1. 引言

    網(wǎng)絡(luò)中的流量多種多樣，有訪問WEB 頁面的流量，有電子郵件EMAIL 的流量，有在線聊天的流量，有在線電影的流量，也有網(wǎng)絡(luò)下載的流量，等等。這些流量中有些是為了辦公，有些是為了娛樂；有些流量是安全的，也有一些流量是不安全的。當(dāng)網(wǎng)絡(luò)管理員想阻擋某些數(shù)據(jù)而讓其他的一些數(shù)據(jù)通過時，就需要進(jìn)行包過濾的配置，訪問控制列表ACL就是一種用來過濾網(wǎng)絡(luò)流量的實用工具。

2.利用ACL服務(wù)保護(hù)網(wǎng)絡(luò)安全

    訪問控制列表ACL（Access Control List)是指根據(jù)預(yù)先定義好的訪問控制規(guī)則對通過該網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)包進(jìn)行一一匹配。只有符合訪問控制規(guī)則的數(shù)據(jù)包，才允許通過該節(jié)點(diǎn)而轉(zhuǎn)發(fā)到相應(yīng)的輸出接口，從而達(dá)到對數(shù)據(jù)的訪問進(jìn)行控制。

    如圖1 所示，在路由器R 部署ACL后，在Internet 中未授權(quán)的用戶不能訪問公司總部的內(nèi)部服務(wù)器，而經(jīng)過授權(quán)的辦事處則可以訪問公司總部內(nèi)部網(wǎng)絡(luò)，從而達(dá)到過濾網(wǎng)絡(luò)流量和保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。

圖 1

    訪問控制列表是一種流量控制技術(shù)。流量管理的目的是阻止不需要的流量通過，同時允許合法用戶流量能夠訪問相應(yīng)的服務(wù)。建立訪問控制列表后，可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對通信流量起到控制，這也是對網(wǎng)絡(luò)訪問的基本安全手段。在路由器的接口上配置訪問控制列表后，可以對入站接口、出站接口以及通過路由器中繼的數(shù)據(jù)包進(jìn)行安全檢測。

    訪問控制列表（Access Control List，ACL）是控制流入、流出路由器數(shù)據(jù)包的一種方法。它通過在數(shù)據(jù)包流入路由器或流出路由器時進(jìn)行檢查、過濾達(dá)到流量管理的目的。

    訪問控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。作為外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的關(guān)卡，路由器上的訪問控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段。

3.ACL工作原理

    在路由器中使用訪問控制列表時，訪問控制列表是部署在路由器的某個接口的某個方向上。因此，對于路由器來說存在入口方向（Inbound）和出口方向（Outbound）兩個方向。在路由器中從某個接口進(jìn)入路由器稱為入口方向；離開路由器稱為出口方向。在同一個路由器的兩個接口之間轉(zhuǎn)發(fā)數(shù)據(jù)，沒有方向區(qū)別。如圖2，數(shù)據(jù)包從Fa0/1 和Fa0/2 進(jìn)入路由器，屬于Inbound；數(shù)據(jù)包從Fa0/1 和Fa0/2 離開路由器，屬于Onbound；而數(shù)據(jù)包從Fa0/1 轉(zhuǎn)發(fā)到Fa0/2 口，沒有Inbound 和Outbound 的概念。

圖2

4. ACL的工作流程

    ACL可被應(yīng)用在路由器的入口和出口方向上，并且一臺路由器上可以設(shè)置多個ACL。但對于一臺路由器的某個特定接口的特定方向上，針對某一個協(xié)議，如IP 協(xié)議，只能同時應(yīng)用一個ACL。

    如圖3 所示，ACL應(yīng)用在路由器出口方向（outbound）時，首先查找路由表，找到轉(zhuǎn)發(fā)接口（如果路由表中沒有相應(yīng)的路由條目，路由器會直接丟棄此數(shù)據(jù)包，并給源主機(jī)發(fā)送目的不可達(dá)消息）。確定出口后需要檢查是否在外出接口上配置了ACL。如果沒有配置ACL，路由器將做與外出接口數(shù)據(jù)鏈路層協(xié)議相同的2 層封裝，并轉(zhuǎn)發(fā)數(shù)據(jù)；如果在出接口上配置了ACL，則要根據(jù)ACL制定的規(guī)則對數(shù)據(jù)包進(jìn)行判斷。如果匹配了某一條ACL的判斷語句并且這條語句的關(guān)鍵字是permit，則轉(zhuǎn)發(fā)數(shù)據(jù)包；如果匹配了某一條ACL的判斷語句并且這條語句的關(guān)鍵字是deny，則丟棄數(shù)據(jù)包。

圖3

    由此可知，如果ACL是應(yīng)用在路由器的出口方向（Outbound）時，在路由器中的處理流程為先進(jìn)行路由選擇，然后進(jìn)行ACL判斷；相反，如果ACL是應(yīng)用在路由器的入口方向（Inbound）時，則先判斷ACL，然后再進(jìn)行路由選擇。

5.ACL的使用位置

    對于標(biāo)準(zhǔn)ACL，由于它只能過濾源IP。為了不影響源主機(jī)的通信，一般我們將標(biāo)準(zhǔn)ACL放在離目的端比較近的地方。擴(kuò)展ACL可以精確的定位某一類的數(shù)據(jù)流。為了不讓無用的流量占據(jù)網(wǎng)絡(luò)帶寬，一般我們將擴(kuò)展ACL放在離源端比較近的地方。

6.結(jié)束語

    總之，ACI 也是一把雙刃劍，在實現(xiàn)對數(shù)據(jù)流更精確劃分的同時，也犧牲了設(shè)備的轉(zhuǎn)發(fā)性能。好的服務(wù)質(zhì)量與更高的轉(zhuǎn)發(fā)性能，在硬件處理能力一定的情況下，就是此長彼消的。這也是在IP 網(wǎng)絡(luò)領(lǐng)域中運(yùn)營商和設(shè)備供應(yīng)商不得不面對的事實。就需要ISP 根據(jù)現(xiàn)網(wǎng)的業(yè)務(wù)需求做相應(yīng)的權(quán)衡了。

    目前，在IP 網(wǎng)絡(luò)領(lǐng)域中，ACI 從技術(shù)更新到實現(xiàn)，還有很大的發(fā)展空間：效率更好的硬件支持，更合理、快速的硬件管理機(jī)制，更切實的應(yīng)用場合。這些都將伴隨IP 網(wǎng)絡(luò)發(fā)展的需求，擺在人們的面前。但是，更合理的服務(wù)質(zhì)量，更切實際的ACL應(yīng)用，也將會在IP 網(wǎng)絡(luò)的服務(wù)質(zhì)量和網(wǎng)絡(luò)安全領(lǐng)域展開全新的一頁。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：利用ACL服務(wù)保障中小型企業(yè)網(wǎng)絡(luò)安全

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112155461.html