ACL基本概念及原理介紹

ACL通過定義一系列的ACL規則，并應用在設備中，以實現網絡傳輸中的設備的數據報文過濾和數據報文分類的功能，能夠防止網絡中的報文攻擊和控制網絡訪問，實現了網絡對安全、可靠和穩定的保障要求。

發布時間：2022-11-24
點擊量：
點贊：

分享至

我想評論

1 ACL概述

1.1 ACL是什么

在介紹ACL作用之前，先來看看什么是ACL。ACL（Access Control List，訪問控制列表）也稱為訪問列表，或者包過濾。ACL包含了一系列條件語句，實際上是一系列包含“允許”或者“拒絕”的規則。換句話說，ACL是人為定義的一系列規則，以便設備判斷是否執行用戶規定動作。

1.2 ACL作用

ACL出現的初始目的是用于數據報文過濾和數據報文分類。下面對ACL作用做簡要介紹。

●數據報文過濾

由于ACL包含了“允許”或“拒絕”的ACL規則，通過ACL規則，能夠控制設備是否轉發數據報文，或者限制用戶訪問服務。

●數據報文分類

通過ACL規則對數據報文進行分類，其他應用（比如QoS、策略路由等）通過調用ACL，能夠對不同類別的數據報文進行區別處理。

2 ACL工作原理

2.1 ACL的基本概念介紹

●ACE

ACE（Access Control Entry，訪問控制條目）是包含“允許（Permit）”或“拒絕（Deny）”兩種動作，以及過濾規則的一條語句。每個ACE都有一個序號，該序號可由設備自動分配或者手動配置。一條ACL中包含一個或者多個ACE。ACL通過ACE對數據報文進行過濾和分類。

●步長

當設備為ACE自動分配序號時，兩個相鄰ACE序號之間的差值，稱為步長。例如，如果將ACE的步長設定為20，則設備按照0、20、40、60…這樣的遞增順序自動為ACE分配序號。如下所示。

0 deny ip any any

20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

當步長改變后，ACE序號會自動按新步長值重新分配。例如，當把步長改為10后，原來ACE序號從0、20、40變成0、20、30。

通過改變步長可以在兩個ACE之間插入新的ACE。例如創建了4個ACE，并通過手動配置ACE序號分別為1、2、3和4。如果希望能在序號1后面插入一條新的ACE，則可以先將步長修改為2，此時原先4個ACE的序號自動變為1、3、5和7，再插入一條手動配置的序號為2的ACE。

●過濾域和過濾域模板

過濾域指的是生成一條ACE時，根據報文中的哪些字段對報文進行識別、分類。過濾域模板就是這些字段的組合。

●ACL規則

ACL規則（Rules）指的是ACE過濾域模板對應的值。例如，一條ACE的內容如下：

10 permit tcp host 192.168.12.2 any eq telnet

在這條ACE中，過濾域模板為以下字段的集合：源IP地址字段、目的IP地址字段、IP協議字段、TCP目的端口字段。對應的值（即規則）分別為：源IP地址為Host 192.168.12.2、目的IP地址為Any（即所有主機）、IP協議為TCP、TCP目的端口為Telnet。如圖2-1所示。

●行為

行為（Action）指的是ACE中指定的動作，包含“允許（Permit）”或“拒絕（Deny）”兩種。Permit為允許規則中指定的流量，Deny為拒絕規則中指定的流量。

圖2-1 對ACE：permit tcp host 192.168.12.2 any eq telnet的分析

2.2 ACL工作原理介紹

ACL由一系列的ACE組成。每個ACE都定義了ACL規則及行為。在所有的ACE之后，存在一條默認拒絕所有報文的ACE：deny any any（不顯示）。

ACE可以針對數據報文的源地址、目的地址、上層協議，時間區域等信息進行過濾。

ACE在ACL中的順序決定了該ACE在ACL中的報文匹配優先級。當數據報文進入設備或者要從設備中轉發時，按ACE的序號從小到大進行規則匹配，當找到匹配的ACE后停止檢查后續的ACE。如果配置的ACE都未匹配到，則匹配最后一條默認拒絕所有報文的ACE。如圖2-2所示。

創建ACL并將ACL應用在接口的入方向或者出方向后，ACL功能才生效。當報文進出設備時，設備通過判斷報文是否匹配ACL規則，決定是否轉發或阻斷報文。ACL才能夠發揮控制訪問的作用。

圖2-2 ACL工作原理圖

3 結束語

隨著網絡應用的推廣和網絡技術的發展，網絡的保障要越來越高。ACL的數據報文過濾和數據報文分類的功能，能夠防止網絡中的報文攻擊和控制網絡訪問，實現了網絡對安全、可靠和穩定的保障要求。那么，ACL分類有哪些？高級ACL和基本ACL的區別、標準ACL和擴展ACL的區別分別是什么？ACL配置如何實現呢？敬請期待后續介紹。

相關標簽：