另一個(gè)話(huà)題,就是該把訪(fǎng)問(wèn)控制列表放在進(jìn)口好還是出口好。因?yàn)椴捎昧嗽L(fǎng)問(wèn)控制列表之后,會(huì)讓路由器多額外的開(kāi)銷(xiāo),會(huì)對(duì)網(wǎng)絡(luò)的性能造成一定的影響。而合理放置訪(fǎng)問(wèn)控制列表,可以把這個(gè)影響減少到最低。在后續(xù)的文章中,筆者將專(zhuān)門(mén)介紹如何來(lái)選擇訪(fǎng)問(wèn)控制列表的放置問(wèn)題。
另外,在前面筆者在配置訪(fǎng)問(wèn)控制列表的時(shí)候,都是用數(shù)字對(duì)訪(fǎng)問(wèn)控制列表進(jìn)行命名。但是,這個(gè)數(shù)字的話(huà),明顯不能夠反映這個(gè)訪(fǎng)問(wèn)控制列表的實(shí)際作用。如時(shí)間長(zhǎng)了,或者是前任的網(wǎng)絡(luò)管理員留下來(lái)的訪(fǎng)問(wèn)控制列表,我們只是接手,光看這個(gè)101三個(gè)數(shù)字,我們?cè)趺粗浪降讓?shí)現(xiàn)了什么控制呢?所以,在訪(fǎng)問(wèn)控制列表管理機(jī)制中,路由器還提供了一個(gè)命名的訪(fǎng)問(wèn)控制列表。命名訪(fǎng)問(wèn)控制列表不僅可以形象的描述訪(fǎng)問(wèn)控制列表的功能,而且,他還有一些標(biāo)準(zhǔn)或者擴(kuò)展訪(fǎng)問(wèn)列表沒(méi)有的功能。如通過(guò)命名訪(fǎng)問(wèn)控制列表,如可以讓網(wǎng)絡(luò)管理員刪除某個(gè)訪(fǎng)問(wèn)控制列表中不需要的判斷語(yǔ)句。我們上面文章中說(shuō)過(guò),若是標(biāo)準(zhǔn)型或者擴(kuò)展型訪(fǎng)問(wèn)控制列表,是不能夠按照語(yǔ)句序號(hào)刪除某個(gè)不需要的條件語(yǔ)句。而若采用命名的訪(fǎng)問(wèn)控制列表的話(huà),則可以達(dá)到這個(gè)目的。具體該如何操作,請(qǐng)關(guān)注我后面的文章,筆者會(huì)給大家詳細(xì)講述如何使用命名的訪(fǎng)問(wèn)控制列表,以及其跟其他兩種訪(fǎng)問(wèn)控制列表的優(yōu)點(diǎn)。
#p#副標(biāo)題#e#
在前面關(guān)于訪(fǎng)問(wèn)控制列表的三篇文章中,筆者闡述了訪(fǎng)問(wèn)控制列表的基本功能與注意點(diǎn)。在這篇文章中,筆者將脫開(kāi)技術(shù)層面的內(nèi)容,談?wù)勛约涸谠L(fǎng)問(wèn)控制列表管理中的經(jīng)驗(yàn)教訓(xùn),或許,這可以從另一個(gè)角度提高大家對(duì)訪(fǎng)問(wèn)控制列表的認(rèn)識(shí)。
思考一:如何合理放置訪(fǎng)問(wèn)控制列表
訪(fǎng)問(wèn)控制列表即可以放在進(jìn)口,也可以放在出口,都是正確的。但是,正確跟合理還是有一步之差。位置正確,不一定說(shuō),如此放置是最合理的,效率是最高的。
若我們把訪(fǎng)問(wèn)控制列表放在進(jìn)口的話(huà),在路由器在進(jìn)口就會(huì)對(duì)數(shù)據(jù)流量進(jìn)行判斷,看其是否滿(mǎn)足條件語(yǔ)句,若滿(mǎn)足的話(huà),則放行,轉(zhuǎn)發(fā)給下一個(gè)端口;不滿(mǎn)足的話(huà),就直接丟進(jìn)垃圾桶。若把訪(fǎng)問(wèn)控制列表放在出口的話(huà),則當(dāng)滿(mǎn)足放行條件時(shí),則路由器會(huì)把數(shù)據(jù)流轉(zhuǎn)發(fā)出去;當(dāng)不滿(mǎn)足條件時(shí),則會(huì)把已經(jīng)在這個(gè)端口存儲(chǔ)緩存中的數(shù)據(jù)丟進(jìn)垃圾桶。很明顯,這個(gè)訪(fǎng)問(wèn)控制列表放在進(jìn)口或者出口,對(duì)路由器的性能會(huì)有所影響。
假設(shè)現(xiàn)在某個(gè)集團(tuán)企業(yè)的網(wǎng)絡(luò)部署架構(gòu)如下:
用戶(hù)主機(jī)---路由器A—路由器B-----互聯(lián)網(wǎng)。
在這種網(wǎng)絡(luò)架構(gòu)下,企業(yè)現(xiàn)在希望實(shí)現(xiàn)如下控制。
1、 用戶(hù)主機(jī)甲不能夠訪(fǎng)問(wèn)互聯(lián)網(wǎng)。
2、 其他用戶(hù)都可以不受限制的訪(fǎng)問(wèn)互聯(lián)網(wǎng)。
此時(shí),很明顯可以通過(guò)多種方式來(lái)實(shí)現(xiàn)這種需求。不過(guò),訪(fǎng)問(wèn)控制列表是實(shí)現(xiàn)這種控制的一個(gè)比較靈活的策略。此時(shí),拒絕用戶(hù)主機(jī)甲訪(fǎng)問(wèn)互聯(lián)網(wǎng)的訪(fǎng)問(wèn)控制列表可以放在路由器A,也可以放在路由器B上;可以放在路由器A的進(jìn)口或者出口端口上,也可以放在路由器B的進(jìn)口或者出口端口上。放在這四個(gè)位置的任何一個(gè)位置上,都可以實(shí)現(xiàn)企業(yè)的需求。只是對(duì)于網(wǎng)絡(luò)的影響有所不同。
假設(shè)我們現(xiàn)在把這個(gè)訪(fǎng)問(wèn)控制列表放在路由器B的出口上,則當(dāng)用戶(hù)主機(jī)甲訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí),這個(gè)數(shù)據(jù)流會(huì)通過(guò)路由器A,到達(dá)路由器B的出口站點(diǎn)上,然后才被丟棄。如此的話(huà),這個(gè)本來(lái)早早應(yīng)該被丟棄的數(shù)據(jù)流,卻一直暢通無(wú)阻的到了路由器B的出口商,才被拋棄。
這就好像群眾上訪(fǎng),本來(lái)在農(nóng)村基層就可以解決的問(wèn)題,但是,農(nóng)村基層不解決,當(dāng)?shù)卣膊唤鉀Q,一直鬧到中央,這不僅會(huì)浪費(fèi)各地政府部門(mén)的精力,而且,中央政府若每天都處理這些基層來(lái)的上訪(fǎng)者,那他們就沒(méi)有精力去關(guān)心一些重大問(wèn)題了。所以,一些糾紛,在基層可以解決,還是在基層解決好。
訪(fǎng)問(wèn)控制列表也是如此。若按上面這個(gè)位置放置,用戶(hù)主機(jī)甲若想訪(fǎng)問(wèn)互聯(lián)網(wǎng),則這些數(shù)據(jù)流量一直暢通無(wú)阻的到達(dá)路由器B出口站是,是一種浪費(fèi)網(wǎng)絡(luò)帶寬的行為。所以,應(yīng)該把拒絕主機(jī)用戶(hù)甲的訪(fǎng)問(wèn)控制列表放置在路由器A的進(jìn)口上,從源頭就把不需要的訪(fǎng)問(wèn)控制列表拋棄。
很明顯,若只有一臺(tái)用戶(hù)主機(jī)不能訪(fǎng)問(wèn)互聯(lián)網(wǎng)的話(huà),則這個(gè)訪(fǎng)問(wèn)控制列表具體放在上面位置,其所產(chǎn)生的影響對(duì)于企業(yè)整個(gè)網(wǎng)絡(luò)來(lái)說(shuō),是微乎其微的。但是,在實(shí)際工作中,我們往往不是拒絕一臺(tái)主機(jī)的通信流量,而是拒絕一批,如一個(gè)子網(wǎng)的通信流量。如此的話(huà),其產(chǎn)生的數(shù)據(jù)流量就比較大了,會(huì)對(duì)企業(yè)的內(nèi)部網(wǎng)絡(luò)產(chǎn)生比較大的影響。
所以,在訪(fǎng)問(wèn)控制列表管理的時(shí)候,要慎重考慮訪(fǎng)問(wèn)控制列表的放置地方,否則的話(huà),會(huì)對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生比較大的影響。那這訪(fǎng)問(wèn)控制列表該放在什么地方合適呢?筆者給大家提個(gè)建議,最好把訪(fǎng)問(wèn)控制列表放置在離被拒絕的信息來(lái)源最近的地方,即上面講的路由器A的進(jìn)口站點(diǎn)上。如此的話(huà),不允許通過(guò)的數(shù)據(jù)流量就會(huì)被盡早的丟進(jìn)垃圾桶,而不會(huì)被暢通無(wú)阻的傳遞下去。當(dāng)然,前期是,路由器A必須支持訪(fǎng)問(wèn)控制列表,否則的話(huà),也指能夠放在路由器B上了。
思考二:訪(fǎng)問(wèn)控制列表如何跟防火墻配合使用
現(xiàn)在大部分企業(yè)都在企業(yè)內(nèi)外網(wǎng)的接口處,部署了防火墻。那么,訪(fǎng)問(wèn)控制列表該如何跟防火墻配合使用呢?
根據(jù)官方的建議,訪(fǎng)問(wèn)控制列表應(yīng)該用在防火墻路由器上,防火墻路由器經(jīng)常放置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,即企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的分割點(diǎn),目的是為其提供一個(gè)孤立的點(diǎn),以便不受其他互聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的影響。
其實(shí),有些防火墻服務(wù)器的話(huà),本身就帶有訪(fǎng)問(wèn)控制列表的功能。如防火墻的低安全端口要訪(fǎng)問(wèn)防火墻中的高安全端口的話(huà),就需要訪(fǎng)問(wèn)控制列表的支持。所以,把訪(fǎng)問(wèn)控制列表結(jié)合防火墻服務(wù)器使用,是一個(gè)比較好的選擇。
不過(guò),說(shuō)實(shí)話(huà),若把他們兩個(gè)部署在一起的話(huà),會(huì)增加訪(fǎng)問(wèn)控制列表的復(fù)雜程度,會(huì)增加訪(fǎng)問(wèn)控制列表與防火墻服務(wù)器的維護(hù)難度。筆者雖然覺(jué)得這么部署比較合理,但是,在實(shí)際工作中,筆者出于管理與維護(hù)的方便,確不是這么部署的。
如企業(yè)現(xiàn)在的網(wǎng)絡(luò)部署架構(gòu)如下:
主機(jī)-路由器-VPN服務(wù)器-防火墻。
其中,這個(gè)路由器與防火墻都支持訪(fǎng)問(wèn)控制列表的功能。按照官方的建議,應(yīng)該把訪(fǎng)問(wèn)控制列表部署在防火墻服務(wù)器上。但是,筆者認(rèn)為這么管理的話(huà),會(huì)增加防火墻與訪(fǎng)問(wèn)控制列表的復(fù)雜程度,不利于后續(xù)的維護(hù)與故障的維修。所以,筆者在部署訪(fǎng)問(wèn)控制列表的時(shí)候,沒(méi)有遵循官方的建議,而是把訪(fǎng)問(wèn)控制列表部署在路由器上,而不是防火墻。如此的話(huà),把防火墻與路由器上的訪(fǎng)問(wèn)控制列表獨(dú)立管理,雖然可能會(huì)增加一定的工作量,但是,至少把復(fù)雜的工作簡(jiǎn)單化,反而有利于企業(yè)網(wǎng)絡(luò)的管理,出現(xiàn)故障的時(shí)候,也比較容易檢修。
不過(guò)這是筆者個(gè)人的工作經(jīng)驗(yàn),其到底是否合理,還需要靠以后網(wǎng)絡(luò)維護(hù)工作的檢驗(yàn)。
不過(guò)如果要在防火墻服務(wù)器這種邊界設(shè)備上,部署訪(fǎng)問(wèn)控制列表的話(huà),筆者可以給大家提一些意見(jiàn)。
一是部署在邊界設(shè)備上的訪(fǎng)問(wèn)控制列表,無(wú)論是防火墻服務(wù)器還是路由器上,可以為配置在設(shè)備接口上的每一個(gè)網(wǎng)絡(luò)協(xié)議創(chuàng)建訪(fǎng)問(wèn)控制列表。通過(guò)配置訪(fǎng)問(wèn)控制列表。來(lái)過(guò)濾通過(guò)接口的入站通信流量、出站通信流量。
二是如果在邊界路由器與內(nèi)部的路由器,即上面的路由器A與路由器B上,都配置了訪(fǎng)問(wèn)控制列表,該如何處理呢?一般來(lái)說(shuō),若在路由器A上部署了拒絕用戶(hù)主機(jī)甲訪(fǎng)問(wèn)互聯(lián)網(wǎng)的訪(fǎng)問(wèn)控制列表,然后再邊界路由器B上又配置了同樣內(nèi)容的訪(fǎng)問(wèn)控制列表,就有點(diǎn)脫褲子放屁,多此一舉的感覺(jué)。但是,在實(shí)際管理中,有些網(wǎng)路管理元還是會(huì)這么處理。這主要是出于統(tǒng)一管理的需要。在路由器A上部署訪(fǎng)問(wèn)控制列表,可以拒絕不應(yīng)該的數(shù)據(jù)流量在網(wǎng)絡(luò)上傳輸;而在路由器B上部署訪(fǎng)問(wèn)控制列表的話(huà),則是出于統(tǒng)一管理的需要。或者說(shuō),起到雙重保險(xiǎn)的作用,即使路由器A上的訪(fǎng)問(wèn)控制列表因?yàn)槟撤N原因失效,還由路由器B在那邊把關(guān)。不過(guò),這么配置的話(huà),邊界路由器B的負(fù)擔(dān)會(huì)比較中。因?yàn)樗獙?duì)來(lái)自于企業(yè)網(wǎng)絡(luò)的所有數(shù)據(jù)流量進(jìn)行判斷。所以,具體如何部署,還是要看企業(yè)對(duì)于安全性的要求。到底是犧牲一定的安全來(lái)提高網(wǎng)絡(luò)性能,還是降低網(wǎng)絡(luò)性能來(lái)提高網(wǎng)絡(luò)的安全冗余,如何在網(wǎng)絡(luò)的安全性與網(wǎng)絡(luò)性能之間取得均衡的話(huà),網(wǎng)絡(luò)管理員還是需要根據(jù)企業(yè)的實(shí)際情況,在這上面花一番心思。
三是要注意訪(fǎng)問(wèn)控制列表中最后的隱含語(yǔ)句。假設(shè)現(xiàn)在有一個(gè)訪(fǎng)問(wèn)控制列表,其前面有八條判斷語(yǔ)句。而其實(shí)呢,有九條,最后一條是隱含的,當(dāng)前面八條語(yǔ)句都沒(méi)有滿(mǎn)足的情況下,則這最后一條語(yǔ)句,就會(huì)把這個(gè)數(shù)據(jù)流量拒絕掉。不過(guò)在訪(fǎng)問(wèn)控制列表管理中,我們往往不希望出現(xiàn)這種情況。我們希望,當(dāng)前面的這些條件都不滿(mǎn)足的情況下,則該數(shù)據(jù)量背放行。如在一個(gè)訪(fǎng)問(wèn)控制列表中,我們寫(xiě)了兩條判斷語(yǔ)句,一是拒絕用戶(hù)A訪(fǎng)問(wèn)互聯(lián)網(wǎng);二是拒絕用戶(hù)B訪(fǎng)問(wèn)外部的郵件服務(wù)器。此時(shí),若有用戶(hù)C訪(fǎng)問(wèn)互聯(lián)網(wǎng)的話(huà),由于前面兩條語(yǔ)句都不滿(mǎn)足,則默認(rèn)情況下,訪(fǎng)問(wèn)控制列表會(huì)應(yīng)用隱含的判斷語(yǔ)句,把用戶(hù)C的數(shù)據(jù)流量也拒絕掉,這是我們不希望看到的。為此,我們就需要改變這條隱含的判斷語(yǔ)句,把它改為上面條件都不滿(mǎn)足的情況下,數(shù)據(jù)流量為允許通過(guò)。或者,我們可以顯示的給出這條隱含語(yǔ)句,這有利于提高訪(fǎng)問(wèn)控制列表的可讀性,對(duì)我們后續(xù)排除故障也是比較有利的。
