1. 引言
網絡中的流量多種多樣,有訪問WEB 頁面的流量,有電子郵件EMAIL 的流量,有在線聊天的流量,有在線電影的流量,也有網絡下載的流量,等等。這些流量中有些是為了辦公,有些是為了娛樂;有些流量是安全的,也有一些流量是不安全的。當網絡管理員想阻擋某些數據而讓其他的一些數據通過時,就需要進行包過濾的配置,訪問控制列表ACL就是一種用來過濾網絡流量的實用工具。
2.利用ACL服務保護網絡安全
訪問控制列表ACL(Access Control List)是指根據預先定義好的訪問控制規則對通過該網絡節點的數據包進行一一匹配。只有符合訪問控制規則的數據包,才允許通過該節點而轉發到相應的輸出接口,從而達到對數據的訪問進行控制。
如圖1 所示,在路由器R 部署ACL后,在Internet 中未授權的用戶不能訪問公司總部的內部服務器,而經過授權的辦事處則可以訪問公司總部內部網絡,從而達到過濾網絡流量和保護內部網絡的目的。
圖 1
訪問控制列表是一種流量控制技術。流量管理的目的是阻止不需要的流量通過,同時允許合法用戶流量能夠訪問相應的服務。建立訪問控制列表后,可以限制網絡流量,提高網絡性能,對通信流量起到控制,這也是對網絡訪問的基本安全手段。在路由器的接口上配置訪問控制列表后,可以對入站接口、出站接口以及通過路由器中繼的數據包進行安全檢測。
訪問控制列表(Access Control List,ACL)是控制流入、流出路由器數據包的一種方法。它通過在數據包流入路由器或流出路由器時進行檢查、過濾達到流量管理的目的。
訪問控制列表不但可以起到控制網絡流量、流向的作用,而且在很大程度上起到保護網絡設備、服務器的關鍵作用。作為外網進入企業內網的關卡,路由器上的訪問控制列表成為保護內網安全的有效手段。
3.ACL工作原理
在路由器中使用訪問控制列表時,訪問控制列表是部署在路由器的某個接口的某個方向上。因此,對于路由器來說存在入口方向(Inbound)和出口方向(Outbound)兩個方向。在路由器中從某個接口進入路由器稱為入口方向;離開路由器稱為出口方向。在同一個路由器的兩個接口之間轉發數據,沒有方向區別。如圖2,數據包從Fa0/1 和Fa0/2 進入路由器,屬于Inbound;數據包從Fa0/1 和Fa0/2 離開路由器,屬于Onbound;而數據包從Fa0/1 轉發到Fa0/2 口,沒有Inbound 和Outbound 的概念。
圖2
4. ACL的工作流程
ACL可被應用在路由器的入口和出口方向上,并且一臺路由器上可以設置多個ACL。但對于一臺路由器的某個特定接口的特定方向上,針對某一個協議,如IP 協議,只能同時應用一個ACL。
如圖3 所示,ACL應用在路由器出口方向(outbound)時,首先查找路由表,找到轉發接口(如果路由表中沒有相應的路由條目,路由器會直接丟棄此數據包,并給源主機發送目的不可達消息)。確定出口后需要檢查是否在外出接口上配置了ACL。如果沒有配置ACL,路由器將做與外出接口數據鏈路層協議相同的2 層封裝,并轉發數據;如果在出接口上配置了ACL,則要根據ACL制定的規則對數據包進行判斷。如果匹配了某一條ACL的判斷語句并且這條語句的關鍵字是permit,則轉發數據包;如果匹配了某一條ACL的判斷語句并且這條語句的關鍵字是deny,則丟棄數據包。
圖3
由此可知,如果ACL是應用在路由器的出口方向(Outbound)時,在路由器中的處理流程為先進行路由選擇,然后進行ACL判斷;相反,如果ACL是應用在路由器的入口方向(Inbound)時,則先判斷ACL,然后再進行路由選擇。
5.ACL的使用位置
對于標準ACL,由于它只能過濾源IP。為了不影響源主機的通信,一般我們將標準ACL放在離目的端比較近的地方。擴展ACL可以精確的定位某一類的數據流。為了不讓無用的流量占據網絡帶寬,一般我們將擴展ACL放在離源端比較近的地方。
6.結束語
總之,ACI 也是一把雙刃劍,在實現對數據流更精確劃分的同時,也犧牲了設備的轉發性能。好的服務質量與更高的轉發性能,在硬件處理能力一定的情況下,就是此長彼消的。這也是在IP 網絡領域中運營商和設備供應商不得不面對的事實。就需要ISP 根據現網的業務需求做相應的權衡了。
目前,在IP 網絡領域中,ACI 從技術更新到實現,還有很大的發展空間:效率更好的硬件支持,更合理、快速的硬件管理機制,更切實的應用場合。這些都將伴隨IP 網絡發展的需求,擺在人們的面前。但是,更合理的服務質量,更切實際的ACL應用,也將會在IP 網絡的服務質量和網絡安全領域展開全新的一頁。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:利用ACL服務保障中小型企業網絡安全