1. 引言
网络中的流量多种多样,有访问WEB 页面的流量,有电子邮件EMAIL 的流量,有在线聊天的流量,有在线电影的流量,也有网络下载的流量,等等。这些流量中有些是为了办公,有些是为了娱乐;有些流量是安全的,也有一些流量是不安全的。当网络管理员想阻挡某些数据而让其他的一些数据通过时,就需要进行包过滤的配置,访问控制列表ACL就是一种用来过滤网络流量的实用工具。
2.利用ACL服务保护网络安全
访问控制列表ACL(Access Control List)是指根据预先定义好的访问控制规则对通过该网络节点的数据包进行一一匹配。只有符合访问控制规则的数据包,才允许通过该节点而转发到相应的输出接口,从而达到对数据的访问进行控制。
如图1 所示,在路由器R 部署ACL后,在Internet 中未授权的用户不能访问公司总部的内部服务器,而经过授权的办事处则可以访问公司总部内部网络,从而达到过滤网络流量和保护内部网络的目的。
图 1
访问控制列表是一种流量控制技术。流量管理的目的是阻止不需要的流量通过,同时允许合法用户流量能够访问相应的服务。建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制,这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后,可以对入站接口、出站接口以及通过路由器中继的数据包进行安全检测。
访问控制列表(Access Control List,ACL)是控制流入、流出路由器数据包的一种方法。它通过在数据包流入路由器或流出路由器时进行检查、过滤达到流量管理的目的。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
3.ACL工作原理
在路由器中使用访问控制列表时,访问控制列表是部署在路由器的某个接口的某个方向上。因此,对于路由器来说存在入口方向(Inbound)和出口方向(Outbound)两个方向。在路由器中从某个接口进入路由器称为入口方向;离开路由器称为出口方向。在同一个路由器的两个接口之间转发数据,没有方向区别。如图2,数据包从Fa0/1 和Fa0/2 进入路由器,属于Inbound;数据包从Fa0/1 和Fa0/2 离开路由器,属于Onbound;而数据包从Fa0/1 转发到Fa0/2 口,没有Inbound 和Outbound 的概念。
图2
4. ACL的工作流程
ACL可被应用在路由器的入口和出口方向上,并且一台路由器上可以设置多个ACL。但对于一台路由器的某个特定接口的特定方向上,针对某一个协议,如IP 协议,只能同时应用一个ACL。
如图3 所示,ACL应用在路由器出口方向(outbound)时,首先查找路由表,找到转发接口(如果路由表中没有相应的路由条目,路由器会直接丢弃此数据包,并给源主机发送目的不可达消息)。确定出口后需要检查是否在外出接口上配置了ACL。如果没有配置ACL,路由器将做与外出接口数据链路层协议相同的2 层封装,并转发数据;如果在出接口上配置了ACL,则要根据ACL制定的规则对数据包进行判断。如果匹配了某一条ACL的判断语句并且这条语句的关键字是permit,则转发数据包;如果匹配了某一条ACL的判断语句并且这条语句的关键字是deny,则丢弃数据包。
图3
由此可知,如果ACL是应用在路由器的出口方向(Outbound)时,在路由器中的处理流程为先进行路由选择,然后进行ACL判断;相反,如果ACL是应用在路由器的入口方向(Inbound)时,则先判断ACL,然后再进行路由选择。
5.ACL的使用位置
对于标准ACL,由于它只能过滤源IP。为了不影响源主机的通信,一般我们将标准ACL放在离目的端比较近的地方。扩展ACL可以精确的定位某一类的数据流。为了不让无用的流量占据网络带宽,一般我们将扩展ACL放在离源端比较近的地方。
6.结束语
总之,ACI 也是一把双刃剑,在实现对数据流更精确划分的同时,也牺牲了设备的转发性能。好的服务质量与更高的转发性能,在硬件处理能力一定的情况下,就是此长彼消的。这也是在IP 网络领域中运营商和设备供应商不得不面对的事实。就需要ISP 根据现网的业务需求做相应的权衡了。
目前,在IP 网络领域中,ACI 从技术更新到实现,还有很大的发展空间:效率更好的硬件支持,更合理、快速的硬件管理机制,更切实的应用场合。这些都将伴随IP 网络发展的需求,摆在人们的面前。但是,更合理的服务质量,更切实际的ACL应用,也将会在IP 网络的服务质量和网络安全领域展开全新的一页。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:利用ACL服务保障中小型企业网络安全