-
訪問控制列表
鎖定
- 中文名
- 訪問控制列表
- 外文名
- Access Control Lists
- 簡 稱
- ACL
- 應用學科
- 計算機網絡安全
- 分 類
- 基本ACL和高級ACL
- 基本ACL編號範圍
- 2000-2999
- 高級ACL編號範圍
- 3000-3999
訪問控制列表簡介
訪問控制列表(Access Control Lists,ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、端口號等的特定指示條件來決定。
[2]
訪問控制列表具有許多作用,如限制網絡流量、提高網絡性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網絡安全訪問的基本手段;在路由器端口處決定哪種類型的通信流量被轉發或被阻塞,例如,用户可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。
[2]
訪問控制列表功能
例如,用户可以允許E- mail通信流量被路由,拒絕所有的Telnet通信流量。例如,某部門要求只能使用WWW這個功能,就可以通過ACL實現;又例如,為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。
[4]
訪問控制列表工作原理
總之,一入站數據包,由路由器處理器調入內存,讀取數據包的包頭信息,如目標IP地址,並搜索路由器的路由表,查看是否在路由表項中,如果有,則從路由表的選擇接口轉發(如果無,則丟棄該數據包),數據進入該接口的訪問控制列表(如果無訪問控制規則,直接轉發),然後按條件進行篩選。
[4]
當ACL處理數據包時,一旦數據包與某條ACL語句匹配,則會跳過列表中剩餘的其他語句,根據該條匹配的語句內容決定允許或者拒絕該數據包。如果數據包內容與ACL語句不匹配,那麼將依次使用ACL列表中的下一條語句測試數據包。該匹配過程會一直繼續,直到抵達列表末尾。最後一條隱含的語句適用於不滿足之前任何條件的所有數據包。這條最後的測試條件與這些數據包匹配,通常會隱含拒絕一切數據包的指令。此時路由器不會讓這些數據進入或送出接口,而是直接丟棄。最後這條語句通常稱為隱式的“deny any”語句。由於該語句的存在,所以在ACL中應該至少包含一條permit語句,否則,默認情況下,ACL將阻止所有流量。
[5]
訪問控制列表分類
訪問控制列表標準IP訪問列表
訪問控制列表擴展IP訪問
擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。編號範圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
[6]
訪問控制列表命名的IP訪問
訪問控制列表標準IPX訪問
訪問控制列表擴展IPX訪問
擴展IPX訪問控制列表在標準IPX訪問控制列表的基礎上,增加了對IPX報頭中以下幾個字段的檢查,它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號範圍是900-999。
[6]
訪問控制列表命名的IPX訪問
訪問控制列表訪問控制列表的使用
訪問控制列表應用
- 參考資料
-
- 1. 李學鋒,鄭毅主編.網絡工程設計與項目實訓:東南大學出版社,2016.06:第140頁
- 2. 呂政,朱順樂,周貽春主編.計算機網絡實用技術教程:西北大學出版社,2010.02:第260頁
- 3. 詹紅霞, 邱輝. 訪問控制列表[J]. 沙漠與綠洲氣象, 2009, 3(s1):76-77.
- 4. 李娟芳,陳瑞志主編;申青蓮,趙圓圓副主編.計算機網絡技術與應用:中國鐵道出版社,2013.09:第135頁
- 5. 張燕燕主編;潘若禹,王娜,龐勝利副主編.高等學校物聯網專業系列教材:物聯網實驗:中國鐵道出版社,2014.10:第251頁
- 6. 曾曠怡, 楊家海. 訪問控制列表的優化問題[J]. 軟件學報, 2007, 18(4):978-986.
- 7. 尹淑玲主編;蔡傑濤,魏鑑,嚴申,王傳健副主編.網絡安全技術教程:武漢大學出版社,2014.05:第53頁