访问控制列表工作过程与执行流程.pdfVIP

访问控制列表工作过程和执行流程 网管员在日常工作中经常会接触到路由器，但是对路由器得了解程度有多少呢？今天来 为您讲述一下访问控制列表（ACL），在日常的工作中可以利用ACL可以限制网络流量、提高 网络性能，同时也提高了网络的安全等级。 在局域网中，路由器或网关负责网络中的内外沟通的信息，同时对内部的网络系统进行 安全与稳定的保护作用，所以在安全方面负责对这些进进出出的数据进行识别，从而实现网 络的数据安全过滤；在网络的稳定性方面对网络中的数据进行流量控制，从而改善网络的通 行质量。 访问控制列表是应用在路由器接口上的一个控制列表，可以控制拒绝和允许进入以及离 开路由器的数据包，也可以拒绝和允许用户访问某一网络资源。由于其应用的非常广泛，可 以对IP、协议、端口等功能上进行控制，从而对网络系统起到安全与保护的作用，所以它是 一种网络安全防护技术，也可以当作一种网络控制的有力工具。 什么是访问控制列表（ACL） 访问控制列表实际上就是一系列允许和拒绝匹配准则的集合。简单的说就是利用这些准 则来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒 绝，那就要根据这些准则中所定义的条件来决定控制数据包在输入与输出。匹配准则的总类 繁多，可以简单的数据包目标地址的单项目匹配，也可以是数据包目标地址、源地址，端口 等多项目的综合匹配等，访问控制列表对符合匹配规则的数据包进行允许和拒绝的操作。 访问控制列表的作用 建立访问控制列表后，主要任务是保证网络资源不被非法使用和访问，其次还可以用来 限制网络流量，提高网络性能，对通信流量起到控制的手段，这些都是对网络访问的基本安 全手段。在路由器的接口上配置访问控制列表后，可以对入站接口、出站接口及通过路由器 中继的数据包进行安全检测。 访问控制列表总的说起来有下面三个作用，我们来具体看一下： 1、安全控制 允许一些分合匹配规则的数据包通过访问的同时而拒绝另一部分不符 合匹配规则的数据包。 举个例子说一下财务部的数据库服务器，上面的数据应该来说是比 较机密的，不是说谁都可以访问上面的数据的，这个时候就需要用到访问控制列表，在此列 表中定义那些主机可以访问财务部数据库服务器，当此列表外的主机访问此服务器的时候， 就会被路由器过滤掉。如图一所示： ACL安全控制 0与0的两台主机可以通过路由器访问数据库服务器主机，而那 台0那台笔记本电脑，就无法访问财务的数据库服务器。 2、流量过滤 此功能是防止一些不必要的数据包通过路由器，来提高网络的带宽的利用率，如图二所 示： ACL流量控制 其中的两台主机分别可以通过路由器访问网络与收发邮件，另一台主机想通过路由器进 行BT下载，却无法进行ＢＴ下载。 3、数据流量标识 此功能是对公司有两条或两条以上的网络链路时，访问控制列表与路由策略等来实现分 工，让不同的数据包选择不同的链路，如下图三： ACL数据流量标识 当有数据通过路由器的时候，访问控制列表先把数据流作相应的标识，在通过路由策略， 将这些数据流交给相应的连路，如图三标识中的访问internet的数据就走Internet线路，公 司内部的服务就走ＶＰＮ线路。 我们再来看一看ALC的工作原理，其原理包含两个方面，一是ACL的工作过程，二是ACL 的执行流程。通过其原理过程来具体的体会ALC的作用。 ALC的工作过程 当路由器的接口接收到一个数据包时，首先会检查访问控制列表，如果有执行控制列表 中有拒绝和允许的操作，则根据：被拒绝的数据包将会被丢弃，允许的数据包进入路由选择 状态。 对进入路由选择状态的数据再根据路由器的路由表执行路由选择，如果路由表中没有到 达目标网络的路由，那么相应的数据包就会被丢弃；如果路由表中存在到达目标网络的路由， 则数据包被送到相应的网络接口。 以上是ALC的简单的工作过程，其简单的说明数据包的经过路由器时，根据访问控制列 表作相应的动作来判断是被接收还是被丢弃，在安全性很高的配置中，有时还会为每个接口 配置自己的ALC，来为数据作更详细的判断。 ACL的执行流程 当数据包被执行操作时，这个过程是一个什么过程呢。这就需要按照列表中的条件语句 执行顺序来作不同判断。 这里要记住：如果一个数据包的报头跟ALC中某个条件判断语句相匹配，那么后面的语 句就将被忽略，不再进行检查。 数据包只有在跟第一个