ACL分类和作用
ACL 是什么
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
ACL 的作用
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
ACL的分类
实际上,按照ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。每种类型ACL对应的编号范围是不同的。ACL 2000属于基本ACL,ACL 3998属于高级ACL。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,所以高级ACL的功能更加强大。
ACL可以应用于多种场合,其中最为常见的应用情形如下:
1、过滤邻居设备间传递的路由信息。
2、控制交换访问,以此阻止非法访问设备的行为,如对 Console接口、 Telnet或SSH访问实施控制。
3、控制穿越网络设备的流量和网络访问。
4、通过限制对路由器上某些服务的访问来保护路由器,如HTP、SNMP和NIP等。
5、为DDR和 IPSeC VPN定义感兴趣流。
6、能够以多种方式在IOS中实现QoS(服务质量)特性。
7、在其他安全技术中的扩展应用,如TCP拦截和IOS防火墙。
正确放置ACL位置
在适当的位置放置 ACL 可以过滤掉不必要的流量,使网络更加高效。ACL可以充当防火墙来过滤数据包并去除不必要的流量。ACL的放置位置决定了是否能有效减少不必要的流量。例如,会被远程目的地拒绝的流量不应该消耗通往该目的地的路径上的网络资源。
每个ACL都应该放置在最能发挥作用的位置。基本的规则是:
将扩展 ACL尽可能靠近要拒绝流量的源。这样,才能在不需要的流量流经网络之前将其过滤掉。