win7系統(tǒng)下載
當(dāng)前位置: 首頁 > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁面

ACL提升邊際安全

發(fā)布時間:2022-05-30 文章來源:深度系統(tǒng)下載 瀏覽:

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機(jī)、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

由于構(gòu)成Internet的TCP/IP協(xié)議缺乏安全性,網(wǎng)絡(luò)安全成為用戶在提供開放式環(huán)境時必須認(rèn)真考慮的問題。

ACL提升邊際安全
非法接入、報文竊取、IP地址欺騙、拒絕服務(wù)攻擊等來自網(wǎng)絡(luò)層和應(yīng)用層的攻擊常常會耗盡網(wǎng)絡(luò)資源,讓用戶網(wǎng)管人員疲于應(yīng)對。針對這些問題,二、三層的訪問控制、防火墻技術(shù)、入侵檢測、身份驗證、數(shù)據(jù)加密、防病毒都提供了有效的解決途徑。而在保障網(wǎng)絡(luò)邊際安全方面,訪問控制列表(Access Control List,ACL)可以說是最先與安全威脅最行交火的生力軍。
ACL是對通過網(wǎng)絡(luò)接口進(jìn)入網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)包進(jìn)行控制的機(jī)制,分為標(biāo)準(zhǔn)ACL和擴(kuò)展ACL(Extended ACL)兩種。標(biāo)準(zhǔn)ACL只對數(shù)據(jù)包的源地址進(jìn)行檢查,擴(kuò)展ACL對數(shù)據(jù)包中的源地址、目的地址、協(xié)議以及端口號進(jìn)行檢查。作為一種應(yīng)用在路由器接口的指令列表,ACL已經(jīng)在一些核心路由交換機(jī)和邊緣交換機(jī)上得到應(yīng)用,從原來的網(wǎng)絡(luò)層技術(shù)擴(kuò)展為端口限速、端口過濾、端口綁定等二層技術(shù),實現(xiàn)對網(wǎng)絡(luò)的各層面的有效控制。具體到安全領(lǐng)域來說,ACL的作用主要體現(xiàn)在以下幾個方面。 

限制網(wǎng)絡(luò)流量提高網(wǎng)絡(luò)性能
通過設(shè)定端口上、下行流量的帶寬,ACL可以定制多種應(yīng)用的帶寬管理,避免因為帶寬資源的浪費而影響網(wǎng)絡(luò)的整體性能。如果能夠根據(jù)帶寬大小來制定收費標(biāo)準(zhǔn),那么運營商就可以根據(jù)客戶申請的帶寬,通過啟用ACL方式限定訪問者的上、下行帶寬,實現(xiàn)更好的管理,充分利用現(xiàn)有的網(wǎng)絡(luò)資源,保證網(wǎng)絡(luò)的使用性能。

有效的通信流量控制手段
ACL 可以限定或簡化路由選擇更新信息的長度,用來限制通過路由器的某一網(wǎng)段的流量。
提供網(wǎng)絡(luò)訪問的基本安全手段
ACL 允許某一主機(jī)訪問一個網(wǎng)絡(luò),阻止另一主機(jī)訪問同樣的網(wǎng)絡(luò),這種功能可以有效防止未經(jīng)授權(quán)用戶的非法接入。如果在邊緣接入層啟用二、三層網(wǎng)絡(luò)訪問的基本安全策略,ACL能夠?qū)⒂脩舻腗AC、IP地址、端口號與交換機(jī)的端口進(jìn)行綁定,有效防止其他用戶訪問同樣的網(wǎng)絡(luò)。
在交換機(jī)(路由器)接口處,ACL決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被拒絕。根據(jù)數(shù)據(jù)包的協(xié)議(IP、IPX等),ACL指定某種類型的數(shù)據(jù)包具有更高的優(yōu)先級,在同等情況下優(yōu)先被交換機(jī)(路由器)處理。這種功能保證交換機(jī)(路由器)丟棄不必要的數(shù)據(jù)包,通過不同的隊列來有效限制網(wǎng)絡(luò)流量,減少網(wǎng)絡(luò)擁塞。
在網(wǎng)絡(luò)中,ACL不但可以讓網(wǎng)管員用來制定網(wǎng)絡(luò)策略,對個別用戶或特定數(shù)據(jù)流進(jìn)行控制;也可以用來加強(qiáng)網(wǎng)絡(luò)的安全屏蔽作用。從簡單的Ping of Death攻擊、TCP Syn攻擊,到更多樣化更復(fù)雜的黑客攻擊,ACL都可以起到一定的屏蔽作用。如果從邊緣、二層到三層交換機(jī)都具備支持標(biāo)準(zhǔn)ACL及擴(kuò)展ACL的能力,網(wǎng)絡(luò)設(shè)備就可以將安全屏蔽及策略執(zhí)行能力延伸到網(wǎng)絡(luò)的邊緣。
需要指出的是,與速率限制相同,網(wǎng)絡(luò)設(shè)備不僅應(yīng)該能夠執(zhí)行完整的ACL功能,包括進(jìn)站和出站,同時也必須強(qiáng)調(diào)硬件的處理能力。這樣,用戶在啟動ACL的同時,才不會影響到二層或三層交換設(shè)備線速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力。
目前,一些主流的網(wǎng)絡(luò)設(shè)備廠商已經(jīng)在相關(guān)的交換設(shè)備中引入該技術(shù)。D-Link作為全球重要的網(wǎng)絡(luò)設(shè)備提供商之一,在二、三層交換機(jī)產(chǎn)品推出之際時,便將線速、硬件級的ACL技術(shù)列入基本的協(xié)議支持,其二層交換機(jī)DES-3226S、DES-3250TG以及三層交換機(jī)DES-3326S、DES-6300等都已經(jīng)率先支持硬件級的標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。

【相關(guān)文章】

  • 專題:訪問控制列表(ACL)介紹
  • 輕松學(xué)習(xí)理解ACL訪問控制列表
  • 設(shè)置服務(wù)器的訪問控制


    網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。

    本文章關(guān)鍵詞: ACL 訪問控制列表 防火墻 路由器