複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/訪問控制列表/1844390
複製
複製成功

訪問控制列表

鎖定
訪問控制列表(ACL)是一種基於包過濾的訪問控制技術,它可以根據設定的條件對接口上的數據包進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器三層交換機,藉助於訪問控制列表,可以有效地控制用户對網絡的訪問,從而最大程度地保障網絡安全 [1] 
中文名
訪問控制列表
外文名
Access Control Lists
簡    稱
ACL
應用學科
計算機網絡安全
分    類
基本ACL和高級ACL
基本ACL編號範圍
2000-2999
高級ACL編號範圍
3000-3999

目錄

  1. 1 簡介
  2. 2 功能
  3. 3 工作原理
  4. 4 分類
  1. 標準IP訪問列表
  2. 擴展IP訪問
  3. 命名的IP訪問
  4. 標準IPX訪問
  5. 擴展IPX訪問
  6. 命名的IPX訪問
  1. 5 訪問控制列表的使用
  2. 6 應用

訪問控制列表簡介

訪問控制列表(Access Control Lists,ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、端口號等的特定指示條件來決定。 [2] 
訪問控制列表具有許多作用,如限制網絡流量、提高網絡性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網絡安全訪問的基本手段;在路由器端口處決定哪種類型的通信流量被轉發或被阻塞,例如,用户可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。 [2] 
訪問控制列表從概念上來講並不複雜,複雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。 [3] 

訪問控制列表功能

1)限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定這種類型的數據包具有更高的優先級,同等情況下可預先被網絡設備處理。 [4] 
2)提供對通信流量的控制手段。 [4] 
3)提供網絡訪問的基本安全手段。 [4] 
4)在網絡設備接口處,決定哪種類型的通信流量被轉發、哪種類型的通信流量被阻塞。 [4] 
例如,用户可以允許E- mail通信流量被路由,拒絕所有的Telnet通信流量。例如,某部門要求只能使用WWW這個功能,就可以通過ACL實現;又例如,為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。 [4] 

訪問控制列表工作原理

①當一個數據包進入一個端口,路由器檢查這個數據包是否可路由。 [4] 
如果是可以路由的,路由器檢查這個端口是否有ACL控制進入數據包。 [4] 
如果有,根據ACL中的條件指令,檢查這個數據包。 [4] 
如果數據包是被允許的,就查詢路由表,決定數據包的目標端口。 [4] 
②路由器檢查目標端口是否存在ACL控制流出的數據包。 [4] 
若不存在,這個數據包就直接發送到目標端口。 [4] 
若存在,就再根據ACL進行取捨。然後在轉發到目的端口。 [4] 
總之,一入站數據包,由路由器處理器調入內存,讀取數據包的包頭信息,如目標IP地址,並搜索路由器的路由表,查看是否在路由表項中,如果有,則從路由表的選擇接口轉發(如果無,則丟棄該數據包),數據進入該接口的訪問控制列表(如果無訪問控制規則,直接轉發),然後按條件進行篩選。 [4] 
當ACL處理數據包時,一旦數據包與某條ACL語句匹配,則會跳過列表中剩餘的其他語句,根據該條匹配的語句內容決定允許或者拒絕該數據包。如果數據包內容與ACL語句不匹配,那麼將依次使用ACL列表中的下一條語句測試數據包。該匹配過程會一直繼續,直到抵達列表末尾。最後一條隱含的語句適用於不滿足之前任何條件的所有數據包。這條最後的測試條件與這些數據包匹配,通常會隱含拒絕一切數據包的指令。此時路由器不會讓這些數據進入或送出接口,而是直接丟棄。最後這條語句通常稱為隱式的“deny any”語句。由於該語句的存在,所以在ACL中應該至少包含一條permit語句,否則,默認情況下,ACL將阻止所有流量。 [5] 

訪問控制列表分類

訪問控制列表標準IP訪問列表

一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號範圍是從1到99的訪問控制列表是標準IP訪問控制列表。 [6] 

訪問控制列表擴展IP訪問

擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。編號範圍是從100到199的訪問控制列表是擴展IP訪問控制列表。 [6] 

訪問控制列表命名的IP訪問

所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標準和擴展兩種列表,定義過濾的語句與編號方式中相似。 [6] 

訪問控制列表標準IPX訪問

標準IPX訪問控制列表的編號範圍是800-899,它檢查IPX源網絡號和目的網絡號,同樣可以檢查源地址和目的地址的節點號部分。 [6] 

訪問控制列表擴展IPX訪問

擴展IPX訪問控制列表在標準IPX訪問控制列表的基礎上,增加了對IPX報頭中以下幾個字段的檢查,它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號範圍是900-999。 [6] 

訪問控制列表命名的IPX訪問

與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表,同樣有標準和擴展之分。 [6] 

訪問控制列表訪問控制列表的使用

ACL的使用分為兩步: [2] 
(1)創建訪問控制列表ACL,根據實際需要設置對應的條件項; [2] 
(2)將ACL應用到路由器指定接口的指定方向(in/out)上。 [2] 
在ACL的配置與使用中需要注意以下事項: [2] 
(1)ACL是自頂向下順序進行處理,一旦匹配成功,就會進行處理,且不再比對以後的語句,所以ACL中語句的順序很重要。應當將最嚴格的語句放在最上面,最不嚴格的語句放在底部。 [2] 
(2)當所有語句沒有匹配成功時,會丟棄分組。這也稱為ACL隱性拒絕。 [2] 
(3)每個接口在每個方向上,只能應用一個ACL。 [2] 
(4)標準ACL應該部署在距離分組的目的網絡近的位置,擴展ACL應該部署在距離分組發送者近的位置。 [2] 

訪問控制列表應用

ACL可以應用於多種場合,其中最為常見的應用情形如下: [7] 
1、過濾鄰居設備間傳遞的路由信息。 [7] 
2、控制交換訪問,以此阻止非法訪問設備的行為,如對 Console接口、 Telnet或SSH訪問實施控制。 [7] 
3、控制穿越網絡設備的流量和網絡訪問。 [7] 
4、通過限制對路由器上某些服務的訪問來保護路由器,如HTTP、SNMP和NIP等。 [7] 
5、為DDR和 IPSeC VPN定義感興趣流。 [7] 
6、能夠以多種方式在IOS中實現QoS(服務質量)特性。 [7] 
7、在其他安全技術中的擴展應用,如TCP攔截和IOS防火牆。 [7] 
參考資料
  • 1.    李學鋒,鄭毅主編.網絡工程設計與項目實訓:東南大學出版社,2016.06:第140頁
  • 2.    呂政,朱順樂,周貽春主編.計算機網絡實用技術教程:西北大學出版社,2010.02:第260頁
  • 3.    詹紅霞, 邱輝. 訪問控制列表[J]. 沙漠與綠洲氣象, 2009, 3(s1):76-77.
  • 4.    李娟芳,陳瑞志主編;申青蓮,趙圓圓副主編.計算機網絡技術與應用:中國鐵道出版社,2013.09:第135頁
  • 5.    張燕燕主編;潘若禹,王娜,龐勝利副主編.高等學校物聯網專業系列教材:物聯網實驗:中國鐵道出版社,2014.10:第251頁
  • 6.    曾曠怡, 楊家海. 訪問控制列表的優化問題[J]. 軟件學報, 2007, 18(4):978-986.
  • 7.    尹淑玲主編;蔡傑濤,魏鑑,嚴申,王傳健副主編.網絡安全技術教程:武漢大學出版社,2014.05:第53頁