ACL簡介
介紹ACL的定義和作用。
定義
訪問控制列表ACL(Access Control List)是由一條或多條規則組成的集合。所謂規則,是指描述報文匹配條件的判斷語句,這些條件可以是報文的源地址、目的地址、端口號等。
ACL本質上是一種報文過濾器,規則是過濾器的濾芯。設備基於這些規則進行報文匹配,可以過濾出特定的報文,並根據應用ACL的業務模塊的處理策略來允許或阻止該報文通過。
說明:
配置ACL後,還需將ACL在業務模塊中應用,ACL才能生效。
ACL可以應用於諸多業務模塊,其中最基本的ACL應用,就是在簡化流策略/流策略中應用ACL,使設備能夠基於全局、VLAN或接口下發ACL,實現對轉發報文的過濾。此外,ACL還可以應用在Telnet、FTP、路由等模塊。業務模塊之間的ACL默認處理動作和處理機制有所不同,
目的
隨著網絡的飛速發展,網絡安全和網絡服務質量QoS(Quality of Service)問題日益突出。
- 企業重要服務器資源被隨意訪問,企業機密信息容易洩露,造成安全隱患。
- Internet病毒肆意侵略企業內網,內網環境的安全性堪憂。
- 網絡帶寬被各類業務隨意擠佔,服務質量要求最高的語音、視頻業務的帶寬得不到保障,造成用戶體驗差。
以上種種問題,都對正常的網絡通信造成了很大的影響。因此,提高網絡安全性服務質量迫在眉睫。ACL就在這種情況下應運而生了。
通過ACL可以實現對網絡中報文流的精確識別和控制,達到控制網絡訪問行為、防止網絡攻擊和提高網絡帶寬利用率的目的,從而切實保障網絡環境的安全性和網絡服務質量的可靠性。
ACL典型應用場景
- 某企業為保證財務數據安全,禁止研發部門訪問財務服務器,但總裁辦公室不受限制。實現方式:
在Interface 1的入方向上部署ACL,禁止研發部門訪問財務服務器的報文通過。Interface 2上無需部署ACL,總裁辦公室訪問財務服務器的報文默認允許通過。
- 保護企業內網環境安全,防止Internet病毒入侵。實現方式:
在Interface 3的入方向上部署ACL,將病毒經常使用的端口予以封堵。
分享到:
閱讀更多 IT信息技術隨筆 的文章
