網管員在日常工作中經常會接觸到路由器,但是對路由器得了解程度有多少呢?今天來為您講述一下訪問控制列表(ACL),在日常的工作中可以利用ACL可以限制網絡流量、提高網絡性能,同時也提高了網絡的安全等級。
在局域網中,路由器或網關負責網絡中的內外溝通的信息,同時對內部的網絡系統進行安全與穩定的保護作用,所以在安全方面負責對這些進進出出的數據進行識別,從而實現網絡的數據安全過濾;在網絡的穩定性方面對網絡中的數據進行流量控制,從而改善網絡的通行質量。
訪問控制列表是應用在路由器接口上的一個控制列表,可以控制拒絕和允許進入以及離開路由器的數據包,也可以拒絕和允許用戶訪問某一網絡資源。由于其應用的非常廣泛,可以對IP、協議、端口等功能上進行控制,從而對網絡系統起到安全與保護的作用,所以它是一種網絡安全防護技術,也可以當作一種網絡控制的有力工具。
什么是訪問控制列表(ACL)
訪問控制列表實際上就是一系列允許和拒絕匹配準則的集合。簡單的說就是利用這些準則來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至于數據包是被接收還是被拒絕,那就要根據這些準則中所定義的條件來決定控制數據包在輸入與輸出。匹配準則的總類繁多,可以簡單的數據包目標地址的單項目匹配,也可以是數據包目標地址、源地址,端口等多項目的綜合匹配等,訪問控制列表對符合匹配規則的數據包進行允許和拒絕的操作。
訪問控制列表的作用
建立訪問控制列表后,主要任務是保證網絡資源不被非法使用和訪問,其次還可以用來限制網絡流量,提高網絡性能,對通信流量起到控制的手段,這些都是對網絡訪問的基本安全手段。在路由器的接口上配置訪問控制列表后,可以對入站接口、出站接口及通過路由器中繼的數據包進行安全檢測。
訪問控制列表總的說起來有下面三個作用,我們來具體看一下:
1、安全控制 允許一些分合匹配規則的數據包通過訪問的同時而拒絕另一部分不符合匹配規則的數據包。 舉個例子說一下財務部的數據庫服務器,上面的數據應該來說是比較機密的,不是說誰都可以訪問上面的數據的,這個時候就需要用到訪問控制列表,在此列表中定義那些主機可以訪問財務部數據庫服務器,當此列表外的主機訪問此服務器的時候,就會被路由器過濾掉。如圖一所示:
 |
| ACL安全控制 |
192.168.1.30與192.168.1.50的兩臺主機可以通過路由器訪問數據庫服務器主機,而那臺192.168.1.40那臺筆記本電腦,就無法訪問財務的數據庫服務器。
2、流量過濾
此功能是防止一些不必要的數據包通過路由器,來提高網絡的帶寬的利用率,如圖二所示:
 |
| ACL流量控制 |
其中的兩臺主機分別可以通過路由器訪問網絡與收發郵件,另一臺主機想通過路由器進行BT下載,卻無法進行BT下載。
3、數據流量標識
此功能是對公司有兩條或兩條以上的網絡鏈路時,訪問控制列表與路由策略等來實現分工,讓不同的數據包選擇不同的鏈路,如下圖三:
| |
| ACL數據流量標識 |
當有數據通過路由器的時候,訪問控制列表先把數據流作相應的標識,在通過路由策略,將這些數據流交給相應的連路,如圖三標識中的訪問internet的數據就走Internet線路,公司內部的服務就走VPN線路。
我們再來看一看ALC的工作原理,其原理包含兩個方面,一是ACL的工作過程,二是ACL的執行流程。通過其原理過程來具體的體會ALC的作用。
ALC的工作過程
當路由器的接口接收到一個數據包時,首先會檢查訪問控制列表,如果有執行控制列表中有拒絕和允許的操作,則根據:被拒絕的數據包將會被丟棄,允許的數據包進入路由選擇狀態。
對進入路由選擇狀態的數據再根據路由器的路由表執行路由選擇,如果路由表中沒有到達目標網絡的路由,那么相應的數據包就會被丟棄;如果路由表中存在到達目標網絡的路由,則數據包被送到相應的網絡接口。
以上是ALC的簡單的工作過程,其簡單的說明數據包的經過路由器時,根據訪問控制列表作相應的動作來判斷是被接收還是被丟棄,在安全性很高的配置中,有時還會為每個接口配置自己的ALC,來為數據作更詳細的判斷。
ACL的執行流程
當數據包被執行操作時,這個過程是一個什么過程呢。這就需要按照列表中的條件語句執行順序來作不同判斷。
這里要記住:如果一個數據包的報頭跟ALC中某個條件判斷語句相匹配,那么后面的語句就將被忽略,不再進行檢查。 數據包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配,則不管是第一條還是最后一條語句,數據都會被立即操作,要么丟棄,要么立即專發到目的接口。如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數據包將視為被拒絕而被丟棄。 總的一句話就是數據包與ALC中的一旦出現的匹配情況,就執行相應的操作,而此時對此數據包的檢測就到此為止了,后面不管出現多少不匹配的情況將不作檢測。所以訪問控制列表中的規則的順序那就要注意了;相同的規則,順序不同,將會出現不同的結果。
訪問控制列表與防火墻的區別
雖然訪問控制列表可以拒絕和接收相應的數據包,但他不能完全的代替防火墻。當接收一個數據包時,訪問控制列表先檢查訪問控制列表,再執行相應的接受和拒絕的步驟,并不能像專業的防火強那樣作相應的數據包的分析。如果這樣作下來了,路由器可能不堪負荷,無法工作。 責任編輯: 炊煙(TEL:(010)68476636-8006)
