ACL简介

定义

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

ACL结构图

ACL匹配机制

ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。

当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,小编画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。

ACL匹配机制

从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:匹配”和“不匹配”

  • 匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
  • 不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。

无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。

不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。例如,在Telnet模块中应用ACL,只要报文命中了permit规则,就允许通过;而在流策略中应用ACL,如果报文命中了permit规则,但流行为动作配置的是deny,该报文会被拒绝通过。

ACL目的

随着网络的飞速发展,网络安全和网络服务质量QoS(Quality of Service)问题日益突出。

  • 企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。

  • Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。

  • 网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。

以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性服务质量迫在眉睫。ACL就在这种情况下应运而生了。

通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

ACL的使用场景

ACL可以应用于诸多业务模块,其中最基本的ACL应用,就是在简化流策略/流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。

此外,ACL还可以应用在Telnet、FTP、路由等模块。

ACL应用的业务模块非常多,但主要分为以下四类:

业务分类

                                                               应用场景

涉及业务模块

登录控制

对登录权限进行控制,允许合法用户登录,拒绝非法用户登录,从而有效防止未经授权用户的非法接入,保证网络安全性。

例如,一般情况下交换机只允许管理员登录,非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL,并在ACL中定义哪些主机可以登录,哪些主机不能。

Telnet、SNMP、FTP、TFTP、SFTP、HTTP

对转发的报文进行过滤

对转发的报文进行过滤,从而使交换机能够进一步对过滤出的报文进行丢弃、修改优先级、重定向、IPSEC保护等处理。

例如,可以利用ACL,降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级,在网络拥塞时优先丢弃这类流量,减少它们对其他重要流量的影响。

QoS流策略、NAT、IPSEC

对上送CPU处理的报文进行过滤

对上送CPU的报文进行必要的限制,可以避免CPU处理过多的协议报文造成占用率过高、性能下降。

例如,发现某用户向交换机发送大量的ARP攻击报文,造成交换机CPU繁忙,引发系统中断。这时就可以在本机防攻击策略的黑名单中应用ACL,将该用户加入黑名单,使CPU丢弃该用户发送的报文。

黑名单、白名单、用户自定义流

路由过滤

ACL可以应用在各种动态路由协议中,对路由协议发布和接收的路由信息进行过滤。

例如,可以将ACL和路由策略配合使用,禁止交换机将某网段路由发给邻居路由器。

BGP、IS-IS、OSPF、OSPFv3、RIP、RIPng、组播协议

 ACL应用案例

1使用基本ACL限制Telnet登录权限

为了保障远程维护网络设备的安全性,现要求只有管理员(源地址是10.1.1.1/32)才能telnet登录交换机,其他人不允许登录。

要实现这个需求,一定是在Telnet模块中应用ACL。那么该如何配置ACL规则呢?大家是不是认为应该先配置一条permit规则允许10.1.1.1/32登录,然后再配置多条deny规则拒绝其他地址登录呢?其实大可不必。

查阅Telnet模块的报文处理机制参照表,当ACL中存在规则的情况下,如果报文匹配上permit规则,则该地址允许登录设备;如果未匹配上规则,该地址被拒绝登录设备。

业务模块

匹配上了permit规则

匹配上了deny规则

ACL中配置了规则,但未匹配上任何规则

ACL中没有配置规则

ACL未创建

Telnet

permit(允许登录)

deny(拒绝登录)

deny(拒绝登录)

permit(允许登录)

permit(允许登录)

因此,我们仅需配置一条允许10.1.1.1/32地址通过的permit规则即可,10.1.1.1/32以外的地址的报文因匹配不上任何规则会被拒绝登录。

2使用基本ACL限制FTP访问权限示例

组网需求

如图所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:

  • 子网1(172.16.105.0/24)的所有用户在任意时间都可以访问FTP服务器。
  • 子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问FTP服务器。
  • 其他用户不可以访问FTP服务器。

已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。

使用基本ACL限制FTP访问权限组网图 

配置思路

采用如下的思路在Switch上进行配置:

  1. 配置时间段和ACL,使设备可以基于时间的ACL,对网络中不同用户的报文进行过滤,从而控制不同用户的FTP访问权限。
  2. 配置FTP基本功能。
  3. 在FTP模块中应用ACL,使ACL生效。

Consul Access Control(ACLS)

Consul使用Access Control Lists (ACLs)来保护UI、API、CLI、服务间通信和agent间通信。ACL的核心是将规则分组到策略中,然后将一个或多个策略与一个Token关联起来。

Consul ACL可以用来控制数据和接口的访问。

应用:consul配置acl:允许注册和访问所有节点,并读取任何服务

参考链接:

https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#domain-acls

https://learn.hashicorp.com/consul/security-networking/production-acls

https://forum.huawei.com/enterprise/zh/thread-336589.html

https://support.huawei.com/enterprise/zh/doc/EDOC1100038902/9aca1495

https://juejin.im/post/5d3ffce56fb9a06af7121025

https://support.huawei.com/enterprise/zh/doc/EDOC1100116596/bcfa479c

https://muka.app/?p=336

https://www.consul.io/api/acl/acl.html

ACL:是什么?目的?使用场景?相关推荐

  1. 由浅入深玩转华为WLAN—23 Traffic-filter(ACL)在WLAN无线场景的应用

    简介 Traffic-Filter(ACL)在WLAN应用场景比较适合 在一个企业网络架构中,无线提供多种业务转发,包括给访客Guest的,以及内部员工的,我们希望访客只能访问internet,而内部 ...

  2. acl在内核里的位置_访问控制列表的使用原则是在靠近源的位置应用基本ACL,在靠近目的的位置应用高级ACL。_学小易找答案...

    [单选题]根据公司的发展,你认为该公司最可能采用的部门化方式是 [多选题]ACl中可以关联一下哪些行为? [单选题]你认为本案例最能说明的管理原则是 [简答题]В тексте мы столкнул ...

  3. 思科ACL阻止勒索病毒

    如何在思科的3700系列交换机上配置ACL阻止勒索病毒的传播? 勒索病毒主要是微软的锅,通过TCP/UDP的135.137.138.139.445端口攻陷用户的计算机加密用户的文件达到勒索比特币的目的 ...

  4. ENSP 防火墙USG6000V NAT 设置(全场景)

    这里写目录标题 NAT 源NAT no-pat napt easy-ip 目的NAT nat server 网关重定向(纯目的NAT) acl方式 nat-policy方式 双向nat slb(负载均 ...

  5. 关于ACL和NAT技术(内含PC服务器常见三种类型介绍与通配符掩码简介)

    目录 PC服务器常见三种外形介绍(硬盘尺寸相关知识普及) 一.塔式服务器 二.刀片式服务器 三.机架式服务器 四.硬盘尺寸 ACL 一.ACL概述及其组成 1.ACL的概述及技术背景 2.ACL的组成 ...

  6. NA-NP-IE系列实验36:扩展ACL

    实验36:扩展ACL 1.实验目的 通过本实验可以掌握: (1)定义扩展ACL (2)应用扩展ACL (3)扩展ACL 调试 2.拓扑结构 实验拓扑如图所示. 3.实验步骤 注:本实验要求不允许1.1 ...

  7. NA-NP-IE系列实验35:标准ACL

    实验35:标准ACL 1.实验目的 通过本实验可以掌握: (1)ACL 设计原则和工作过程 (2)定义标准ACL (3)应用ACL (4)标准ACL 调试 注:本实验拒绝PC0访问路由器R2,同时只允 ...

  8. Java CountDownLatch的两种常用场景

    转载请标明出处:http://blog.csdn.net/zhaoyanjun6/article/details/120506758 本文出自[赵彦军的博客] 文章目录 简介 场景1 让多个线程等待: ...

  9. 手把手教你建立用户画像和用户场景

    作者:晨光文具互联网产品经理 (转载已取得授权) 通常在产品设计过程中会遇到一个问题,你的产品适用于什么样的用户,什么样的场景.简而言之就是什么样的用户在什么场景下使用你的产品.这也是产品经理设计产品 ...

  10. 配置 Linux 的访问控制列表(ACL)

    配置 Linux 的访问控制列表(ACL) 使用拥有权限控制的Liunx,工作是一件轻松的任务.它可以定义任何user,group和other的权限.无论是在桌面电脑或者不会有很多用户的虚拟Linux ...

最新文章

  1. Linux 文件系统剖析
  2. 业内公认的AI发展最大挑战,有哪些技术突破机会?
  3. nginx学习总结五(nginx反向代理)
  4. 37.Intellij IDEA解决GBK乱码
  5. 微信小程序:开发之前要知道的三件事
  6. ai边缘平滑_华为P40的多帧曝光AI智能处理,逆光也能无法阻挡你的美
  7. linux 为什么要安装gcc和gcc-c++(又叫做g++)
  8. 解决php上传文件过程中Warning move_uploaded_file, failed to open stream的解决方案
  9. 电视节目《宅男改变世界》
  10. [每天一个知识点]31-乱七八糟-如何判断预言有效
  11. iOS应用开发模板 iOS Boilerplate
  12. 捷速pdf修改器如何在pdf中添加附件
  13. ☆【容斥原理】【SCOI2010】幸运数字
  14. html中设置表格标题的代码,设置表格标题的html代码是什么_WEB前端开发
  15. 风之语.至贱城市之成都
  16. eclipse快捷键以及使用技巧大全
  17. python爬虫 京东关键词搜索商品及具体参数和评论
  18. 网络安全选择试题及答案
  19. WinCE系统深度定制汇总
  20. C/C++ 之 printf 输出函数的使用

热门文章

  1. Axure chrome插件安装
  2. 图像特征之傅里叶描述子
  3. 关于 TFT 、 TFD 、 UFB 、 STN 、 DSTN 和 OLED
  4. Python对excel文件批量加密(GUI选择)
  5. [转载]自动机器学习(AutoML)领域论文合集
  6. 2019 中国开源年会即将开启
  7. reactos回顾总结(一)reactos源码编译
  8. 率土之滨服务器维护2月19日,率土之滨连发两封致歉信后,资深月卡党的我决定重新入坑...
  9. 2021的科技卦象·雷·到元宇宙玩“躲猫猫”
  10. 实朴检测深交所上市:市值44亿 应收账款逾期6587万