網(wǎng)管員在日常工作中經(jīng)常會(huì)接觸到路由器,但是對(duì)路由器得了解程度有多少呢?今天來(lái)為您講述一下訪問控制列表(ACL),在日常的工作中可以利用ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能,同時(shí)也提高了網(wǎng)絡(luò)的安全等級(jí)。
在局域網(wǎng)中,路由器或網(wǎng)關(guān)負(fù)責(zé)網(wǎng)絡(luò)中的內(nèi)外溝通的信息,同時(shí)對(duì)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全與穩(wěn)定的保護(hù)作用,所以在安全方面負(fù)責(zé)對(duì)這些進(jìn)進(jìn)出出的數(shù)據(jù)進(jìn)行識(shí)別,從而實(shí)現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)安全過(guò)濾;在網(wǎng)絡(luò)的穩(wěn)定性方面對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行流量控制,從而改善網(wǎng)絡(luò)的通行質(zhì)量。
訪問控制列表是應(yīng)用在路由器接口上的一個(gè)控制列表,可以控制拒絕和允許進(jìn)入以及離開路由器的數(shù)據(jù)包,也可以拒絕和允許用戶訪問某一網(wǎng)絡(luò)資源。由于其應(yīng)用的非常廣泛,可以對(duì)IP、協(xié)議、端口等功能上進(jìn)行控制,從而對(duì)網(wǎng)絡(luò)系統(tǒng)起到安全與保護(hù)的作用,所以它是一種網(wǎng)絡(luò)安全防護(hù)技術(shù),也可以當(dāng)作一種網(wǎng)絡(luò)控制的有力工具。
什么是訪問控制列表(ACL)
訪問控制列表實(shí)際上就是一系列允許和拒絕匹配準(zhǔn)則的集合。簡(jiǎn)單的說(shuō)就是利用這些準(zhǔn)則來(lái)告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是被拒絕,那就要根據(jù)這些準(zhǔn)則中所定義的條件來(lái)決定控制數(shù)據(jù)包在輸入與輸出。匹配準(zhǔn)則的總類繁多,可以簡(jiǎn)單的數(shù)據(jù)包目標(biāo)地址的單項(xiàng)目匹配,也可以是數(shù)據(jù)包目標(biāo)地址、源地址,端口等多項(xiàng)目的綜合匹配等,訪問控制列表對(duì)符合匹配規(guī)則的數(shù)據(jù)包進(jìn)行允許和拒絕的操作。
訪問控制列表的作用
建立訪問控制列表后,主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問,其次還可以用來(lái)限制網(wǎng)絡(luò)流量,提高網(wǎng)絡(luò)性能,對(duì)通信流量起到控制的手段,這些都是對(duì)網(wǎng)絡(luò)訪問的基本安全手段。在路由器的接口上配置訪問控制列表后,可以對(duì)入站接口、出站接口及通過(guò)路由器中繼的數(shù)據(jù)包進(jìn)行安全檢測(cè)。
訪問控制列表總的說(shuō)起來(lái)有下面三個(gè)作用,我們來(lái)具體看一下:
1、安全控制 允許一些分合匹配規(guī)則的數(shù)據(jù)包通過(guò)訪問的同時(shí)而拒絕另一部分不符合匹配規(guī)則的數(shù)據(jù)包。 舉個(gè)例子說(shuō)一下財(cái)務(wù)部的數(shù)據(jù)庫(kù)服務(wù)器,上面的數(shù)據(jù)應(yīng)該來(lái)說(shuō)是比較機(jī)密的,不是說(shuō)誰(shuí)都可以訪問上面的數(shù)據(jù)的,這個(gè)時(shí)候就需要用到訪問控制列表,在此列表中定義那些主機(jī)可以訪問財(cái)務(wù)部數(shù)據(jù)庫(kù)服務(wù)器,當(dāng)此列表外的主機(jī)訪問此服務(wù)器的時(shí)候,就會(huì)被路由器過(guò)濾掉。如圖一所示:
 |
| ACL安全控制 |
192.168.1.30與192.168.1.50的兩臺(tái)主機(jī)可以通過(guò)路由器訪問數(shù)據(jù)庫(kù)服務(wù)器主機(jī),而那臺(tái)192.168.1.40那臺(tái)筆記本電腦,就無(wú)法訪問財(cái)務(wù)的數(shù)據(jù)庫(kù)服務(wù)器。
2、流量過(guò)濾
此功能是防止一些不必要的數(shù)據(jù)包通過(guò)路由器,來(lái)提高網(wǎng)絡(luò)的帶寬的利用率,如圖二所示:
 |
| ACL流量控制 |
其中的兩臺(tái)主機(jī)分別可以通過(guò)路由器訪問網(wǎng)絡(luò)與收發(fā)郵件,另一臺(tái)主機(jī)想通過(guò)路由器進(jìn)行BT下載,卻無(wú)法進(jìn)行BT下載。
3、數(shù)據(jù)流量標(biāo)識(shí)
此功能是對(duì)公司有兩條或兩條以上的網(wǎng)絡(luò)鏈路時(shí),訪問控制列表與路由策略等來(lái)實(shí)現(xiàn)分工,讓不同的數(shù)據(jù)包選擇不同的鏈路,如下圖三:
| |
| ACL數(shù)據(jù)流量標(biāo)識(shí) |
當(dāng)有數(shù)據(jù)通過(guò)路由器的時(shí)候,訪問控制列表先把數(shù)據(jù)流作相應(yīng)的標(biāo)識(shí),在通過(guò)路由策略,將這些數(shù)據(jù)流交給相應(yīng)的連路,如圖三標(biāo)識(shí)中的訪問internet的數(shù)據(jù)就走Internet線路,公司內(nèi)部的服務(wù)就走VPN線路。
我們?cè)賮?lái)看一看ALC的工作原理,其原理包含兩個(gè)方面,一是ACL的工作過(guò)程,二是ACL的執(zhí)行流程。通過(guò)其原理過(guò)程來(lái)具體的體會(huì)ALC的作用。
ALC的工作過(guò)程
當(dāng)路由器的接口接收到一個(gè)數(shù)據(jù)包時(shí),首先會(huì)檢查訪問控制列表,如果有執(zhí)行控制列表中有拒絕和允許的操作,則根據(jù):被拒絕的數(shù)據(jù)包將會(huì)被丟棄,允許的數(shù)據(jù)包進(jìn)入路由選擇狀態(tài)。
對(duì)進(jìn)入路由選擇狀態(tài)的數(shù)據(jù)再根據(jù)路由器的路由表執(zhí)行路由選擇,如果路由表中沒有到達(dá)目標(biāo)網(wǎng)絡(luò)的路由,那么相應(yīng)的數(shù)據(jù)包就會(huì)被丟棄;如果路由表中存在到達(dá)目標(biāo)網(wǎng)絡(luò)的路由,則數(shù)據(jù)包被送到相應(yīng)的網(wǎng)絡(luò)接口。
以上是ALC的簡(jiǎn)單的工作過(guò)程,其簡(jiǎn)單的說(shuō)明數(shù)據(jù)包的經(jīng)過(guò)路由器時(shí),根據(jù)訪問控制列表作相應(yīng)的動(dòng)作來(lái)判斷是被接收還是被丟棄,在安全性很高的配置中,有時(shí)還會(huì)為每個(gè)接口配置自己的ALC,來(lái)為數(shù)據(jù)作更詳細(xì)的判斷。
ACL的執(zhí)行流程
當(dāng)數(shù)據(jù)包被執(zhí)行操作時(shí),這個(gè)過(guò)程是一個(gè)什么過(guò)程呢。這就需要按照列表中的條件語(yǔ)句執(zhí)行順序來(lái)作不同判斷。
這里要記住:如果一個(gè)數(shù)據(jù)包的報(bào)頭跟ALC中某個(gè)條件判斷語(yǔ)句相匹配,那么后面的語(yǔ)句就將被忽略,不再進(jìn)行檢查。 數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí),它才被交給ACL中的下一個(gè)條件判斷語(yǔ)句進(jìn)行比較。如果匹配,則不管是第一條還是最后一條語(yǔ)句,數(shù)據(jù)都會(huì)被立即操作,要么丟棄,要么立即專發(fā)到目的接口。如果所有的ACL判斷語(yǔ)句都檢測(cè)完畢,仍沒有匹配的語(yǔ)句出口,則該數(shù)據(jù)包將視為被拒絕而被丟棄。 總的一句話就是數(shù)據(jù)包與ALC中的一旦出現(xiàn)的匹配情況,就執(zhí)行相應(yīng)的操作,而此時(shí)對(duì)此數(shù)據(jù)包的檢測(cè)就到此為止了,后面不管出現(xiàn)多少不匹配的情況將不作檢測(cè)。所以訪問控制列表中的規(guī)則的順序那就要注意了;相同的規(guī)則,順序不同,將會(huì)出現(xiàn)不同的結(jié)果。
訪問控制列表與防火墻的區(qū)別
雖然訪問控制列表可以拒絕和接收相應(yīng)的數(shù)據(jù)包,但他不能完全的代替防火墻。當(dāng)接收一個(gè)數(shù)據(jù)包時(shí),訪問控制列表先檢查訪問控制列表,再執(zhí)行相應(yīng)的接受和拒絕的步驟,并不能像專業(yè)的防火強(qiáng)那樣作相應(yīng)的數(shù)據(jù)包的分析。如果這樣作下來(lái)了,路由器可能不堪負(fù)荷,無(wú)法工作。 責(zé)任編輯: 炊煙(TEL:(010)68476636-8006)
