ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用

•随着网络的飞速发展 , 网络安全和网络服务质量QoS (Quality of Service)问题日益突出 。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术 。
•ACL可以通过对网络中报文流的精确识别 , 与其他技术结合 , 达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的 , 从而切实保障网络环境的安全性和网络服务质量的可靠性 。
•在本章节中 , 将介绍ACL的基本原理和基本作用 , ACL的不同种类及特点 , ACL的基本组成和匹配顺序 , 通配符的使用方法和ACL的相关配置 。
技术背景:需要一个工具 , 实现流量过滤
•随着网络的飞速发展 , 网络安全和网络服务质量QoS(Quality of Service)问题日益突出 。
?园区重要服务器资源被随意访问 , 园区机密信息容易泄露 , 造成安全隐患 。
?Internet病毒肆意侵略园区内网 , 内网环境的安全性堪忧 。
?网络带宽被各类业务随意挤占 , 服务质量要求最高的语音、视频业务的带宽得不到保障 , 造成用户体验差 。
•以上种种问题 , 都对正常的网络通信造成了很大的影响 。因此 , 提高网络安全性和服务质量迫在眉睫 , 我们需要对网络进行控制 。比如 , 需要借助一个工具帮助实现一些流量的过滤 。

ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用

文章插图
 
•某公司为保证财务数据安全 , 禁止研发部门访问财务服务器 , 但总裁办公室不受限制 。
ACL概述
•通过ACL可以实现对网络中报文流的精确识别和控制 , 达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的 , 从而切实保障网络环境的安全性和网络服务质量的可靠性 。
?ACL是由permit或deny语句组成的一系列有顺序的规则的集合;它通过匹配报文的相关字段实现对报文的分类 。
?ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目 。
•在本章课程中主要通过流量过滤来介绍ACL 。
•ACL是由一系列permit或deny语句组成的、有序规则的列表 。
•ACL是一个匹配工具 , 能够对报文进行匹配和区分 。
ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用

文章插图
 
ACL应用
•匹配IP流量
•在Traffic-filter中被调用
•在NAT(Network Address Translation)中被调用
•在路由策略中被调用
•在防火墙的策略部署中被调用
•在QoS中被调用
•其他……
ACL的组成
•ACL的组成:
?ACL编号:在网络设备上配置ACL时 , 每个ACL都需要分配一个编号 , 称为ACL编号 , 用来标识ACL 。不同分类的ACL编号范围不同 , 这个后面具体讲 。
?规则:前面提到了 , 一个ACL通常由若干条“permit/deny”语句组成 , 每条语句就是该ACL的一条规则 。
?规则编号:每条规则都有一个相应的编号 , 称为规则编号 , 用来标识ACL规则 。可以自定义 , 也可以系统自动分配 。ACL规则的编号范围是0~4294967294 , 所有规则均按照规则编号从小到大进行排序 。
?动作:每条规则中的permit或deny , 就是与这条规则相对应的处理动作 。permit指“允许” , deny指“拒绝” , 但是ACL一般是结合其他技术使用 , 不同的场景 , 处理动作的含义也有所不同 。
?比如:ACL如果与流量过滤技术结合使用(即流量过滤中调用ACL) , permit就是“允许通行”的意思 , deny就是“拒绝通行”的意思 。
?匹配项:ACL定义了极其丰富的匹配项 。例子中体现的源地址 , ACL还支持很多其他规则匹配项 。例如 , 二层以太网帧头信息(如源mac、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等 。
•提问:rule 5 permit source 1.1.1.0 0.0.0.255 是什么意思?这个在后续课程中会介绍 。
•ACL由若干条permit或deny语句组成 。每条语句就是该ACL的一条规则 , 每条语句中的permit或deny就是与这条规则相对应的处理动作 。


推荐阅读