在這篇文章中，筆者將脫開技術層面的內(nèi)容，談談自己在訪問控制列表管理中的經(jīng)驗教訓，或許，這可以從另一個角度提高大家對訪問控制列表的認識。

思考一：如何合理放置訪問控制列表

訪問控制列表即可以放在進口，也可以放在出口，都是正確的。但是，正確跟合理還是有一步之差。位置正確，不一定說，如此放置是最合理的，效率是最高的。

若我們把訪問控制列表放在進口的話，在路由器在進口就會對數(shù)據(jù)流量進行判斷，看其是否滿足條件語句，若滿足的話，則放行，轉發(fā)給下一個端口;不滿足的話，就直接丟進垃圾桶。若把訪問控制列表放在出口的話，則當滿足放行條件時，則路由器會把數(shù)據(jù)流轉發(fā)出去;當不滿足條件時，則會把已經(jīng)在這個端口存儲緩存中的數(shù)據(jù)丟進垃圾桶。很明顯，這個訪問控制列表放在進口或者出口，對路由器的性能會有所影響。

假設現(xiàn)在某個集團企業(yè)的網(wǎng)絡部署架構如下：

用戶主機---路由器A—路由器B-----互聯(lián)網(wǎng)。

在這種網(wǎng)絡架構下，企業(yè)現(xiàn)在希望實現(xiàn)如下控制。

1、 用戶主機甲不能夠訪問互聯(lián)網(wǎng)。

2、 其他用戶都可以不受限制的訪問互聯(lián)網(wǎng)。

此時，很明顯可以通過多種方式來實現(xiàn)這種需求。不過，訪問控制列表是實現(xiàn)這種控制的一個比較靈活的策略。此時，拒絕用戶主機甲訪問互聯(lián)網(wǎng)的訪問控制列表可以放在路由器A，也可以放在路由器B上;可以放在路由器A的進口或者出口端口上，也可以放在路由器B的進口或者出口端口上。放在這四個位置的任何一個位置上，都可以實現(xiàn)企業(yè)的需求。只是對于網(wǎng)絡的影響有所不同。

假設我們現(xiàn)在把這個訪問控制列表放在路由器B的出口上，則當用戶主機甲訪問互聯(lián)網(wǎng)時，這個數(shù)據(jù)流會通過路由器A，到達路由器B的出口站點上，然后才被丟棄。如此的話，這個本來早早應該被丟棄的數(shù)據(jù)流，卻一直暢通無阻的到了路由器B的出口商，才被拋棄。

這就好像群眾上訪，本來在農(nóng)村基層就可以解決的問題，但是，農(nóng)村基層不解決，當?shù)卣膊唤鉀Q，一直鬧到中央，這不僅會浪費各地政府部門的精力，而且，中央政府若每天都處理這些基層來的上訪者，那他們就沒有精力去關心一些重大問題了。所以，一些糾紛，在基層可以解決，還是在基層解決好。

訪問控制列表也是如此。若按上面這個位置放置，用戶主機甲若想訪問互聯(lián)網(wǎng)，則這些數(shù)據(jù)流量一直暢通無阻的到達路由器B出口站是，是一種浪費網(wǎng)絡帶寬的行為。所以，應該把拒絕主機用戶甲的訪問控制列表放置在路由器A的進口上，從源頭就把不需要的訪問控制列表拋棄。

很明顯，若只有一臺用戶主機不能訪問互聯(lián)網(wǎng)的話，則這個訪問控制列表具體放在上面位置，其所產(chǎn)生的影響對于企業(yè)整個網(wǎng)絡來說，是微乎其微的。但是，在實際工作中，我們往往不是拒絕一臺主機的通信流量，而是拒絕一批，如一個子網(wǎng)的通信流量。如此的話，其產(chǎn)生的數(shù)據(jù)流量就比較大了，會對企業(yè)的內(nèi)部網(wǎng)絡產(chǎn)生比較大的影響。

所以，在訪問控制列表管理的時候，要慎重考慮訪問控制列表的放置地方，否則的話，會對整個網(wǎng)絡產(chǎn)生比較大的影響。那這訪問控制列表該放在什么地方合適呢?筆者給大家提個建議，最好把訪問控制列表放置在離被拒絕的信息來源最近的地方，即上面講的路由器A的進口站點上。如此的話，不允許通過的數(shù)據(jù)流量就會被盡早的丟進垃圾桶，而不會被暢通無阻的傳遞下去。當然，前期是，路由器A必須支持訪問控制列表，否則的話，也指能夠放在路由器B上了。

思考二：訪問控制列表如何跟防火墻配合使用

現(xiàn)在大部分企業(yè)都在企業(yè)內(nèi)外網(wǎng)的接口處，部署了防火墻。那么，訪問控制列表該如何跟防火墻配合使用呢?

根據(jù)官方的建議，訪問控制列表應該用在防火墻路由器上，防火墻路由器經(jīng)常放置在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間，即企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的分割點，目的是為其提供一個孤立的點，以便不受其他互聯(lián)網(wǎng)網(wǎng)絡結構的影響。

其實，有些防火墻服務器的話，本身就帶有訪問控制列表的功能。如防火墻的低安全端口要訪問防火墻中的高安全端口的話，就需要訪問控制列表的支持。所以，把訪問控制列表結合防火墻服務器使用，是一個比較好的選擇。

不過，說實話，若把他們兩個部署在一起的話，會增加訪問控制列表的復雜程度，會增加訪問控制列表與防火墻服務器的維護難度。筆者雖然覺得這么部署比較合理，但是，在實際工作中，筆者出于管理與維護的方便，確不是這么部署的。

如企業(yè)現(xiàn)在的網(wǎng)絡部署架構如下：

主機-路由器-VPN服務器-防火墻。

其中，這個路由器與防火墻都支持訪問控制列表的功能。按照官方的建議，應該把訪問控制列表部署在防火墻服務器上。但是，筆者認為這么管理的話，會增加防火墻與訪問控制列表的復雜程度，不利于后續(xù)的維護與故障的維修。所以，筆者在部署訪問控制列表的時候，沒有遵循官方的建議，而是把訪問控制列表部署在路由器上，而不是防火墻。如此的話，把防火墻與路由器上的訪問控制列表獨立管理，雖然可能會增加一定的工作量，但是，至少把復雜的工作簡單化，反而有利于企業(yè)網(wǎng)絡的管理，出現(xiàn)故障的時候，也比較容易檢修。

不過這是筆者個人的工作經(jīng)驗，其到底是否合理，還需要靠以后網(wǎng)絡維護工作的檢驗。

不過如果要在防火墻服務器這種邊界設備上，部署訪問控制列表的話，筆者可以給大家提一些意見。

一是部署在邊界設備上的訪問控制列表，無論是防火墻服務器還是路由器上，可以為配置在設備接口上的每一個網(wǎng)絡協(xié)議創(chuàng)建訪問控制列表。通過配置訪問控制列表。來過濾通過接口的入站通信流量、出站通信流量。

二是如果在邊界路由器與內(nèi)部的路由器，即上面的路由器A與路由器B上，都配置了訪問控制列表，該如何處理呢?一般來說，若在路由器A上部署了拒絕用戶主機甲訪問互聯(lián)網(wǎng)的訪問控制列表，然后再邊界路由器B上又配置了同樣內(nèi)容的訪問控制列表，就有點脫褲子放屁，多此一舉的感覺。但是，在實際管理中，有些網(wǎng)路管理元還是會這么處理。這主要是出于統(tǒng)一管理的需要。在路由器A上部署訪問控制列表，可以拒絕不應該的數(shù)據(jù)流量在網(wǎng)絡上傳輸;而在路由器B上部署訪問控制列表的話，則是出于統(tǒng)一管理的需要?；蛘哒f，起到雙重保險的作用，即使路由器A上的訪問控制列表因為某種原因失效，還由路由器B在那邊把關。不過，這么配置的話，邊界路由器B的負擔會比較中。因為他要對來自于企業(yè)網(wǎng)絡的所有數(shù)據(jù)流量進行判斷。所以，具體如何部署，還是要看企業(yè)對于安全性的要求。到底是犧牲一定的安全來提高網(wǎng)絡性能，還是降低網(wǎng)絡性能來提高網(wǎng)絡的安全冗余，如何在網(wǎng)絡的安全性與網(wǎng)絡性能之間取得均衡的話，網(wǎng)絡管理員還是需要根據(jù)企業(yè)的實際情況，在這上面花一番心思。

三是要注意訪問控制列表中最后的隱含語句。假設現(xiàn)在有一個訪問控制列表，其前面有八條判斷語句。而其實呢，有九條，最后一條是隱含的，當前面八條語句都沒有滿足的情況下，則這最后一條語句，就會把這個數(shù)據(jù)流量拒絕掉。不過在訪問控制列表管理中，我們往往不希望出現(xiàn)這種情況。我們希望，當前面的這些條件都不滿足的情況下，則該數(shù)據(jù)量背放行。如在一個訪問控制列表中，我們寫了兩條判斷語句，一是拒絕用戶A訪問互聯(lián)網(wǎng);二是拒絕用戶B訪問外部的郵件服務器。此時，若有用戶C訪問互聯(lián)網(wǎng)的話，由于前面兩條語句都不滿足，則默認情況下，訪問控制列表會應用隱含的判斷語句，把用戶C的數(shù)據(jù)流量也拒絕掉，這是我們不希望看到的。為此，我們就需要改變這條隱含的判斷語句，把它改為上面條件都不滿足的情況下，數(shù)據(jù)流量為允許通過。或者，我們可以顯示的給出這條隱含語句，這有利于提高訪問控制列表的可讀性，對我們后續(xù)排除故障也是比較有利的。

【編輯推薦】

1. 如何利用靜態(tài)路由實現(xiàn)網(wǎng)絡訪問控制
2. 訪問控制列表ACL技術
3. 防火墻概念與訪問控制列表