51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

浅谈访问控制列表(ACL)

作者:移动Labs
安全
本文将介绍ACL的基本概念、分类和实现方式,并结合具体案例探讨ACL在网络安全中的应用和发展趋势。

Labs 导读

访问控制列表(ACL)是计算机网络中重要的安全机制之一,用于限制网络中用户、进程或设备的访问权限。ACL可以在路由器、交换机和防火墙等网络设备上实现,通过配置不同的访问规则,实现对网络资源的控制和保护。

Part 01、 ACL是什么?  

ACL是访问控制列表的缩写,通常基于源地址、目标地址、协议类型、端口号、时间等条件来控制用户、进程或设备对网络资源的访问权限。ACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容易受到攻击。为保证财务数据安全,企业在路由设备上应用ACL可以阻止内网内部研发部门主机对财务服务器的访问,同时允许总裁办公室访问财务服务器。为了保护企业内网的安全,在路由设备上应用ACL可以封堵网络病毒常用的端口,防止Internet上的恶意流量入侵。

借助ACL,可以实现以下功能:

➢ 提供安全访问:企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。使用ACL可以指定用户访问特定的服务器、网络与服务,从而避免随意访问的情况。

➢ 防止网络攻击:Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。使用ACL可以封堵高危端口,从而达成为外网流量的阻塞。

➢ 提高网络带宽利用率:网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。使用ACL实现对网络流量的精确识别和控制,限制部分网络流量从而保障主要业务的质量。

Part 02、  ACL的基本组成 

ACL通常由一组规则(即ACL条目)组成,每个ACL条目定义了一种访问控制策略,包括允许或拒绝特定类型的流量或访问请求。ACL的每一条规则都会允许或者阻止特定的流量,在定义一条合理的ACL规则之前,需要了解其基本组成。

  • ACL标识:使用数字或者名称来标识ACL。
  • 使用数字标识ACL:不同的类型的ACL使用不同的数字进行标识。
  • 使用名称标识ACL:可以使用字符来标识ACL,就像用域名代替IP地址一样,更加方便记忆。
  • 规则:即描述匹配条件的判断语句。
  • 规则编号:用于标识ACL规则,所有规则均按照规则编号从小到大进行排序。
  • 动作:包括permit/deny两种动作,表示设备对所匹配的数据包接受或者丢弃。
  • 匹配项:ACL定义了极其丰富的匹配项。包括生效时间段、IP协议(ICMP、TCP、UDP等)、源/目的地址以及相应的端口号(21、23、80等)。关于每种匹配项的详细介绍,请参见ACL的常用匹配项。

Part 03、  ACL的分类 

针对内况进行学习,在安全性能和运行效率方面都能有一定的提升。随着ACL技术的发展,其种类越来越丰富,根据其不同的规则和使用场景,常用的可分为以下几类:

- 基本ACL

基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。

- 高级ACL

相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。

- 二层ACL

在公司的内部网络中,想对特定的终端进行访问权限控制,这时就需要二层ACL。使用二层ACL,可以根据源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息对流量进行管控。

- 用户ACL

由于企业内部同部门的工作人员的终端不在同一个网段难以管理,需要将其纳入一个用户组,并对其用户组进行访问权限管理,这时候就需要用户ACL。用户ACL在高级ACL的基础上增加了用户组的配置项,可以实现对不同用户组的流量管控。

Part 04、 ACL的应用场景  

1️⃣在NAT中使用ACL

通过NAT的端口映射可使得外网访问内部网络。考虑到内部的网络安全,不可能允许所有的外部用户访问内部网络,这时可以设置ACL规则并应用在企业路由器上,使得特定的外网用户可以访问内部网络。

2️⃣在防火墙中使用ACL

防火墙用在内外网络边缘处,防止外部网络对内部网络的入侵,也可以用来保护网络内部大型服务器和重要的资源(如数据)。由于ACL直接在设备的转发硬件中配置,在防火墙中配置ACL在保护网络安全的同时不会影响服务器的性能。

3️⃣在QoS中使用ACL限制用户互访

ACL应用在QoS的流策略中,可以实现不同网段用户之间访问权限的限制,从而避免用户之间随意访问形成安全隐患。

Part 05、  总结 

ACL是计算机网络中非常重要的安全机制之一,广泛应用于企业网络、互联网和数据中心等领域。在未来,随着网络技术的不断发展,ACL的应用将会越来越广泛,并且将会与其他相关技术结合,实现更加灵活、高效和智能的网络安全管理。网络安全是一个永恒的话题,ACL作为其中的一个重要组成部分,将会在未来的网络安全管理中扮演着更加重要的角色。

责任编辑:庞桂玉 来源: 移动Labs
ACL安全
相关推荐
ACL访问控制列表)原理及应用
简而言之,ACL(访问控制列表)可以过滤网络中的流量,控制访问的一种网络技术手段。实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

2019-07-31 08:11:46

ACL访问控制列表网络通信
Squid访问控制ACL元素以及访问列表
代理服务器是介于浏览器和Web服务器之间的另一台服务器。有了该服务器之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信息会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给客户的浏览器。

2012-09-18 09:43:14

Squid代理服务器安全网关
CCNA:IP访问控制列表(ACL)知识总结
建立访问控制列表,可对数据流量进行简单的控制,以及通过这种控制达到一不定程度的安全性,允许或拒绝数据包通过路由器,从而达到对数据包进行过滤的目的。

2009-05-13 10:26:02

CCNAACLIP访问控制
巧用Squid的ACL访问列表实现高效访问控制
Squid代理服务器是一个缓存Internet数据的软件,可以代理HTTP、FTP、GOPHER、SSL和WAIS等协议,提高用户下载页面的速度,并设置过滤。使用Squid可以通过访问控制特性来灵活的控制用户访问时间、站点等限制。这些可以通过SquidACL和访问列表来轻松实现。

2010-09-01 16:43:26

Squid ACLSquid访问列表Squid
中小企业网络管理:ACL访问控制列表
现在网络是越来越复杂,网络数据也呈现出多样化,作为网络管理员必须能够拒绝不良的访问,同时又要允许正常的访问。

2013-03-01 10:48:28

在Linux中使用访问控制列表(ACL)保护文件/目录
作为系统管理员,我们的首要任务就是切实保护数据的安全,以免被未授权的人访问。我们都很清楚使用一些大有帮助的Linux命令设置的权限,比如chmod、chown和chgrp等命令,可是这些默认的权限集有一定的局限性,有时可能还满足不了我们的要求。

2014-05-26 09:50:19

访问控制列表ACL文件保护
图解网络:访问控制列表 ACL,功能堪比防火墙
ACL是一组允许或拒绝访问计算机网络的规则,网络设备,即路由器和交换机,将ACL语句应用于入站和出站网络流量,从而控制哪些流量可以通过网络。​

2022-07-13 09:01:48

ACL网络流量
浅谈Java访问控制机制
Java访问控制机制的原理是:在某些策略配置文件中预定义好某些代码对某些资源具有某些操作权限,当某些代码以某个权限访问某个资源的时候,如果对该资源预指定的权限中没有该权限,则禁止访问,否则可以访问。

2011-03-10 15:22:08

访问控制机制Java
关于ACL时间控制列表的设置问题
合理有效地利用基于ACL时间控制列表,可以更有效、更安全、更方便地保护我们的内部网络,这样您的网络才会更安全,网络管理人员也会更加轻松。

2009-12-22 09:04:35

ACL时间控制列表
访问控制列表学习:自反访问列表引入和配置
访问控制列表(ACESSLIST)自反访问列表引入和配置的学习。

2009-02-12 11:59:11

包过滤控制访问列表
访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

2011-03-14 17:50:27

访问控制列表
一种“多才多艺”的网络工具——访问控制列表ACL
内部路由器对前往企业网络中受保护部分的数据流进行过滤,以进一步提高安全,这是通过使用访问控制列表实现的。

2020-09-15 10:16:19

网络工具访问控制列表ACL
访问控制列表限制访问指定网站
如果要限制员工对某一网站的访问,获取该网站服务器完整的IP地址列表很关键,并且当网站服务器IP地址有变更时,需在访问控制列表中手动更新它。而访问控制列表对过对网站服务器IP地址的“阻止”访问来达到限制员工访问某一网站的目的。

2009-02-05 10:12:00

访问控制列表限制访问
浅谈零信任之访问控制模型
零信任安全逐渐进入人们的视野,成为解决新时代网络安全的新理念、新架构、新解决方案。本篇主要探讨零信任的访问控制模型。

2021-07-09 13:54:31

零信任网络安全网络攻击
某公司访问控制列表配置实例
某公司访问控制列表配置实例。

2009-06-09 10:30:48

思科控制列表配置实例
cisco动态访问控制列表的应用
本文主要向大家介绍了一种新型的访问表,那么对于动态访问控制列表要如何进行使用呢?具体操作步骤是什么呢?下面的文章将给予你详细介绍。

2010-08-06 10:10:17

思科路由器动态访问列表
反向访问控制列表的用途及格式
即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度。这时我们可以使用反向控制列表来解决以上的问题。

2009-04-09 10:10:00

在路由器上配置自反访问控制列表
自反访问列表会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表—IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表。

2011-03-01 13:22:18

自反访问控制列表
在路由器上配置动态访问控制列表
本文主要从技术实现角度详细的讲述了如何进行动态控制列表的配置,并且在配置过程中要进行哪些具体的操作,下面文章都给予了详细的解答。

2010-08-04 13:06:41

路由器配置
Squid访问控制方法的实例
《Squid访问控制:ACL元素以及访问列表》这篇文章为大家详细讲述了ACL元素以及httpaccess访问控制列表的语法以及使用过程中需要注意的问题,本文将给出使用这些访问控制方法的实例。

2012-09-18 09:50:41

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服