新睿云

> 知识库 > acl是什么?其原理是什么?

acl是什么?其原理是什么?

作者/来源:新睿云小编 发布时间:2019-10-21

在计算机的世界中,ACL是安全性的最基本组成部分之一。访问控制列表“ ACL ”监视传入和传出的流量,并将其与一组定义的语句进行比较。

在本文中,笔者将深入研究ACL的功能,并回答以下有关ACL的常见问题?

访问控制列表“ ACL”是可以控制传入或传出流量的网络流量过滤器。

ACL 遵循一组规则,这些规则定义了如何在路由器接口上转发或阻止数据包。ACL与无状态防火墙相同,后者仅限制,阻止或允许从源流向目标的数据包。

当您在路由设备上为特定接口定义ACL时,所有流过的流量都将与ACL语句进行比较,该语句将阻止或允许它。

定义ACL规则的标准可以是源,目的地,特定协议或更多信息。

ACL在路由器或防火墙中很常见,但是它们也可以在主机,网络设备,服务器等网络中运行的任何设备中配置它们。

一、为什么要使用ACL?

使用ACL的主要思想是为您的网络提供安全性。没有它,任何流量都将被允许进入或退出,使其更容易受到有害和危险流量的攻击。

为了提高ACL的安全性,您可以例如拒绝特定的路由更新或提供流量控制。

如在下面的图所示,路由设备具有被拒绝访问主机的ACL Ç到金融网络,并在同一时间,它被允许访问主机d。

ACL1

使用ACL,您可以过滤单个或一组IP地址或不同协议(例如TCP或UDP)的数据包。

因此,例如,您可以拒绝访问整个网络而只允许一个主机,而不是只阻止工程团队中的一台主机。或者,您也可以限制对主机C的访问。

如果主机C的工程师需要访问金融网络中的Web服务器,则只能允许端口80,并阻止其他所有端口。

您可以在哪里放置ACL?

面向未知外部网络(例如Internet)的设备需要一种方法来过滤流量。因此,配置ACL的最佳位置之一是在边缘路由器上。

可以将具有ACL的路由设备面向Internet并连接DMZ(非军事区),该区是划分公用Internet和专用网络的缓冲区。

DMZ保留给需要外部访问的服务器,例如Web服务器,应用程序服务器,DNS服务器,VPN等。

如下图所示,该设计显示了一个由两个设备划分的DMZ,一个将受信任的区域与DMZ分开,另一个将其与Internet(公用网络)分开。

ACL2

二、ACL类型是什么

您可以将四种类型的ACL用于不同目的,它们是标准,扩展,动态,自反和基于时间的ACL。

1.标准ACL

标准ACL旨在仅使用源地址来保护网络。

它是最基本的类型,可以用于简单的部署,但是不幸的是,它不能提供强大的安全性。思科路由器上的标准ACL的配置如下:

ACL3

2.扩展ACL

使用扩展的ACL,您还可以阻止单个主机或整个网络的源和目标。

您还可以使用扩展的ACL根据协议信息(IP,ICMP,TCP,UDP)过滤流量。

思科路由器中用于TCP 的扩展ACL的配置如下:

ACL4

3.动态ACL

动态ACL依赖于扩展ACL,Telnet和身份验证。这种类型的ACL通常称为“锁定和钥匙”,可用于特定的时间范围。

仅当用户通过Telnet对设备进行身份验证时,这些列表才允许用户访问源或目标。

以下是Cisco路由器中动态ACL的配置。

ACL5

4.自反ACL

自反ACL也称为IP会话ACL。这些类型的ACL会根据上层会话信息过滤流量。

它们对路由器内部发起的会话做出反应,以允许出站流量还是限制入站流量。路由器识别出站ACL通信,并为入站创建新的ACL条目。

会话结束后,该条目将被删除。

思科路由器中自反ACL的配置如下:

ACL5

热门标签
免费领云产品

免费用

立即领取
联系客服
在线客服   
反馈意见
返回顶部
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待