中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價(jià)格計(jì)算器

您當(dāng)前位置：主頁 > 資訊動(dòng)態(tài) > IT知識(shí)庫 >

網(wǎng)絡(luò)運(yùn)維|訪問控制列表ACL

2020-04-28 16:42 作者：艾銻無限瀏覽量：

網(wǎng)絡(luò)運(yùn)維|訪問控制列表ACL

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，今天和大家聊點(diǎn)安全方面的技術(shù)，這次咱們就聊一聊訪問控制列表ACL。

ACL簡介

介紹ACL的定義和作用。

定義

訪問控制列表ACL（Access Control List）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報(bào)文匹配條件的判斷語句，這些條件可以是報(bào)文的源地址、目的地址、端口號(hào)等。
ACL本質(zhì)上是一種報(bào)文過濾器，規(guī)則是過濾器的濾芯。設(shè)備基于這些規(guī)則進(jìn)行報(bào)文匹配，可以過濾出特定的報(bào)文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來允許或阻止該報(bào)文通過。

目的

隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)質(zhì)量QoS（Quality of Service）問題日益突出。

企業(yè)重要服務(wù)器資源被隨意訪問，企業(yè)機(jī)密信息容易泄露，造成安全隱患。
Internet病毒肆意侵略企業(yè)內(nèi)網(wǎng)，內(nèi)網(wǎng)環(huán)境的安全性堪憂。
網(wǎng)絡(luò)帶寬被各類業(yè)務(wù)隨意擠占，服務(wù)質(zhì)量要求最高的語音、視頻業(yè)務(wù)的帶寬得不到保障，造成用戶體驗(yàn)差。

以上種種問題，都對(duì)正常的網(wǎng)絡(luò)通信造成了很大的影響。因此，提高網(wǎng)絡(luò)安全性服務(wù)質(zhì)量迫在眉睫。ACL就在這種情況下應(yīng)運(yùn)而生了。
通過ACL可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中報(bào)文流的精確識(shí)別和控制，達(dá)到控制網(wǎng)絡(luò)訪問行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。
圖1是一個(gè)典型的ACL應(yīng)用組網(wǎng)場景。
圖1 ACL典型應(yīng)用場景

https://download.huawei.com/mdl/imgDownload?uuid=1af07653629e42ee8aa11c222e1dac44.png

某企業(yè)為保證財(cái)務(wù)數(shù)據(jù)安全，禁止研發(fā)部門訪問財(cái)務(wù)服務(wù)器，但總裁辦公室不受限制。實(shí)現(xiàn)方式：

在Interface 1的入方向上部署ACL，禁止研發(fā)部門訪問財(cái)務(wù)服務(wù)器的報(bào)文通過。Interface 2上無需部署ACL，總裁辦公室訪問財(cái)務(wù)服務(wù)器的報(bào)文默認(rèn)允許通過。

保護(hù)企業(yè)內(nèi)網(wǎng)環(huán)境安全，防止Internet病毒入侵。實(shí)現(xiàn)方式：

在Interface 3的入方向上部署ACL，將病毒經(jīng)常使用的端口予以封堵。

ACL的基本原理

ACL由一系列規(guī)則組成，通過將報(bào)文與ACL規(guī)則進(jìn)行匹配，設(shè)備可以過濾出特定的報(bào)文。

ACL的組成

一條ACL的結(jié)構(gòu)組成，如圖2所示。
圖2 ACL的結(jié)構(gòu)組成

https://download.huawei.com/mdl/imgDownload?uuid=7322cd23c9794288b0add18d9f523393.png

ACL編號(hào)：用于標(biāo)識(shí)ACL，表明該ACL是數(shù)字型ACL。

根據(jù)ACL規(guī)則功能的不同，ACL被劃分為基本ACL、高級(jí)ACL、二層ACL和用戶ACL這幾種類型，每類ACL編號(hào)的取值范圍不同。
除了可以通過ACL編號(hào)標(biāo)識(shí)ACL，設(shè)備還支持通過名稱來標(biāo)識(shí)ACL，就像用域名代替IP地址一樣，更加方便記憶。這種ACL，稱為命名型ACL。
命名型ACL實(shí)際上是“名字+數(shù)字”的形式，可以在定義命名型ACL時(shí)同時(shí)指定ACL編號(hào)。如果不指定編號(hào)，則由系統(tǒng)自動(dòng)分配。

規(guī)則：即描述報(bào)文匹配條件的判斷語句。
- 規(guī)則編號(hào)：用于標(biāo)識(shí)ACL規(guī)則。可以自行配置規(guī)則編號(hào)，也可以由系統(tǒng)自動(dòng)分配。

ACL規(guī)則的編號(hào)范圍是0～4294967294，所有規(guī)則均按照規(guī)則編號(hào)從小到大進(jìn)行排序。所以，如圖2的rule 5排在首位，而規(guī)則編號(hào)最大的rule 4294967294排在末位。系統(tǒng)按照規(guī)則編號(hào)從小到大的順序，將規(guī)則依次與報(bào)文匹配，一旦匹配上一條規(guī)則即停止匹配。

動(dòng)作：包括permit/deny兩種動(dòng)作，表示允許/拒絕。
匹配項(xiàng)：ACL定義了極其豐富的匹配項(xiàng)。除了圖2中的源地址和生效時(shí)間段，ACL還支持很多其他規(guī)則匹配項(xiàng)。例如，二層以太網(wǎng)幀頭信息（如源MAC、目的MAC、以太幀協(xié)議類型）、三層報(bào)文信息（如目的地址、協(xié)議類型）以及四層報(bào)文信息（如TCP/UDP端口號(hào)）等。

ACL的匹配機(jī)制

設(shè)備將報(bào)文與ACL規(guī)則進(jìn)行匹配時(shí)，遵循“一旦命中即停止匹配”的機(jī)制，如圖3所示。
圖3 ACL的匹配機(jī)制

https://download.huawei.com/mdl/imgDownload?uuid=30513b0eff854b95bf9d3638fd394380.png

首先系統(tǒng)會(huì)查找設(shè)備上是否配置了ACL。

如果ACL不存在，則返回ACL匹配結(jié)果為：不匹配。
如果ACL存在，則查找設(shè)備是否配置了ACL規(guī)則。
- 如果規(guī)則不存在，則返回ACL匹配結(jié)果為：不匹配。
- 如果規(guī)則存在，則系統(tǒng)會(huì)從ACL中編號(hào)最小的規(guī)則開始查找。
  - 如果匹配上了permit規(guī)則，則停止查找規(guī)則，并返回ACL匹配結(jié)果為：匹配（允許）。
  - 如果匹配上了deny規(guī)則，則停止查找規(guī)則，并返回ACL匹配結(jié)果為：匹配（拒絕）。
  - 如果未匹配上規(guī)則，則繼續(xù)查找下一條規(guī)則，以此循環(huán)。如果一直查到最后一條規(guī)則，報(bào)文仍未匹配上，則返回ACL匹配結(jié)果為：不匹配。