摘 要:访问控制列表ACL(access-control-list)在网络安全方面发挥着重要的作用,能够灵活地对进入或离开路由器接口的分组进行过滤,这有助于控制网络流量,限制某些用户或设备访问网络。本文介绍了访问控制列表的工作流程和使用规范,并结合实验室网络通过配置ACL策略来提高实验室的网络安全。
关键词:访问控制列表;ACL;网络安全;网络管理
现代的网络通过使用路由技术,正在不断地把不同种类的网络连接起来,也带来了很多负面影响。因此我们需要一种简单有效的方法来管理这个网络的数据流量。最简单、方便且易于理解和使用的,就是访问控制列表。访问控制列表可以允许或者拒绝数据包通过路由器,从而达到对数据包进行过滤的目的。通过这种对数据流进行控制的手段,可以有效保护敏感的设备或者数据,使它们不受到未经验证的访问的攻击,实现一定的安全策略。
1.访问控制列表
访问控制列表简称为ACL,它使用数据包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对数据包进行过滤,从而达到访问控制的目的。
1.1 访问控制列表的工作流程
由于访问控制列表是用来过滤数据流量的技术,所以它一定是被放置在接口上使用的。同时,由于在接口上数据流量是有进接口(in)和出接口(out)两个方向的,所以在接口上使用访问控制列表也有进(in)和出(out)两个方向。进方向的访问控制列表负责过滤进入接口的数据流量,出方向的访问控制列表负责过滤从接口发出的数据流量。对于路由器的接口来说,在同一个接口上,每种被路由协议的访问控制列表(如IP协议的访问控制列表、IPX协议的访问控制列表,等等)都可以配置两个,一个是进方向的(in),一个是出方向的(out)。
进方向的和出方向的访问控制列表的工作流程如图1-1和图1-2所示。
1.2定义访问控制列表时所应遵循的规范
● 访问控制列表的列表号指出了是哪种协议的访问控制列表。
● 一个访问控制列表的配置是没协议、没接口、没方向的。
● 访问控制列表的语句顺序决定了对数据包的控制顺序。
● 最有限制性的语句应该放在访问控制列表语句的首行。
● 在将访问控制列表应用到接口之前,一定要先建立访问控制列表。
● 访问控制列表的语句不能被逐条地删除,只能一次性地删除整个访问控制列表。
● 在访问控制列表的最后,有一条隐含的"全部拒绝"的命令,所以在访问控制列表里一定至少要有一条"允许"的语句。
● 访问控制列表只能过滤穿过路由器的数据流量,不能过滤路由器本身发出的数据包。
2.访问控制列表在网络管理的应用
图2是诚毅学院机房网络拓扑图,路由器使用以太网接口E0连接到学院的服务器机房(网段为172.20.131.0/24),使用以太网端口E1连接到学生实验室(网段为172.20.133.0/24~172.20.138.0/24),使用以太网端口E2连接到教师办公室(网段为172.20.132.0/24),使用串口S0连接到校园网。
eve McQuerry,CCIE #6108.CCNA 自学指南:Cisco 网络设备互联(第二版)(M).北京:
人民邮电出版社,2004.
唐子蛟,李红蝉.基于ACL的网络安全管理的应用研究.四川理工学院学报(自然科学版),2009.2,22(1).
