产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

ACL基本概念及原理介绍

ACL通过定义一系列的ACL规则,并应用在设备中,以实现网络传输中的设备的数据报文过滤和数据报文分类的功能,能够防止网络中的报文攻击和控制网络访问,实现了网络对安全、可靠和稳定的保障要求。

  • 发布时间:2022-11-24

  • 点击量:

  • 点赞:

分享至

我想评论

1 ACL概述
1.1   ACL是什么
在介绍ACL作用之前,先来看看什么是ACL。ACL(Access Control List,访问控制列表)也称为访问列表,或者包过滤。ACL包含了一系列条件语句,实际上是一系列包含“允许”或者“拒绝”的规则。换句话说,ACL是人为定义的一系列规则,以便设备判断是否执行用户规定动作。
1.2   ACL作用
ACL出现的初始目的是用于数据报文过滤和数据报文分类。下面对ACL作用做简要介绍。
数据报文过滤
由于ACL包含了“允许”或“拒绝”的ACL规则,通过ACL规则,能够控制设备是否转发数据报文,或者限制用户访问服务。
数据报文分类
通过ACL规则对数据报文进行分类,其他应用(比如QoS、策略路由等)通过调用ACL,能够对不同类别的数据报文进行区别处理。
                                                                              
2 ACL工作原理
2.1   ACL的基本概念介绍
ACE
ACE(Access Control Entry,访问控制条目)是包含“允许(Permit)”或“拒绝(Deny)”两种动作,以及过滤规则的一条语句。每个ACE都有一个序号,该序号可由设备自动分配或者手动配置。一条ACL中包含一个或者多个ACE。ACL通过ACE对数据报文进行过滤和分类。
步长
当设备为ACE自动分配序号时,两个相邻ACE序号之间的差值,称为步长。例如,如果将ACE的步长设定为20,则设备按照0、20、40、60…这样的递增顺序自动为ACE分配序号。如下所示。
0 deny ip any any
20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any
当步长改变后,ACE序号会自动按新步长值重新分配。例如,当把步长改为10后,原来ACE序号从0、20、40变成0、20、30。
通过改变步长可以在两个ACE之间插入新的ACE。例如创建了4个ACE,并通过手动配置ACE序号分别为1、2、3和4。如果希望能在序号1后面插入一条新的ACE,则可以先将步长修改为2,此时原先4个ACE的序号自动变为1、3、5和7,再插入一条手动配置的序号为2的ACE。
过滤域和过滤域模板
过滤域指的是生成一条ACE时,根据报文中的哪些字段对报文进行识别、分类。过滤域模板就是这些字段的组合。
ACL规则
ACL规则(Rules)指的是ACE过滤域模板对应的值。例如,一条ACE的内容如下:
10 permit tcp host 192.168.12.2 any eq telnet
在这条ACE中,过滤域模板为以下字段的集合:源IP地址字段、目的IP地址字段、IP协议字段、TCP目的端口字段。对应的值(即规则)分别为:源IP地址为Host 192.168.12.2、目的IP地址为Any(即所有主机)、IP协议为TCP、TCP目的端口为Telnet。如图2-1所示。
行为
行为(Action)指的是ACE中指定的动作,包含“允许(Permit)”或“拒绝(Deny)”两种。Permit为允许规则中指定的流量,Deny为拒绝规则中指定的流量。
图2-1 对ACE:permit tcp host 192.168.12.2 any eq telnet的分析
                                                                                
2.2   ACL工作原理介绍
ACL由一系列的ACE组成。每个ACE都定义了ACL规则及行为。在所有的ACE之后,存在一条默认拒绝所有报文的ACE:deny any any(不显示)。
ACE可以针对数据报文的源地址、目的地址、上层协议,时间区域等信息进行过滤。
ACE在ACL中的顺序决定了该ACE在ACL中的报文匹配优先级。当数据报文进入设备或者要从设备中转发时,按ACE的序号从小到大进行规则匹配,当找到匹配的ACE后停止检查后续的ACE。如果配置的ACE都未匹配到,则匹配最后一条默认拒绝所有报文的ACE。如图2-2所示。
创建ACL并将ACL应用在接口的入方向或者出方向后,ACL功能才生效。当报文进出设备时,设备通过判断报文是否匹配ACL规则,决定是否转发或阻断报文。ACL才能够发挥控制访问的作用。
图2-2 ACL工作原理图
                                                                                    
3 结束语
随着网络应用的推广和网络技术的发展,网络的保障要越来越高。ACL的数据报文过滤和数据报文分类的功能,能够防止网络中的报文攻击和控制网络访问,实现了网络对安全、可靠和稳定的保障要求。那么,ACL分类有哪些?高级ACL和基本ACL的区别、标准ACL和扩展ACL的区别分别是什么?ACL配置如何实现呢?敬请期待后续介绍。
                                                                          

点赞

更多技术博文

任何需要,请联系我们

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式