世界熱資訊！圖解網絡：訪問控制列表 ACL，功能堪比防火墻

來源：今日頭條時間：2022-07-13 09:56:04

?在計算機網絡世界中，ACL是最基本的安全組件之一，是一種監視傳入和傳出流量并將其與一組定義的語句進行比較的功能。

ACL 主要存在于具有包過濾功能的網絡設備中，包括路由器和交換機。

本文瑞哥將用圖解的形式帶大家揭開ACL的神秘面紗。

【資料圖】

讓我們直接開始！

什么是ACL？英文全稱：Access Control List中文名稱：訪問控制列表

ACL是一個規則列表，用于指定允許或拒絕哪些用戶或系統訪問特定對象或系統資源，訪問控制列表也安裝在路由器或交換機中，它們充當過濾器，管理哪些流量可以訪問網絡。

ACL類型

ACL一般有兩種類型：

ACL類型文件系統ACL：一般是過濾對文件和/或目錄的訪問。網絡ACL：過濾對網絡的訪問，一般用于網絡設備，比如路由器、交換機等。

本文會著重介紹網絡ACL。

ACL優點

ACL優點非常多，比如：

通過限制網絡流量幫助提高網絡性能通過定義權限和訪問權限來提供安全性對進入網絡的流量提供精細控制為什么使用ACL？

ACL 起到維護網絡流量正常流動的作用，這種對網絡流量的監管是維護組織或網絡安全的主要方式，訪問控制列表有助于限制似乎不適合組織安全的流量，從而最終實現更好的網絡性能。

使用訪問控制列表的主要原因是維護網絡的安全并保護它免受易受攻擊和危險的嘗試，如果消息在未經過濾的情況下通過網絡傳輸，則將組織置于危險之中的機會就會增加。

通過使用訪問控制列表，為網絡授予特定的安全級別，來規范所有那些被授權和未被授權由用戶使用的服務器、網絡和服務，此外，ACL 有助于監控進入和離開系統的所有數據。

ACL控制

如圖，SW3和SW1由于ACL的控制，不允許訪問，SW4到SW2允許訪問。

ACL的組成

ACL 是一組規則或條目，每臺設備可以設置一個包含單個或多個條目的 ACL，其中每個條目可以設置不同的規則，允許或拒絕某種流量。

一般ACL有以下部分：

ACL的組成

ACL編號

標識ACL條目的代碼。

ACL名稱

ACL 名稱也可以用來標識 ACL 條目。

備注

可以為ACl添加注釋或詳細描述

ACL語句

就是寫一些拒絕或者允許流量的語句，這個很重要，后面會詳細講。

網絡協議

比如IP、TCP、UDP、IPX 等，可以根據這些網絡協議編寫規則。

源地址、目的地址

就是這些ACL規則針對的出入地址，比如你的電腦訪問公司服務器，那么你的電腦就是源地址，公司的服務器就是目的地址。

源地址、目的地址

日志

傳入和傳出的流量可以用ACL日志功能去記錄，用來統計或者排查網絡問題。

ACL的分類

從大的方向講ACL分為四大類：

ACL的分類

標準 ACL

這是安全性最弱的基本 ACL，只查看源地址。

以下是編號是5號的ACL，是標準 ACL，允許172.16.1.0/24的網絡：

access-list 5 permit 172.16.1.0 0.0.0.255擴展 ACL

更高級的 ACL，能夠根據其協議信息阻止整個網絡和流量。

以下是編號為150號的ACl，如果目標將 HTTP 端口 80 作為主機端口，允許從172.16.1.0/24網絡到任何IPv4網絡的所有流量：

access-list 200 permit tcp 172.16.1.0 0.0.0.255 any eq www動態 ACL

更安全的 ACL，它利用身份驗證、擴展 ACL 和 Telnet，只允許用戶在經過身份驗證過程后訪問網絡。

自反 ACL

將會話過濾功能添加到其他 ACL 類型的數據包過濾功能中，也被稱為IP 會話 ACL，使用上層會話詳細信息來過濾流量。

自反 ACL 不能直接應用于接口，通常嵌套在擴展的命名訪問列表中，不支持在會話期間更改端口號的應用程序，例如 FTP 客戶端。

ACL 規則ACL 規則按順序匹配的，假如有多行，一定是從第一行開始，一直到最后一行。每個 ACL 的末尾都有一個隱式拒絕，如果沒有條件或規則匹配，則數據包將被丟棄。一般會有出站和入站ACL，每個方向每個協議每個接口只能分配一個 ACL，即每個接口只允許一個入站和出站 ACL。盡可能使用備注和日志提供有關 ACL 的詳細信息，以便于后期排查問題和記憶。ACL使用場景

ACL使用場景

一般情況下就是這三種情況：

NAT

在地址轉換的時候，內外網安全性考慮，會設置大量的ACL去控制網絡流量。

防火墻

這個就不用說了，防火墻干的事情就是ACL的規則。

QoS

這個一般在流策略中比較常見，控制不同網段的用戶對流量的訪問權。

一般來說，ACL使用場景逃不過這三種情況，即使有其他的情況，肯定也是可以用這三種情況去概況聯想的。

總結

ACL是一組允許或拒絕訪問計算機網絡的規則，網絡設備，即路由器和交換機，將 ACL 語句應用于入站和出站網絡流量，從而控制哪些流量可以通過網絡。?

關鍵詞：訪問控制列表目的地址網絡設備身份驗證詳細信息