产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

ACL基本概念及原理介绍

ACL通过定义一系列的ACL规则,并应用在设备中,以实现网络传输中的设备的数据报文过滤和数据报文分类的功能,能够防止网络中的报文攻击和控制网络访问,实现了网络对安全、可靠和稳定的保障要求。

  • 发布时间:2022-11-24

  • 点击量:

  • 点赞:

分享至

我想评论

1 ACL概述
1.1   ACL是什么
在介绍ACL作用之前,先来看看什么是ACL。ACL(Access Control List,访问控制列表)也称为访问列表,或者包过滤。ACL包含了一系列条件语句,实际上是一系列包含“允许”或者“拒绝”的规则。换句话说,ACL是人为定义的一系列规则,以便设备判断是否执行用户规定动作。
1.2   ACL作用
ACL出现的初始目的是用于数据报文过滤和数据报文分类。下面对ACL作用做简要介绍。
数据报文过滤
由于ACL包含了“允许”或“拒绝”的ACL规则,通过ACL规则,能够控制设备是否转发数据报文,或者限制用户访问服务。
数据报文分类
通过ACL规则对数据报文进行分类,其他应用(比如QoS、策略路由等)通过调用ACL,能够对不同类别的数据报文进行区别处理。
                                                                              
2 ACL工作原理
2.1   ACL的基本概念介绍
ACE
ACE(Access Control Entry,访问控制条目)是包含“允许(Permit)”或“拒绝(Deny)”两种动作,以及过滤规则的一条语句。每个ACE都有一个序号,该序号可由设备自动分配或者手动配置。一条ACL中包含一个或者多个ACE。ACL通过ACE对数据报文进行过滤和分类。
步长
当设备为ACE自动分配序号时,两个相邻ACE序号之间的差值,称为步长。例如,如果将ACE的步长设定为20,则设备按照0、20、40、60…这样的递增顺序自动为ACE分配序号。如下所示。
0 deny ip any any
20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any
当步长改变后,ACE序号会自动按新步长值重新分配。例如,当把步长改为10后,原来ACE序号从0、20、40变成0、20、30。
通过改变步长可以在两个ACE之间插入新的ACE。例如创建了4个ACE,并通过手动配置ACE序号分别为1、2、3和4。如果希望能在序号1后面插入一条新的ACE,则可以先将步长修改为2,此时原先4个ACE的序号自动变为1、3、5和7,再插入一条手动配置的序号为2的ACE。
过滤域和过滤域模板
过滤域指的是生成一条ACE时,根据报文中的哪些字段对报文进行识别、分类。过滤域模板就是这些字段的组合。
ACL规则
ACL规则(Rules)指的是ACE过滤域模板对应的值。例如,一条ACE的内容如下:
10 permit tcp host 192.168.12.2 any eq telnet
在这条ACE中,过滤域模板为以下字段的集合:源IP地址字段、目的IP地址字段、IP协议字段、TCP目的端口字段。对应的值(即规则)分别为:源IP地址为Host 192.168.12.2、目的IP地址为Any(即所有主机)、IP协议为TCP、TCP目的端口为Telnet。如图2-1所示。
行为
行为(Action)指的是ACE中指定的动作,包含“允许(Permit)”或“拒绝(Deny)”两种。Permit为允许规则中指定的流量,Deny为拒绝规则中指定的流量。
图2-1 对ACE:permit tcp host 192.168.12.2 any eq telnet的分析
                                                                                
2.2   ACL工作原理介绍
ACL由一系列的ACE组成。每个ACE都定义了ACL规则及行为。在所有的ACE之后,存在一条默认拒绝所有报文的ACE:deny any any(不显示)。
ACE可以针对数据报文的源地址、目的地址、上层协议,时间区域等信息进行过滤。
ACE在ACL中的顺序决定了该ACE在ACL中的报文匹配优先级。当数据报文进入设备或者要从设备中转发时,按ACE的序号从小到大进行规则匹配,当找到匹配的ACE后停止检查后续的ACE。如果配置的ACE都未匹配到,则匹配最后一条默认拒绝所有报文的ACE。如图2-2所示。
创建ACL并将ACL应用在接口的入方向或者出方向后,ACL功能才生效。当报文进出设备时,设备通过判断报文是否匹配ACL规则,决定是否转发或阻断报文。ACL才能够发挥控制访问的作用。
图2-2 ACL工作原理图
                                                                                    
3 结束语
随着网络应用的推广和网络技术的发展,网络的保障要越来越高。ACL的数据报文过滤和数据报文分类的功能,能够防止网络中的报文攻击和控制网络访问,实现了网络对安全、可靠和稳定的保障要求。那么,ACL分类有哪些?高级ACL和基本ACL的区别、标准ACL和扩展ACL的区别分别是什么?ACL配置如何实现呢?敬请期待后续介绍。
                                                                          

点赞

任何需要,请联系我们

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式
是否找到您想要的内容?
您遇到了什么问题?
找不到想要的信息
筛选功能不好用
加载速度太慢
页面体验差
提交
您是否找到了与产品相关的文档
筛选功能是否帮助您更快找到所需的文档?
有帮助
一般
没有帮助
没用过
请问您遇到了什么问题?
需要填写的内容太多
有些信息不懂怎么填
页面有问题/错误
其他
确定
这些客户案例是否对您有帮助?
非常有帮助
比较有帮助
没有帮助
请您对这个客户案例进行评价
兴趣度
相关性
可信度
确定
感谢您的反馈!
感谢您的反馈!