ACL分類和作用
ACL 是什么
訪問(wèn)控制列表(ACL)是一種基于包過(guò)濾的訪問(wèn)控制技術(shù),它可以根據(jù)設(shè)定的條件對(duì)接口上的數(shù)據(jù)包進(jìn)行過(guò)濾,允許其通過(guò)或丟棄。訪問(wèn)控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī),借助于訪問(wèn)控制列表,可以有效地控制用戶對(duì)網(wǎng)絡(luò)的訪問(wèn),從而最大程度地保障網(wǎng)絡(luò)安全。
ACL 的作用
ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級(jí)。
ACL提供對(duì)通信流量的控制手段。例如,ACL可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度,從而限制通過(guò)路由器某一網(wǎng)段的通信流量。
ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段。ACL允許主機(jī)A訪問(wèn)人力資源網(wǎng)絡(luò),而拒絕主機(jī)B訪問(wèn)。
ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:某部門要求只能使用 WWW 這個(gè)功能,就可以通過(guò)ACL實(shí)現(xiàn); 又例如,為了某部門的保密性,不允許其訪問(wèn)外網(wǎng),也不允許外網(wǎng)訪問(wèn)它,就可以通過(guò)ACL實(shí)現(xiàn)。
ACL的分類
實(shí)際上,按照ACL規(guī)則功能的不同,ACL被劃分為基本ACL、高級(jí)ACL、二層ACL、用戶自定義ACL和用戶ACL這五種類型。每種類型ACL對(duì)應(yīng)的編號(hào)范圍是不同的。ACL 2000屬于基本ACL,ACL 3998屬于高級(jí)ACL。高級(jí)ACL可以定義比基本ACL更準(zhǔn)確、更豐富、更靈活的規(guī)則,所以高級(jí)ACL的功能更加強(qiáng)大。
ACL可以應(yīng)用于多種場(chǎng)合,其中最為常見的應(yīng)用情形如下:
1、過(guò)濾鄰居設(shè)備間傳遞的路由信息。
2、控制交換訪問(wèn),以此阻止非法訪問(wèn)設(shè)備的行為,如對(duì) Console接口、 Telnet或SSH訪問(wèn)實(shí)施控制。
3、控制穿越網(wǎng)絡(luò)設(shè)備的流量和網(wǎng)絡(luò)訪問(wèn)。
4、通過(guò)限制對(duì)路由器上某些服務(wù)的訪問(wèn)來(lái)保護(hù)路由器,如HTP、SNMP和NIP等。
5、為DDR和 IPSeC VPN定義感興趣流。
6、能夠以多種方式在IOS中實(shí)現(xiàn)QoS(服務(wù)質(zhì)量)特性。
7、在其他安全技術(shù)中的擴(kuò)展應(yīng)用,如TCP攔截和IOS防火墻。
正確放置ACL位置
在適當(dāng)?shù)奈恢梅胖?ACL 可以過(guò)濾掉不必要的流量,使網(wǎng)絡(luò)更加高效。ACL可以充當(dāng)防火墻來(lái)過(guò)濾數(shù)據(jù)包并去除不必要的流量。ACL的放置位置決定了是否能有效減少不必要的流量。例如,會(huì)被遠(yuǎn)程目的地拒絕的流量不應(yīng)該消耗通往該目的地的路徑上的網(wǎng)絡(luò)資源。
每個(gè)ACL都應(yīng)該放置在最能發(fā)揮作用的位置。基本的規(guī)則是:
將擴(kuò)展 ACL盡可能靠近要拒絕流量的源。這樣,才能在不需要的流量流經(jīng)網(wǎng)絡(luò)之前將其過(guò)濾掉。