?在計(jì)算機(jī)網(wǎng)絡(luò)世界中，ACL是最基本的安全組件之一，是一種監(jiān)視傳入和傳出流量并將其與一組定義的語(yǔ)句進(jìn)行比較的功能。

ACL 主要存在于具有包過(guò)濾功能的網(wǎng)絡(luò)設(shè)備中，包括路由器和交換機(jī)。

本文瑞哥將用圖解的形式帶大家揭開(kāi)ACL的神秘面紗。

讓我們直接開(kāi)始！

什么是ACL？

• 英文全稱：Access Control List
• 中文名稱：訪問(wèn)控制列表

ACL是一個(gè)規(guī)則列表，用于指定允許或拒絕哪些用戶或系統(tǒng)訪問(wèn)特定對(duì)象或系統(tǒng)資源，訪問(wèn)控制列表也安裝在路由器或交換機(jī)中，它們充當(dāng)過(guò)濾器，管理哪些流量可以訪問(wèn)網(wǎng)絡(luò)。

ACL類(lèi)型

ACL一般有兩種類(lèi)型：

ACL類(lèi)型

• 文件系統(tǒng)ACL：一般是過(guò)濾對(duì)文件和/或目錄的訪問(wèn)。
• 網(wǎng)絡(luò)ACL：過(guò)濾對(duì)網(wǎng)絡(luò)的訪問(wèn)，一般用于網(wǎng)絡(luò)設(shè)備，比如路由器、交換機(jī)等。

本文會(huì)著重介紹網(wǎng)絡(luò)ACL。

ACL優(yōu)點(diǎn)

ACL優(yōu)點(diǎn)非常多，比如：

• 通過(guò)限制網(wǎng)絡(luò)流量幫助提高網(wǎng)絡(luò)性能
• 通過(guò)定義權(quán)限和訪問(wèn)權(quán)限來(lái)提供安全性
• 對(duì)進(jìn)入網(wǎng)絡(luò)的流量提供精細(xì)控制

為什么使用ACL？

ACL 起到維護(hù)網(wǎng)絡(luò)流量正常流動(dòng)的作用，這種對(duì)網(wǎng)絡(luò)流量的監(jiān)管是維護(hù)組織或網(wǎng)絡(luò)安全的主要方式，訪問(wèn)控制列表有助于限制似乎不適合組織安全的流量，從而最終實(shí)現(xiàn)更好的網(wǎng)絡(luò)性能。

使用訪問(wèn)控制列表的主要原因是維護(hù)網(wǎng)絡(luò)的安全并保護(hù)它免受易受攻擊和危險(xiǎn)的嘗試，如果消息在未經(jīng)過(guò)濾的情況下通過(guò)網(wǎng)絡(luò)傳輸，則將組織置于危險(xiǎn)之中的機(jī)會(huì)就會(huì)增加。

通過(guò)使用訪問(wèn)控制列表，為網(wǎng)絡(luò)授予特定的安全級(jí)別，來(lái)規(guī)范所有那些被授權(quán)和未被授權(quán)由用戶使用的服務(wù)器、網(wǎng)絡(luò)和服務(wù)，此外，ACL 有助于監(jiān)控進(jìn)入和離開(kāi)系統(tǒng)的所有數(shù)據(jù)。

ACL控制

如圖，SW3和SW1由于ACL的控制，不允許訪問(wèn)，SW4到SW2允許訪問(wèn)。

ACL的組成

ACL 是一組規(guī)則或條目，每臺(tái)設(shè)備可以設(shè)置一個(gè)包含單個(gè)或多個(gè)條目的 ACL，其中每個(gè)條目可以設(shè)置不同的規(guī)則，允許或拒絕某種流量。

一般ACL有以下部分：

ACL的組成

ACL編號(hào)

標(biāo)識(shí)ACL條目的代碼。

ACL名稱

ACL 名稱也可以用來(lái)標(biāo)識(shí) ACL 條目。

備注

可以為ACl添加注釋或詳細(xì)描述

ACL語(yǔ)句 

就是寫(xiě)一些拒絕或者允許流量的語(yǔ)句，這個(gè)很重要，后面會(huì)詳細(xì)講。

網(wǎng)絡(luò)協(xié)議

比如IP、TCP、UDP、IPX 等，可以根據(jù)這些網(wǎng)絡(luò)協(xié)議編寫(xiě)規(guī)則。

源地址、目的地址

就是這些ACL規(guī)則針對(duì)的出入地址，比如你的電腦訪問(wèn)公司服務(wù)器，那么你的電腦就是源地址，公司的服務(wù)器就是目的地址。

源地址、目的地址

日志

傳入和傳出的流量可以用ACL日志功能去記錄，用來(lái)統(tǒng)計(jì)或者排查網(wǎng)絡(luò)問(wèn)題。

ACL的分類(lèi)

從大的方向講ACL分為四大類(lèi)：

ACL的分類(lèi)

標(biāo)準(zhǔn) ACL

這是安全性最弱的基本 ACL，只查看源地址。

以下是編號(hào)是5號(hào)的ACL，是標(biāo)準(zhǔn) ACL，允許172.16.1.0/24的網(wǎng)絡(luò)：

access-list 5 permit 172.16.1.0 0.0.0.255

擴(kuò)展 ACL

更高級(jí)的 ACL，能夠根據(jù)其協(xié)議信息阻止整個(gè)網(wǎng)絡(luò)和流量。

以下是編號(hào)為150號(hào)的ACl，如果目標(biāo)將 HTTP 端口 80 作為主機(jī)端口，允許從172.16.1.0/24網(wǎng)絡(luò)到任何IPv4網(wǎng)絡(luò)的所有流量：

access-list 200 permit tcp 172.16.1.0 0.0.0.255 any eq www

動(dòng)態(tài) ACL

更安全的 ACL，它利用身份驗(yàn)證、擴(kuò)展 ACL 和 Telnet，只允許用戶在經(jīng)過(guò)身份驗(yàn)證過(guò)程后訪問(wèn)網(wǎng)絡(luò)。

自反 ACL

將會(huì)話過(guò)濾功能添加到其他 ACL 類(lèi)型的數(shù)據(jù)包過(guò)濾功能中，也被稱為IP 會(huì)話 ACL，使用上層會(huì)話詳細(xì)信息來(lái)過(guò)濾流量。

自反 ACL 不能直接應(yīng)用于接口，通常嵌套在擴(kuò)展的命名訪問(wèn)列表中，不支持在會(huì)話期間更改端口號(hào)的應(yīng)用程序，例如 FTP 客戶端。

ACL 規(guī)則

• ACL 規(guī)則按順序匹配的，假如有多行，一定是從第一行開(kāi)始，一直到最后一行。
• 每個(gè) ACL 的末尾都有一個(gè)隱式拒絕，如果沒(méi)有條件或規(guī)則匹配，則數(shù)據(jù)包將被丟棄。
• 一般會(huì)有出站和入站ACL，每個(gè)方向每個(gè)協(xié)議每個(gè)接口只能分配一個(gè) ACL，即每個(gè)接口只允許一個(gè)入站和出站 ACL。
• 盡可能使用備注和日志提供有關(guān) ACL 的詳細(xì)信息，以便于后期排查問(wèn)題和記憶。

ACL使用場(chǎng)景

ACL使用場(chǎng)景

一般情況下就是這三種情況：

NAT

在地址轉(zhuǎn)換的時(shí)候，內(nèi)外網(wǎng)安全性考慮，會(huì)設(shè)置大量的ACL去控制網(wǎng)絡(luò)流量。

防火墻

這個(gè)就不用說(shuō)了，防火墻干的事情就是ACL的規(guī)則。

QoS

這個(gè)一般在流策略中比較常見(jiàn)，控制不同網(wǎng)段的用戶對(duì)流量的訪問(wèn)權(quán)。

一般來(lái)說(shuō)，ACL使用場(chǎng)景逃不過(guò)這三種情況，即使有其他的情況，肯定也是可以用這三種情況去概況聯(lián)想的。

總結(jié)

ACL是一組允許或拒絕訪問(wèn)計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)則，網(wǎng)絡(luò)設(shè)備，即路由器和交換機(jī)，將 ACL 語(yǔ)句應(yīng)用于入站和出站網(wǎng)絡(luò)流量，從而控制哪些流量可以通過(guò)網(wǎng)絡(luò)。?