訪問控制列表(Access Control List,ACL) 是路由器和交換機接口的指令列表,用來控制端口進出的數據包。ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等。
信息點間通信和內外網絡的通信都是企業網絡中必不可少的業務需求,為了保證內網的安全性,需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源,從而達到對訪問進行控制的目的。簡而言之,ACL可以過濾網絡中的流量,是控制訪問的一種網絡技術手段。
配置ACL後,可以限制網絡流量,允許特定設備訪問,指定轉發特定端口數據包等。如可以配置ACL,禁止局域網內的設備訪問外部公共網絡,或者只能使用FTP服務。ACL既可以在路由器上配置,也可以在具有ACL功能的業務軟件上進行配置。
ACL是物聯網中保障系統安全性的重要技術,在設備硬件層安全基礎上,通過對在軟件層面對設備間通信進行訪問控制,使用可編程方法指定訪問規則,防止非法設備破壞系統安全,非法獲取系統數據。
ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:某部門要求只能使用 WWW 這個功能,就可以通過ACL實現; 又例如,為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。
記住 3P 原則,您便記住了在路由器上應用 ACL 的一般規則。您可以為每種協議 (per protocol)、每個方向 (per direction)、每個接口 (per interface) 配置一個 ACL:
每種協議一個 ACL:要控制接口上的流量,必須為接口上啟用的每種協議定義相應的 ACL。
每個方向一個 ACL :一個 ACL 只能控制接口上一個方向的流量。要控制入站流量和出站流量,必須分別定義兩個 ACL。
每個接口一個 ACL :一個 ACL 只能控制一個接口(例如快速以太網0/0)上的流量。
ACL 的編寫可能相當複雜而且極具挑戰性。每個接口上都可以針對多種協議和各個方向進行定義。示例中的路由器有兩個接口配置了 IP、AppleTalk 和 IPX。該路由器可能需要 12 個不同的 ACL — 協議數 (3) 乘以方向數 (2),再乘以端口數 (2)。
閱讀更多 天津網土豆 的文章
