网络安全之——ACL(访问控制列表).pdfVIP

网络安全之——ACL(访问控制列表)

【实验目的】

1、掌握基本ACL的原理及配置方法。

2、熟悉高级ACL的应用场合并灵活运用。

【实验环境】

H3C三层交换机1台，PC3台，标准网线3根。

【引入案例1】

某公司建设了Intranet，划分为经理办公室、档案室、网络中心、财务部、

研发部、市场部等多个部门，各部门之间通过三层交换机（或路由器）互联，并

接入互联网。自从网络建成后麻烦不断，一会儿有人试图偷看档案室的文件或者

登录网络中心的设备捣乱，一会儿财务部抱怨研发部的人看了不该看的数据，一

会儿领导抱怨员工上班时候整天偷偷泡网，等等。有什么办法能够解决这些问题

呢？

【案例分析】

网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了

许多负面影响，例如，数据的安全性、员工经常利用互联网做些与工作不相干的

事等等。一方面，为了业务的发展，必须允许合法访问网络，另一方面，又必须

确保企业数据和资源尽可能安全，控制非法访问，尽可能的降低网络所带来的负

面影响，这就成了摆在网络管理员面前的一个重要课题。网络安全采用的技术很

多，通过ACL（AccessControlList，访问控制列表）对数据包进行过滤，实现

访问控制，是实现基本网络安全的手段之一。

【基本原理】

ACL是依据数据特征实施通过或阻止决定的过程控制方法，是包过滤防火墙

的一种重要实现方式。ACL是在网络设备中定义的一个列表，由一系列的匹配

规则（rule）组成，这些规则包含了数据包的一些特征，比如源地址、目的地址、

协议类型以及端口号等信息，并预先设定了相应的策略——允许（permint）或

禁止（Deny）数据包通过。

基于ACL的包过滤防火墙通常配置在路由器的端口上，并且具有方向性。

每个端口的出站方向（Outbound）和入站方向（Inbound）均可配置独立的ACL

进行包过滤。

出方向过滤

入方向过滤

路由转

端口端口

发进程

出方向过滤入方向过滤

基于ACL的包过滤

当路由器收到一个数据包时，如果进入端口处没有启动ACL包过滤，则数

据包直接提交路由器转发进程处理，如果进入端口处启动了ACL包过滤，则数

据交给入站防火墙进行过滤，其工作流程如图所示。

是否配置入方向No

数据包入站ACL包过滤

Yes

Permit

Deny

匹配第一条规则

No

DenyPermit

匹配第二条规则

No

Permit

Deny

数据包进