定義
ACL全稱是AccessControlLists。即訪問控制列表。ACL是一個規(guī)則列表,用于指定授予或拒絕哪些用戶或系統(tǒng)訪問特定對象或系統(tǒng)資源。訪問控制列表也安裝在路由器或交換機中,它們充當過濾器,管理哪些流量可以訪問網(wǎng)絡(luò)。
每個系統(tǒng)資源都有一個安全屬性,用于標識其訪問控制列表。該列表包括可以訪問系統(tǒng)的每個用戶的條目。文件系統(tǒng)ACL最常見的特權(quán)包括讀取文件或目錄中的所有文件、寫入一個或多個文件以及執(zhí)行文件(如果是可執(zhí)行文件或程序)的能力。ACL還內(nèi)置于網(wǎng)絡(luò)接口和操作系統(tǒng)(OS)中,包括Linux和視窗。在計算機網(wǎng)絡(luò)上,訪問控制列表用于禁止或允許某些類型的流量進入網(wǎng)絡(luò)。他們通常根據(jù)流量的來源和目的地過濾流量。
訪問控制列表的用途是什么?
訪問控制列表用于控制對計算機系統(tǒng)或計算機網(wǎng)絡(luò)的權(quán)限。它們用于過濾進出特定設(shè)備的流量。這些設(shè)備可以是充當網(wǎng)絡(luò)網(wǎng)關(guān)的網(wǎng)絡(luò)設(shè)備,也可以是用戶直接訪問的端點設(shè)備。
在計算機系統(tǒng)上,某些用戶具有不同級別的特權(quán),具體取決于其角色。例如,以網(wǎng)絡(luò)管理員身份登錄的用戶可能具有對敏感文件或其他資源的讀取、寫入和編輯權(quán)限。相比之下,以訪客身份登錄的用戶可能只有讀取權(quán)限。
訪問控制列表可以幫助組織流量,以提高網(wǎng)絡(luò)效率,并使網(wǎng)絡(luò)管理員能夠?qū)ζ溆嬎銠C系統(tǒng)和網(wǎng)絡(luò)上的用戶進行精細控制。ACL還可用于通過阻止惡意流量來提高網(wǎng)絡(luò)安全性。
ACL如何工作?
每個ACL都有一個或多個訪問控制項(ACE),這些條目由用戶或用戶組的名稱組成。用戶也可以是角色名稱,如程序員或測試人員。對于這些用戶、組或角色中的每一個,訪問權(quán)限都以稱為訪問掩碼的位字符串表示。通常,系統(tǒng)管理員或?qū)ο笏姓邽閷ο髣?chuàng)建訪問控制列表。
訪問控制列表的類型
有兩種基本類型的ACL:
文件系統(tǒng)ACL管理對文件和目錄的訪問。它們?yōu)椴僮飨到y(tǒng)提供指令,用于在訪問系統(tǒng)后建立系統(tǒng)的用戶訪問權(quán)限及其權(quán)限。
網(wǎng)絡(luò)ACL通過向指定允許與網(wǎng)絡(luò)接口的流量類型的網(wǎng)絡(luò)交換機和路由器提供指令來管理網(wǎng)絡(luò)訪問。這些ACL還會在網(wǎng)絡(luò)內(nèi)部指定一次用戶權(quán)限。網(wǎng)絡(luò)管理員預定義網(wǎng)絡(luò)ACL規(guī)則。通過這種方式,它們的功能類似于防火墻。
ACL還可以按它們識別流量的方式進行分類:
標準ACL使用源IP地址阻止或允許整個協(xié)議套件。
擴展ACL根據(jù)一組差異化更強的特征(包括源和目標IP地址以及端口號)阻止或允許網(wǎng)絡(luò)流量,而不僅僅是源地址。
使用ACL好處
使用ACL有幾個好處,包括:
簡化的用戶識別。訪問控制列表簡化了識別用戶的方式。ACL確保只有經(jīng)過批準的用戶和流量才能訪問系統(tǒng)。
性能。與執(zhí)行相同功能的其他技術(shù)相比,ACL具有性能優(yōu)勢。它們直接在路由設(shè)備的轉(zhuǎn)發(fā)硬件上配置,因此訪問控制列表不會對路由設(shè)備產(chǎn)生負面影響的性能影響。將其與狀態(tài)檢查防火墻進行比較,后者是一個單獨的軟件,可能會導致性能下降。此外,控制網(wǎng)絡(luò)流量使網(wǎng)絡(luò)更加高效。
控制。ACL可以讓管理員更精細地控制網(wǎng)絡(luò)中許多不同點的網(wǎng)絡(luò)上的用戶和流量權(quán)限。它們有助于控制對網(wǎng)絡(luò)終結(jié)點的訪問以及在內(nèi)部網(wǎng)絡(luò)之間流動的流量。
您可以在哪里放置訪問控制列表?
訪問控制列表幾乎可以放置在任何安全或路由設(shè)備上,并且在網(wǎng)絡(luò)的不同部分具有多個ACL可能是有益的。
ACL非常適合需要高速、高性能和安全性的網(wǎng)絡(luò)端點(如應用程序或服務器)。
網(wǎng)絡(luò)管理員可以選擇在網(wǎng)絡(luò)中的不同點放置訪問控制列表,具體取決于網(wǎng)絡(luò)體系結(jié)構(gòu)。ACL通常放置在網(wǎng)絡(luò)的邊緣路由器上,因為它們與公共互聯(lián)網(wǎng)接壤。這使ACL有機會在流量到達網(wǎng)絡(luò)的其余部分之前對其進行篩選。
帶有ACL的邊緣路由器可以放置在公共互聯(lián)網(wǎng)和網(wǎng)絡(luò)其余部分之間的非軍事區(qū)(DMZ)中。DMZ是具有面向外部的路由器的緩沖區(qū),它提供來自所有外部網(wǎng)絡(luò)的一般安全性。它還具有內(nèi)部路由器,可將DMZ與受保護的網(wǎng)絡(luò)分開。
DMZ可能包含不同的網(wǎng)絡(luò)資源,如應用程序服務器、Web服務器、域名服務器或虛擬專用網(wǎng)絡(luò)。路由設(shè)備上ACL的配置是不同的,具體取決于其背后的設(shè)備以及需要訪問這些設(shè)備的用戶類別。
ACL通常放置在DMZ或外圍以篩選流量。
訪問控制列表的組件
ACL條目由幾個不同的組件組成,這些組件指定ACL如何處理不同的流量類型。常見ACL組件的一些示例包括:
序列號。序列號顯示ACL條目中對象的標識。
ACL名稱:這將使用名稱而不是數(shù)字來標識ACL。某些ACL允許同時使用數(shù)字和字母。
評論。某些ACL允許用戶添加注釋,這些注釋是對ACL條目的額外描述。
網(wǎng)絡(luò)協(xié)議。這使管理員能夠基于網(wǎng)絡(luò)協(xié)議(例如IP、互聯(lián)網(wǎng)控制消息協(xié)議、TCP、用戶數(shù)據(jù)報協(xié)議或NetBIOS)允許或拒絕流量。
源和目標。這定義了要阻止或允許的特定IP地址,或者基于無類別域間路由的地址范圍。
日志。某些ACL設(shè)備會保留ACL可識別對象的日志。
更高級的ACL條目可以根據(jù)某些IP數(shù)據(jù)包標頭字段(如差分服務代碼點、服務類型或IP優(yōu)先級)指定流量。
如何實現(xiàn)ACL
要實現(xiàn)ACL,網(wǎng)絡(luò)管理員必須了解流入和流出網(wǎng)絡(luò)的流量類型,以及他們嘗試保護的資源類型。管理員應按層次結(jié)構(gòu)在單獨的類別中組織和管理IT資產(chǎn),并管理用戶的不同權(quán)限。
維護訪問控制是網(wǎng)絡(luò)安全的基本組成部分。
標準ACL列表通常在靠近它嘗試保護的目標附近實現(xiàn)。擴展訪問控制列表通常在靠近源的位置實現(xiàn)??梢允褂迷L問列表名稱而不是訪問列表編號來配置擴展ACL。
用于在Cisco路由器上創(chuàng)建標準編號訪問控制列表的基本語法如下:
Router(config)#access-list(1300-1999)(permit|deny)source-addr(source-wildcard)
各個部分的含義如下:
(1300-1999)指定ACLIP編號范圍。這將命名ACL并定義ACL的類型。1300-1999使其成為標準ACL。
(允許|拒絕)指定要允許或拒絕的數(shù)據(jù)包。
源添加器指定源IP地址。
源通配符指定通配符掩碼。
通配符掩碼告訴路由器IP地址的哪些位可供網(wǎng)絡(luò)設(shè)備檢查并確定它是否與訪問列表匹配。
用戶可以在命令行中輸入上述配置代碼以創(chuàng)建訪問控制列表。來自供應商(包括Oracle和IBM)的云平臺通常還提供在其用戶登錄門戶中創(chuàng)建訪問控制列表的選項。在整個計算機系統(tǒng)中設(shè)置用戶權(quán)限可能很繁瑣,但有一些方法可以自動執(zhí)行腳本。
訪問控制列表必須根據(jù)網(wǎng)絡(luò)體系結(jié)構(gòu)的差異進行不同的配置。這包括本地、物理網(wǎng)絡(luò)和云網(wǎng)絡(luò)之間的差異。