任何企業網路系統在為創造價值的同時,對安全性也有很高的要求。acl(網路層訪問控制列表)其實可以幫助企業實現網路安全策略,可以說acl是乙個很不錯的解決工具或方案。
那什麼是acl呢?為了幫助企業網路運維人員深入理解acl,可以根據以下幾點看透acl本質。
一、從名稱解析acl
acl:acess control list,即訪問控制列表。這張表中包含了匹配關係、條件和查詢語句,表只是乙個框架結構,其目的是為了對某種訪問進行控制。
資訊點間通訊,內外網路的通訊都是企業網路中必不可少的業務需求,但是為了保證內網的安全性,需要通過安全策略來保障非授權使用者只能訪問特定的網路資源,從而達到對訪問進行控制的目的。簡而言之,acl可以過濾網路中的流量,控制訪問的一種網路技術手段。
二、看透acl的本質
通常,很多企業都在使用nat技術進行位址轉換,而nat技術中就包含了acl的應用。通過acl,我們可以控制哪些私有位址能上外網(公網),哪些不能。然後把這些過濾好的資料,進行nat轉換。另外,企業也需要對伺服器的資源訪問進行控制,通過acl過濾出哪些使用者不能訪問,哪些使用者能訪問。
從實際應用中,我們看到acl能夠區分不同的資料流。這也意味著acl的本質其實是一種流量分類技術,它是人為定義的一組或幾組規則,目的是通過網路裝置對資料流分類,以便執行使用者規定的動作。換句話說,acl本身不能直接達到訪問控制的目的,它間接輔助特定的使用者策略,達到人們所需效果的一種技術手段。在筆者看來,acl是一種輔助型的技術或者說是工具。
三、玩轉基本的acl
拓撲描述:某企業有100個資訊點,分屬五個部門。用一台二層交換機和一台路由器作為網路層裝置;區域網內部有一台oa伺服器。
組網需求:五個部門分屬5個vlan,vlan間不能互通。要求所有終端都可以上公網,並訪問oa伺服器。
也就是說,有兩個需求:
1、5個部門的終端不能互相通訊
2、5個部門都要求能夠訪問oa server和公網。
根據這兩種實際需求,怎麼用acl實現呢?
以cisco路由器為例,在全域性模式下進行如下配置:
access-list 100 permit ip any host oa的ip
access-list 100 deny ip any ip網路號 萬用字元
access-list 100 permit ip any any
然後在相應的子介面下繫結:
ip access-group 100 in
命令解釋:第一條就是允許oa伺服器上的資料進入,第二條就是拒絕其它四個部門的資料流進入,第三條是允許所有流量進入,然後最後在相應介面繫結並啟用放通或丟棄的操作。
我們配置acl都有幾個配置原則,細化優先原則和最長匹配原則,不同的配置順序影響不同的執行效果。通常都是按乙個彙總的原則進行規劃ip位址,所以第二條後面的ip網路號代表的是其它vlan的子網彙總網路號。一般來說,思科的acl最後都預設隱藏了一條deny 所有的語句,所以必須人為新增一條permit語句。
在邊界路由器上配置上述的命令,就能滿足需求了,當然還需要和其他配置命令相結合使用,比如劃分vlan,配置路由協議等。但無論是怎樣的需求,只要記住acl的核心,它是一種流量分類技術,可以用特定的方式標記和分類網路中的流量,配合其它操作策略一起完成某項任務。只要明白這點,我們就能夠玩好基本的acl了。
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...