中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當前位置：主頁 > 資訊動態(tài) > IT知識庫 >

網(wǎng)絡(luò)運維|訪問控制列表ACL

2020-04-28 16:42 作者：艾銻無限瀏覽量：

網(wǎng)絡(luò)運維|訪問控制列表ACL

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運維工程師，今天和大家聊點安全方面的技術(shù)，這次咱們就聊一聊訪問控制列表ACL。

ACL簡介

介紹ACL的定義和作用。

定義

訪問控制列表ACL（Access Control List）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址、端口號等。
ACL本質(zhì)上是一種報文過濾器，規(guī)則是過濾器的濾芯。設(shè)備基于這些規(guī)則進行報文匹配，可以過濾出特定的報文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來允許或阻止該報文通過。

目的

隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)質(zhì)量QoS（Quality of Service）問題日益突出。

企業(yè)重要服務(wù)器資源被隨意訪問，企業(yè)機密信息容易泄露，造成安全隱患。
Internet病毒肆意侵略企業(yè)內(nèi)網(wǎng)，內(nèi)網(wǎng)環(huán)境的安全性堪憂。
網(wǎng)絡(luò)帶寬被各類業(yè)務(wù)隨意擠占，服務(wù)質(zhì)量要求最高的語音、視頻業(yè)務(wù)的帶寬得不到保障，造成用戶體驗差。

以上種種問題，都對正常的網(wǎng)絡(luò)通信造成了很大的影響。因此，提高網(wǎng)絡(luò)安全性服務(wù)質(zhì)量迫在眉睫。ACL就在這種情況下應(yīng)運而生了。
通過ACL可以實現(xiàn)對網(wǎng)絡(luò)中報文流的精確識別和控制，達到控制網(wǎng)絡(luò)訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。
圖1是一個典型的ACL應(yīng)用組網(wǎng)場景。
圖1 ACL典型應(yīng)用場景

https://download.huawei.com/mdl/imgDownload?uuid=1af07653629e42ee8aa11c222e1dac44.png

某企業(yè)為保證財務(wù)數(shù)據(jù)安全，禁止研發(fā)部門訪問財務(wù)服務(wù)器，但總裁辦公室不受限制。實現(xiàn)方式：

在Interface 1的入方向上部署ACL，禁止研發(fā)部門訪問財務(wù)服務(wù)器的報文通過。Interface 2上無需部署ACL，總裁辦公室訪問財務(wù)服務(wù)器的報文默認允許通過。

保護企業(yè)內(nèi)網(wǎng)環(huán)境安全，防止Internet病毒入侵。實現(xiàn)方式：

在Interface 3的入方向上部署ACL，將病毒經(jīng)常使用的端口予以封堵。

ACL的基本原理

ACL由一系列規(guī)則組成，通過將報文與ACL規(guī)則進行匹配，設(shè)備可以過濾出特定的報文。

ACL的組成

一條ACL的結(jié)構(gòu)組成，如圖2所示。
圖2 ACL的結(jié)構(gòu)組成

https://download.huawei.com/mdl/imgDownload?uuid=7322cd23c9794288b0add18d9f523393.png

ACL編號：用于標識ACL，表明該ACL是數(shù)字型ACL。

根據(jù)ACL規(guī)則功能的不同，ACL被劃分為基本ACL、高級ACL、二層ACL和用戶ACL這幾種類型，每類ACL編號的取值范圍不同。
除了可以通過ACL編號標識ACL，設(shè)備還支持通過名稱來標識ACL，就像用域名代替IP地址一樣，更加方便記憶。這種ACL，稱為命名型ACL。
命名型ACL實際上是“名字+數(shù)字”的形式，可以在定義命名型ACL時同時指定ACL編號。如果不指定編號，則由系統(tǒng)自動分配。

規(guī)則：即描述報文匹配條件的判斷語句。
- 規(guī)則編號：用于標識ACL規(guī)則。可以自行配置規(guī)則編號，也可以由系統(tǒng)自動分配。

ACL規(guī)則的編號范圍是0～4294967294，所有規(guī)則均按照規(guī)則編號從小到大進行排序。所以，如圖2的rule 5排在首位，而規(guī)則編號最大的rule 4294967294排在末位。系統(tǒng)按照規(guī)則編號從小到大的順序，將規(guī)則依次與報文匹配，一旦匹配上一條規(guī)則即停止匹配。

動作：包括permit/deny兩種動作，表示允許/拒絕。
匹配項：ACL定義了極其豐富的匹配項。除了圖2中的源地址和生效時間段，ACL還支持很多其他規(guī)則匹配項。例如，二層以太網(wǎng)幀頭信息（如源MAC、目的MAC、以太幀協(xié)議類型）、三層報文信息（如目的地址、協(xié)議類型）以及四層報文信息（如TCP/UDP端口號）等。

ACL的匹配機制

設(shè)備將報文與ACL規(guī)則進行匹配時，遵循“一旦命中即停止匹配”的機制，如圖3所示。
圖3 ACL的匹配機制

https://download.huawei.com/mdl/imgDownload?uuid=30513b0eff854b95bf9d3638fd394380.png

首先系統(tǒng)會查找設(shè)備上是否配置了ACL。

如果ACL不存在，則返回ACL匹配結(jié)果為：不匹配。
如果ACL存在，則查找設(shè)備是否配置了ACL規(guī)則。
- 如果規(guī)則不存在，則返回ACL匹配結(jié)果為：不匹配。
- 如果規(guī)則存在，則系統(tǒng)會從ACL中編號最小的規(guī)則開始查找。
  - 如果匹配上了permit規(guī)則，則停止查找規(guī)則，并返回ACL匹配結(jié)果為：匹配（允許）。
  - 如果匹配上了deny規(guī)則，則停止查找規(guī)則，并返回ACL匹配結(jié)果為：匹配（拒絕）。
  - 如果未匹配上規(guī)則，則繼續(xù)查找下一條規(guī)則，以此循環(huán)。如果一直查到最后一條規(guī)則，報文仍未匹配上，則返回ACL匹配結(jié)果為：不匹配。