1. 引言

    網(wǎng)絡(luò)中的流量多種多樣，有訪問(wèn)WEB 頁(yè)面的流量，有電子郵件EMAIL 的流量，有在線聊天的流量，有在線電影的流量，也有網(wǎng)絡(luò)下載的流量，等等。這些流量中有些是為了辦公，有些是為了娛樂(lè)；有些流量是安全的，也有一些流量是不安全的。當(dāng)網(wǎng)絡(luò)管理員想阻擋某些數(shù)據(jù)而讓其他的一些數(shù)據(jù)通過(guò)時(shí)，就需要進(jìn)行包過(guò)濾的配置，訪問(wèn)控制列表ACL就是一種用來(lái)過(guò)濾網(wǎng)絡(luò)流量的實(shí)用工具。

2.利用ACL服務(wù)保護(hù)網(wǎng)絡(luò)安全

    訪問(wèn)控制列表ACL（Access Control List)是指根據(jù)預(yù)先定義好的訪問(wèn)控制規(guī)則對(duì)通過(guò)該網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)包進(jìn)行一一匹配。只有符合訪問(wèn)控制規(guī)則的數(shù)據(jù)包，才允許通過(guò)該節(jié)點(diǎn)而轉(zhuǎn)發(fā)到相應(yīng)的輸出接口，從而達(dá)到對(duì)數(shù)據(jù)的訪問(wèn)進(jìn)行控制。

    如圖1 所示，在路由器R 部署ACL后，在Internet 中未授權(quán)的用戶不能訪問(wèn)公司總部的內(nèi)部服務(wù)器，而經(jīng)過(guò)授權(quán)的辦事處則可以訪問(wèn)公司總部?jī)?nèi)部網(wǎng)絡(luò)，從而達(dá)到過(guò)濾網(wǎng)絡(luò)流量和保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。

圖 1

    訪問(wèn)控制列表是一種流量控制技術(shù)。流量管理的目的是阻止不需要的流量通過(guò)，同時(shí)允許合法用戶流量能夠訪問(wèn)相應(yīng)的服務(wù)。建立訪問(wèn)控制列表后，可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對(duì)通信流量起到控制，這也是對(duì)網(wǎng)絡(luò)訪問(wèn)的基本安全手段。在路由器的接口上配置訪問(wèn)控制列表后，可以對(duì)入站接口、出站接口以及通過(guò)路由器中繼的數(shù)據(jù)包進(jìn)行安全檢測(cè)。

    訪問(wèn)控制列表（Access Control List，ACL）是控制流入、流出路由器數(shù)據(jù)包的一種方法。它通過(guò)在數(shù)據(jù)包流入路由器或流出路由器時(shí)進(jìn)行檢查、過(guò)濾達(dá)到流量管理的目的。

    訪問(wèn)控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。作為外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的關(guān)卡，路由器上的訪問(wèn)控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段。

3.ACL工作原理

    在路由器中使用訪問(wèn)控制列表時(shí)，訪問(wèn)控制列表是部署在路由器的某個(gè)接口的某個(gè)方向上。因此，對(duì)于路由器來(lái)說(shuō)存在入口方向（Inbound）和出口方向（Outbound）兩個(gè)方向。在路由器中從某個(gè)接口進(jìn)入路由器稱(chēng)為入口方向；離開(kāi)路由器稱(chēng)為出口方向。在同一個(gè)路由器的兩個(gè)接口之間轉(zhuǎn)發(fā)數(shù)據(jù)，沒(méi)有方向區(qū)別。如圖2，數(shù)據(jù)包從Fa0/1 和Fa0/2 進(jìn)入路由器，屬于Inbound；數(shù)據(jù)包從Fa0/1 和Fa0/2 離開(kāi)路由器，屬于Onbound；而數(shù)據(jù)包從Fa0/1 轉(zhuǎn)發(fā)到Fa0/2 口，沒(méi)有Inbound 和Outbound 的概念。

圖2

4. ACL的工作流程

    ACL可被應(yīng)用在路由器的入口和出口方向上，并且一臺(tái)路由器上可以設(shè)置多個(gè)ACL。但對(duì)于一臺(tái)路由器的某個(gè)特定接口的特定方向上，針對(duì)某一個(gè)協(xié)議，如IP 協(xié)議，只能同時(shí)應(yīng)用一個(gè)ACL。

    如圖3 所示，ACL應(yīng)用在路由器出口方向（outbound）時(shí)，首先查找路由表，找到轉(zhuǎn)發(fā)接口（如果路由表中沒(méi)有相應(yīng)的路由條目，路由器會(huì)直接丟棄此數(shù)據(jù)包，并給源主機(jī)發(fā)送目的不可達(dá)消息）。確定出口后需要檢查是否在外出接口上配置了ACL。如果沒(méi)有配置ACL，路由器將做與外出接口數(shù)據(jù)鏈路層協(xié)議相同的2 層封裝，并轉(zhuǎn)發(fā)數(shù)據(jù)；如果在出接口上配置了ACL，則要根據(jù)ACL制定的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行判斷。如果匹配了某一條ACL的判斷語(yǔ)句并且這條語(yǔ)句的關(guān)鍵字是permit，則轉(zhuǎn)發(fā)數(shù)據(jù)包；如果匹配了某一條ACL的判斷語(yǔ)句并且這條語(yǔ)句的關(guān)鍵字是deny，則丟棄數(shù)據(jù)包。

圖3

    由此可知，如果ACL是應(yīng)用在路由器的出口方向（Outbound）時(shí)，在路由器中的處理流程為先進(jìn)行路由選擇，然后進(jìn)行ACL判斷；相反，如果ACL是應(yīng)用在路由器的入口方向（Inbound）時(shí)，則先判斷ACL，然后再進(jìn)行路由選擇。

5.ACL的使用位置

    對(duì)于標(biāo)準(zhǔn)ACL，由于它只能過(guò)濾源IP。為了不影響源主機(jī)的通信，一般我們將標(biāo)準(zhǔn)ACL放在離目的端比較近的地方。擴(kuò)展ACL可以精確的定位某一類(lèi)的數(shù)據(jù)流。為了不讓無(wú)用的流量占據(jù)網(wǎng)絡(luò)帶寬，一般我們將擴(kuò)展ACL放在離源端比較近的地方。

6.結(jié)束語(yǔ)

    總之，ACI 也是一把雙刃劍，在實(shí)現(xiàn)對(duì)數(shù)據(jù)流更精確劃分的同時(shí)，也犧牲了設(shè)備的轉(zhuǎn)發(fā)性能。好的服務(wù)質(zhì)量與更高的轉(zhuǎn)發(fā)性能，在硬件處理能力一定的情況下，就是此長(zhǎng)彼消的。這也是在IP 網(wǎng)絡(luò)領(lǐng)域中運(yùn)營(yíng)商和設(shè)備供應(yīng)商不得不面對(duì)的事實(shí)。就需要ISP 根據(jù)現(xiàn)網(wǎng)的業(yè)務(wù)需求做相應(yīng)的權(quán)衡了。

    目前，在IP 網(wǎng)絡(luò)領(lǐng)域中，ACI 從技術(shù)更新到實(shí)現(xiàn)，還有很大的發(fā)展空間：效率更好的硬件支持，更合理、快速的硬件管理機(jī)制，更切實(shí)的應(yīng)用場(chǎng)合。這些都將伴隨IP 網(wǎng)絡(luò)發(fā)展的需求，擺在人們的面前。但是，更合理的服務(wù)質(zhì)量，更切實(shí)際的ACL應(yīng)用，也將會(huì)在IP 網(wǎng)絡(luò)的服務(wù)質(zhì)量和網(wǎng)絡(luò)安全領(lǐng)域展開(kāi)全新的一頁(yè)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：利用ACL服務(wù)保障中小型企業(yè)網(wǎng)絡(luò)安全

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112155461.html