acl規則 網路中經常提到的acl規則是Cisco IOS所提供的一種訪問控制技術。初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供ACL的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術,不過名稱和配置方式都可能有細微的差別。本文所有的配置例項均基於Cisco IOS的ACL進行編寫。 基本原理:ACL使用包過濾技術,在路由器上讀取第三層及第四層包頭中的資訊如源地址、目的地址、源埠、目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。 功能:網路中的節點有資源節點和使用者節點兩大類,其中資源節點提供服務或資料,使用者節點訪問資源節點所提供的服務與資料。ACL的主要功能就是一方面保護資源節點,阻止非法使用者對資源節點的訪問,另一方面限制特定的使用者節點所能具備的訪問許可權。 在實施ACL的過程中,應當遵循如下兩個基本原則: 1.最小特權原則:只給受控物件完成任務所必須的最小的許可權。2.最靠近受控物件原則:所有的網路層訪問許可權控制。 侷限性:由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分資訊,這種技術具有一些固有的侷限性,如無法識別到具體的人,無法識別到應用內部的許可權級別等。因此,要達到end to end的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。
acl規則 網路中經常提到的acl規則是Cisco IOS所提供的一種訪問控制技術。初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供ACL的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供類似的技術,不過名稱和配置方式都可能有細微的差別。本文所有的配置例項均基於Cisco IOS的ACL進行編寫。 基本原理:ACL使用包過濾技術,在路由器上讀取第三層及第四層包頭中的資訊如源地址、目的地址、源埠、目的埠等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。 功能:網路中的節點有資源節點和使用者節點兩大類,其中資源節點提供服務或資料,使用者節點訪問資源節點所提供的服務與資料。ACL的主要功能就是一方面保護資源節點,阻止非法使用者對資源節點的訪問,另一方面限制特定的使用者節點所能具備的訪問許可權。 在實施ACL的過程中,應當遵循如下兩個基本原則: 1.最小特權原則:只給受控物件完成任務所必須的最小的許可權。2.最靠近受控物件原則:所有的網路層訪問許可權控制。 侷限性:由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分資訊,這種技術具有一些固有的侷限性,如無法識別到具體的人,無法識別到應用內部的許可權級別等。因此,要達到end to end的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。