随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
学习本章内容后,我们应该能够:
-
- 理解ACL技术概念
- 理解ACL的基本原理
- 掌握ACL的基本配置
12.1 ACL的技术概念
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
如图12-1所示,某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。我们可以在Interface 1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过,Interface 2上无需部署ACL,总裁办公室访问财务服务器的报文默认允许通过。在Interface 3的入方向上部署ACL,防止病毒通过该接口入侵。
图12-1 某企业拓扑结构
12.2 ACL的基本原理
12.2.1 ACL的组成
一条ACL的结构组成如图12-2所示,
图12-2 ACL的结构组成
- ACL名称:通过名称来标识ACL,就像用域名代替IP地址一样,更加方便记忆。这种ACL,称为命名型ACL。
- ACL编号:用于标识ACL,也可以单独使用ACL编号,表明该ACL是数字型。
- 规则:即描述报文匹配条件的判断语句。
- 规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。
- 动作:报文处理动作,包括permit/deny两种,表示允许/拒绝。
- 匹配项:ACL定义了极其丰富的匹配项。除了图12-2中的源地址和生效时间段,ACL还支持很多其他规则匹配项。
12.2.2 ACL的专业术语
- 规则编号
每条规则都有一个相应的编号,称为规则编号,用来标识ACL规则。可以自定义,也可以系统自动分配。系统自动为ACL规则分配编号时,每个相邻规则编号之间会有一个差值,这个差值称为“步长”。缺省步长为5,所以规则编号就是5/10/15…以此类推,如图12-3所示,
图12-3 规则编号
- 通配符
通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配,换算成二进制后,“0”表示“匹配”,“1”表示“不关心”。如图12-3中的rule 15 permit source 10.1.1.0 0.0.0.255中0.0.0.255为通配符,前面24位为0,代表严格匹配,后面8位为1代表任意匹配,所以是允许10.1.1.0/24位。
12.2.3 ACL的分类
- 基于ACL规则定义方式的划分,可分为:基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。它们的编号范围和规则如图12-4所示,
图12-4 基于ACL规则定义方式的分类
- 基于ACL标识方法的划分,则可分为:数字型ACL和命名型ACL,如图12-5所示,
图12-5 基于ACL标识方法的划分
本文出自作者的《HCIA Datacom学习指南》
https://item.jd.com/14032255.html
在文章最后加作者VX:可以免费领取以下资料