采用訪問(wèn)控制列表技術(shù)是否合理

是通過(guò)實(shí)施訪問(wèn)控制列表ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。ACL技術(shù)可以有效的在三層上控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，它可以具體到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進(jìn)行大范圍的訪問(wèn)控制管理，為網(wǎng)絡(luò)應(yīng)用提供了一個(gè)有效的安全手段。

ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過(guò)濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問(wèn)控制列表通過(guò)把源地址、目的地址及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過(guò)。ACL通常應(yīng)用在企業(yè)的出口控制上，可以隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開(kāi)始使用ACL來(lái)控制對(duì)局域網(wǎng)內(nèi)部資源的訪問(wèn)能力，進(jìn)而來(lái)保障這些資源的安全性。

一方面，采用ACL技術(shù)，網(wǎng)絡(luò)管理員需要明確每一臺(tái)主機(jī)及工作站所在的IP子網(wǎng)并確認(rèn)它們之間的訪問(wèn)關(guān)系，適用于網(wǎng)絡(luò)終端數(shù)量有限的網(wǎng)絡(luò)。對(duì)于大型網(wǎng)絡(luò)，為了完成某些訪問(wèn)控制甚至不得不浪費(fèi)很多的IP地址資源。同時(shí)，巨大的網(wǎng)絡(luò)終端數(shù)量，同樣會(huì)增加管理的復(fù)雜度和難度。另一方面，維護(hù)ACL不僅耗時(shí)，而且在較大程度上增加路由器開(kāi)銷(xiāo)。訪問(wèn)控制列表的策略性非常強(qiáng)，并且牽涉到網(wǎng)絡(luò)的整體規(guī)劃，它的使用對(duì)于策略制定及網(wǎng)絡(luò)規(guī)劃的人員的技術(shù)素質(zhì)要求比較高。因此，是否采用ACL技術(shù)及在多大的程度上利用它，是管理效益與網(wǎng)絡(luò)安全之間的一個(gè)權(quán)衡。

訪問(wèn)控制列表從概念上來(lái)講并不復(fù)雜，復(fù)雜的是對(duì)它的配置和使用，許多初學(xué)者往往在使用訪問(wèn)控制列表時(shí)出現(xiàn)錯(cuò)誤。

下面是對(duì)幾種訪問(wèn)控制列表的簡(jiǎn)要總結(jié)。

◆標(biāo)準(zhǔn)IP訪問(wèn)控制列表

一個(gè)標(biāo)準(zhǔn)IP訪問(wèn)控制列表匹配IP包中的源地址或源地址中的一部分，可對(duì)匹配的包采取拒絕或允許兩個(gè)操作。編號(hào)范圍是從1到99的訪問(wèn)控制列表是標(biāo)準(zhǔn)IP訪問(wèn)控制列表。

◆擴(kuò)展IP訪問(wèn)控制列表

擴(kuò)展IP訪問(wèn)控制列表比標(biāo)準(zhǔn)IP訪問(wèn)控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。編號(hào)范圍是從100到199的訪問(wèn)控制列表是擴(kuò)展IP訪問(wèn)控制列表。

◆命名的IP訪問(wèn)控制列表

所謂命名的IP訪問(wèn)控制列表是以列表名代替列表編號(hào)來(lái)定義IP訪問(wèn)控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過(guò)濾的語(yǔ)句與編號(hào)方式中相似。

◆標(biāo)準(zhǔn)IPX訪問(wèn)控制列表

標(biāo)準(zhǔn)IPX訪問(wèn)控制列表的編號(hào)范圍是800-899，它檢查IPX源網(wǎng)絡(luò)號(hào)和目的網(wǎng)絡(luò)號(hào)，同樣可以檢查源地址和目的地址的節(jié)點(diǎn)號(hào)部分。

◆擴(kuò)展IPX訪問(wèn)控制列表

擴(kuò)展IPX訪問(wèn)控制列表在標(biāo)準(zhǔn)IPX訪問(wèn)控制列表的基礎(chǔ)上，增加了對(duì)IPX報(bào)頭中以下幾個(gè)宇段的檢查，它們是協(xié)議類型、源Socket、目標(biāo)Socket。擴(kuò)展IPX訪問(wèn)控制列表的編號(hào)范圍是900-999。

◆命名的IPX訪問(wèn)控制列表

與命名的IP訪問(wèn)控制列表一樣，命名的IPX訪問(wèn)控制列表是使用列表名取代列表編號(hào)。從而方便定義和引用列表，同樣有標(biāo)準(zhǔn)和擴(kuò)展之分。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識(shí)：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專區(qū)

本文來(lái)自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:43 編輯：泛普軟件 · xiaona [打印此頁(yè)] [關(guān)閉]

相關(guān)欄目：