免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 综合交流区 IT培训与认证 网工必看:学习理解ACL访问控制列表
最近访问板块 发新帖
查看: 1475 | 回复: 6
打印 上一主题 下一主题

网工必看:学习理解ACL访问控制列表 [复制链接]

zhangshuai1147

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2011-04-06 09:25 |只看该作者 |倒序浏览
任何企业网络系统在为创造价值的同时,对安全性也有很高的要求。ACL(网络层访问控制列表)其实可以帮助企业实现网络安全策略,可以说ACL是一个很不错的解决工具或方案。<br />  那什么是ACL呢?为了帮助企业网络运维人员深入理解ACL,可以根据以下几点看透ACL本质。<br />  一、从名称解析ACL<br />  ACL:Acess Control List,即访问控制列表。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。<br />  信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。<br />  二、看透ACL的本质<br />  通常,很多企业都在使用NAT技术进行地址转换,而NAT技术中就包含了ACL的应用。通过ACL,我们可以控制哪些私有地址能上外网(公网),哪些不能。然后把这些过滤好的数据,进行NAT转换。另外,企业也需要对服务器的资源访问进行控制,通过ACL过滤出哪些用户不能访问,哪些用户能访问。<br />  从实际应用中,我们看到ACL能够区分不同的数据流。这也意味着ACL的本质其实是一种流量分类技术,它是人为定义的一组或几组规则,目的是通过网络设备对数据流分类,以便执行用户规定的动作。换句话说,ACL本身不能直接达到访问控制的目的,它间接辅助特定的用户策略,达到人们所需效果的一种技术手段。在笔者看来,ACL是一种辅助型的技术或者说是工具。<br />  三、玩转基本的ACL<br />  拓扑描述:某企业有100个信息点,分属五个部门。用一台二层交换机和一台路由器作为网络层设备;局域网内部有一台OA服务器。<br />  组网需求:五个部门分属5个VLAN,VLAN间不能互通。要求所有终端都可以上公网,并访问OA服务器。<br />  也就是说,有两个需求:<br />  1、5个部门的终端不能互相通讯<br />  2、5个部门都要求能够访问OA SERVER和公网。<br />  根据这两种实际需求,怎么用ACL实现呢?<br />  以Cisco路由器为例,在全局模式下进行如下配置:<br />  access-list 100 permit ip any host OA的ip<br />  access-list 100 denyip any ip网络号 通配符<br />  access-list 100 permit ip any any<br />  然后在相应的子接口下绑定:<br />  ip access-group 100 in<br />  命令解释:第一条就是允许OA服务器上的数据进入,第二条就是拒绝其它四个部门的数据流进入,第三条是允许所有流量进入,然后最后在相应接口绑定并启用放通或丢弃的操作。<br />  我们配置ACL都有几个配置原则,细化优先原则和最长匹配原则,不同的配置顺序影响不同的执行效果。通常都是按一个汇总的原则进行规划IP地址,所以第二条后面的IP网络号代表的是其它VLAN的子网汇总网络号。一般来说,思科的ACL最后都默认隐藏了一条deny 所有的语句,所以必须人为添加一条permit语句。<br />  在边界路由器上配置上述的命令,就能满足需求了,当然还需要和其他配置命令相结合使用,比如划分VLAN,配置路由协议等。但无论是怎样的需求,只要记住ACL的核心,它是一种流量分类技术,可以用特定的方式标记和分类网络中的流量,配合其它操作策略一起完成某项任务。只要明白这点,我们就能够玩好基本的ACL了。<br /><br />  来源:[url=/cisco.wanho.net]江苏万和计算机培训学校[/url]
benjamin_2001

论坛徽章:
0
2 [报告]
发表于 2011-04-06 11:19 |只看该作者
感謝樓主分享 幫頂一下!!!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
凉如昔

论坛徽章:
0
3 [报告]
发表于 2011-04-08 13:43 |只看该作者
<img src="http://bbs.chinaitlab.com/images/smilies/default/smile.gif" smilieid="1" border="0" alt="" /> <img src="http://bbs.chinaitlab.com/images/smilies/default/victory.gif" smilieid="14" border="0" alt="" />
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
snfjhhdjb

论坛徽章:
0
4 [报告]
发表于 2011-04-08 14:50 |只看该作者
<img src="http://bbs.chinaitlab.com/images/smilies/default/biggrin.gif" smilieid="3" border="0" alt="" /> ......
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
sanyc_cu

论坛徽章:
0
5 [报告]
发表于 2011-04-08 15:15 |只看该作者
哈哈哈哈哈哈哈哈哈哈啊哈哈哈哈哈哈哈哈哈哈哈啊哈哈哈哈哈哈哈哈哈哈哈啊哈哈哈哈哈哈哈哈哈哈哈啊哈
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
pii64gt

论坛徽章:
0
6 [报告]
发表于 2011-04-11 09:11 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
clzi

论坛徽章:
0
7 [报告]
发表于 2011-04-14 18:09 |只看该作者
多谢 分享帮忙顶下
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP