Labs 導(dǎo)讀

訪問控制列表（ACL）是計(jì)算機(jī)網(wǎng)絡(luò)中重要的安全機(jī)制之一，用于限制網(wǎng)絡(luò)中用戶、進(jìn)程或設(shè)備的訪問權(quán)限。ACL可以在路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)設(shè)備上實(shí)現(xiàn)，通過配置不同的訪問規(guī)則，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的控制和保護(hù)。

Part 01、 ACL是什么？  

ACL是訪問控制列表的縮寫，通常基于源地址、目標(biāo)地址、協(xié)議類型、端口號(hào)、時(shí)間等條件來控制用戶、進(jìn)程或設(shè)備對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。ACL作為一個(gè)過濾器，設(shè)備通過應(yīng)用ACL來阻止和允許特定流量的流入和流出，如果沒有它，任何流量都會(huì)自由流入和流出，使得網(wǎng)絡(luò)容易受到攻擊。為保證財(cái)務(wù)數(shù)據(jù)安全，企業(yè)在路由設(shè)備上應(yīng)用ACL可以阻止內(nèi)網(wǎng)內(nèi)部研發(fā)部門主機(jī)對(duì)財(cái)務(wù)服務(wù)器的訪問，同時(shí)允許總裁辦公室訪問財(cái)務(wù)服務(wù)器。為了保護(hù)企業(yè)內(nèi)網(wǎng)的安全，在路由設(shè)備上應(yīng)用ACL可以封堵網(wǎng)絡(luò)病毒常用的端口，防止Internet上的惡意流量入侵。

借助ACL，可以實(shí)現(xiàn)以下功能：

? 提供安全訪問：企業(yè)重要服務(wù)器資源被隨意訪問，企業(yè)機(jī)密信息容易泄露，造成安全隱患。使用ACL可以指定用戶訪問特定的服務(wù)器、網(wǎng)絡(luò)與服務(wù)，從而避免隨意訪問的情況。

? 防止網(wǎng)絡(luò)攻擊：Internet病毒肆意侵略企業(yè)內(nèi)網(wǎng)，內(nèi)網(wǎng)環(huán)境的安全性堪憂。使用ACL可以封堵高危端口，從而達(dá)成為外網(wǎng)流量的阻塞。

? 提高網(wǎng)絡(luò)帶寬利用率：網(wǎng)絡(luò)帶寬被各類業(yè)務(wù)隨意擠占，服務(wù)質(zhì)量要求最高的語音、視頻業(yè)務(wù)的帶寬得不到保障，造成用戶體驗(yàn)差。使用ACL實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的精確識(shí)別和控制，限制部分網(wǎng)絡(luò)流量從而保障主要業(yè)務(wù)的質(zhì)量。

Part 02、  ACL的基本組成 

ACL通常由一組規(guī)則（即ACL條目）組成，每個(gè)ACL條目定義了一種訪問控制策略，包括允許或拒絕特定類型的流量或訪問請(qǐng)求。ACL的每一條規(guī)則都會(huì)允許或者阻止特定的流量，在定義一條合理的ACL規(guī)則之前，需要了解其基本組成。

• ACL標(biāo)識(shí)：使用數(shù)字或者名稱來標(biāo)識(shí)ACL。
• 使用數(shù)字標(biāo)識(shí)ACL：不同的類型的ACL使用不同的數(shù)字進(jìn)行標(biāo)識(shí)。
• 使用名稱標(biāo)識(shí)ACL：可以使用字符來標(biāo)識(shí)ACL，就像用域名代替IP地址一樣，更加方便記憶。
• 規(guī)則：即描述匹配條件的判斷語句。
• 規(guī)則編號(hào)：用于標(biāo)識(shí)ACL規(guī)則，所有規(guī)則均按照規(guī)則編號(hào)從小到大進(jìn)行排序。
• 動(dòng)作：包括permit/deny兩種動(dòng)作，表示設(shè)備對(duì)所匹配的數(shù)據(jù)包接受或者丟棄。
• 匹配項(xiàng)：ACL定義了極其豐富的匹配項(xiàng)。包括生效時(shí)間段、IP協(xié)議（ICMP、TCP、UDP等）、源/目的地址以及相應(yīng)的端口號(hào)（21、23、80等）。關(guān)于每種匹配項(xiàng)的詳細(xì)介紹，請(qǐng)參見ACL的常用匹配項(xiàng)。

Part 03、  ACL的分類 

針對(duì)內(nèi)況進(jìn)行學(xué)習(xí)，在安全性能和運(yùn)行效率方面都能有一定的提升。隨著ACL技術(shù)的發(fā)展，其種類越來越豐富，根據(jù)其不同的規(guī)則和使用場(chǎng)景，常用的可分為以下幾類：

- 基本ACL

基本ACL規(guī)則只包含源IP地址，對(duì)設(shè)備的CPU消耗較少，可用于簡單的部署，但是使用場(chǎng)景有限，不能提供強(qiáng)大的安全保障。

- 高級(jí)ACL

相較于基本ACL，高級(jí)ACL提供更高的擴(kuò)展性，可以對(duì)流量進(jìn)行更精細(xì)的匹配。通過配置高級(jí)ACL，可以阻止特定主機(jī)或者整個(gè)網(wǎng)段的源或者目標(biāo)。除此之外，還可以使用協(xié)議信息（IP、ICMP、TCP、UDP）去過濾相應(yīng)的流量。

- 二層ACL

在公司的內(nèi)部網(wǎng)絡(luò)中，想對(duì)特定的終端進(jìn)行訪問權(quán)限控制，這時(shí)就需要二層ACL。使用二層ACL，可以根據(jù)源MAC地址、目的MAC地址、802.1p優(yōu)先級(jí)、二層協(xié)議類型等二層信息對(duì)流量進(jìn)行管控。

- 用戶ACL

由于企業(yè)內(nèi)部同部門的工作人員的終端不在同一個(gè)網(wǎng)段難以管理，需要將其納入一個(gè)用戶組，并對(duì)其用戶組進(jìn)行訪問權(quán)限管理，這時(shí)候就需要用戶ACL。用戶ACL在高級(jí)ACL的基礎(chǔ)上增加了用戶組的配置項(xiàng)，可以實(shí)現(xiàn)對(duì)不同用戶組的流量管控。

Part 04、 ACL的應(yīng)用場(chǎng)景  

1??在NAT中使用ACL

通過NAT的端口映射可使得外網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)。考慮到內(nèi)部的網(wǎng)絡(luò)安全，不可能允許所有的外部用戶訪問內(nèi)部網(wǎng)絡(luò)，這時(shí)可以設(shè)置ACL規(guī)則并應(yīng)用在企業(yè)路由器上，使得特定的外網(wǎng)用戶可以訪問內(nèi)部網(wǎng)絡(luò)。

2??在防火墻中使用ACL

防火墻用在內(nèi)外網(wǎng)絡(luò)邊緣處，防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的入侵，也可以用來保護(hù)網(wǎng)絡(luò)內(nèi)部大型服務(wù)器和重要的資源（如數(shù)據(jù)）。由于ACL直接在設(shè)備的轉(zhuǎn)發(fā)硬件中配置，在防火墻中配置ACL在保護(hù)網(wǎng)絡(luò)安全的同時(shí)不會(huì)影響服務(wù)器的性能。

3??在QoS中使用ACL限制用戶互訪

ACL應(yīng)用在QoS的流策略中，可以實(shí)現(xiàn)不同網(wǎng)段用戶之間訪問權(quán)限的限制，從而避免用戶之間隨意訪問形成安全隱患。

Part 05、  總結(jié) 

ACL是計(jì)算機(jī)網(wǎng)絡(luò)中非常重要的安全機(jī)制之一，廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)、互聯(lián)網(wǎng)和數(shù)據(jù)中心等領(lǐng)域。在未來，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，ACL的應(yīng)用將會(huì)越來越廣泛，并且將會(huì)與其他相關(guān)技術(shù)結(jié)合，實(shí)現(xiàn)更加靈活、高效和智能的網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)安全是一個(gè)永恒的話題，ACL作為其中的一個(gè)重要組成部分，將會(huì)在未來的網(wǎng)絡(luò)安全管理中扮演著更加重要的角色。