網(wǎng)絡(luò)中常說的ACL是Cisco IOS所提供的一種訪問控制技術(shù),初期僅在路由器上支持,近些年來已經(jīng)擴(kuò)展到三層交換機(jī),部分最新的二層交換機(jī)如2950之類也開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機(jī)上也提供類似的技術(shù),不過名稱和配置方式都可能有細(xì)微的差別。本文所有的配置實(shí)例均基于 Cisco IOS的ACL進(jìn)行編寫。
基本原理:ACL使用包過濾技術(shù),在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等,根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾,從而達(dá)到訪問控制的目的。
功能:網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類,其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù),用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn),阻止非法用戶對資源節(jié)點(diǎn)的訪問,另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。
配置ACL的基本原則:在實(shí)施ACL的過程中,應(yīng)當(dāng)遵循如下兩個(gè)基本原則:
最小特權(quán)原則:只給受控對象完成任務(wù)所必須的最小的權(quán)限
最靠近受控對象原則:所有的網(wǎng)絡(luò)層訪問權(quán)限控制
局限性:由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的,過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息,這種技術(shù)具有一些固有的局限性,如無法識別到具體的人,無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此,要達(dá)到end to end的權(quán)限控制目的,需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。
