网站首页/网络技术列表/内容

访问控制下文工作过程与执行流程

网络技术2022-04-03阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。

网管员在日常工作中经常会接触到路由器,但是对路由器得了解程度有多少呢?今天来为您讲述一下访问控制列表(ACL),在日常的工作中可以利用ACL可以限制网络流量、提高网络性能,同时也提高了网络的安全等级。
在局域网中,路由器或网关负责网络中的内外沟通的信息,同时对内部的网络系统进行安全与稳定的保护作用,所以在安全方面负责对这些进进出出的数据进行识别,从而实现网络的数据安全过滤;在网络的稳定性方面对网络中的数据进行流量控制,从而改善网络的通行质量。
访问控制列表是应用在路由器接口上的一个控制列表,可以控制拒绝和允许进入以及离开路由器的数据包,也可以拒绝和允许用户访问某一网络资源。由于其应用的非常广泛,可以对IP、协议、端口等功能上进行控制,从而对网络系统起到安全与保护的作用,所以它是一种网络安全防护技术,也可以当作一种网络控制的有力工具。
什么是访问控制列表(ACL)
访问控制列表实际上就是一系列允许和拒绝匹配准则的集合。简单的说就是利用这些准则来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,那就要根据这些准则中所定义的条件来决定控制数据包在输入与输出。匹配准则的总类繁多,可以简单的数据包目标地址的单项目匹配,也可以是数据包目标地址、源地址,端口等多项目的综合匹配等,访问控制列表对符合匹配规则的数据包进行允许和拒绝的操作。

访问控制列表的作用
建立访问控制列表后,主要任务是保证网络资源不被非法使用和访问,其次还可以用来限制网络流量,提高网络性能,对通信流量起到控制的手段,这些都是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。

访问控制列表总的说起来有下面三个作用,我们来具体看一下:
1、安全控制    允许一些分合匹配规则的数据包通过访问的同时而拒绝另一部分不符合匹配规则的数据包。 举个例子说一下财务部的数据库服务器,上面的数据应该来说是比较机密的,不是说谁都可以访问上面的数据的,这个时候就需要用到访问控制列表,在此列表中定义那些主机可以访问财务部数据库服务器,当此列表外的主机访问此服务器的时候,就会被路由器过滤掉。如图一所示:

192.168.1.30与192.168.1.50的两台主机可以通过路由器访问数据库服务器主机,而那台192.168.1.40那台笔记本电脑,就无法访问财务的数据库服务器。

2、流量过滤

此功能是防止一些不必要的数据包通过路由器,来提高网络的带宽的利用率,如图二所示:

其中的两台主机分别可以通过路由器访问网络与收发邮件,另一台主机想通过路由器进行BT下载,却无法进行BT下载。
3、数据流量标识   

此功能是对公司有两条或两条以上的网络链路时,访问控制列表与路由策略等来实现分工,让不同的数据包选择不同的链路,如下图三:  


当有数据通过路由器的时候,访问控制列表先把数据流作相应的标识,在通过路由策略,将这些数据流交给相应的连路,如图三标识中的访问internet的数据就走Internet线路,公司内部的服务就走VPN线路。
我们再来看一看ALC的工作原理,其原理包含两个方面,一是ACL的工作过程,二是ACL的执行流程。通过其原理过程来具体的体会ALC的作用。
ALC的工作过程
当路由器的接口接收到一个数据包时,首先会检查访问控制列表,如果有执行控制列表中有拒绝和允许的操作,则根据:被拒绝的数据包将会被丢弃,允许的数据包进入路由选择状态。
对进入路由选择状态的数据再根据路由器的路由表执行路由选择,如果路由表中没有到达目标网络的路由,那么相应的数据包就会被丢弃;如果路由表中存在到达目标网络的路由,则数据包被送到相应的网络接口。
以上是ALC的简单的工作过程,其简单的说明数据包的经过路由器时,根据访问控制列表作相应的动作来判断是被接收还是被丢弃,在安全性很高的配置中,有时还会为每个接口配置自己的ALC,来为数据作更详细的判断。
ACL的执行流程
当数据包被执行操作时,这个过程是一个什么过程呢。这就需要按照列表中的条件语句执行顺序来作不同判断。
这里要记住:如果一个数据包的报头跟ALC中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。 数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配,则不管是第一条还是最后一条语句,数据都会被立即操作,要么丢弃,要么立即专发到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。    总的一句话就是数据包与ALC中的一旦出现的匹配情况,就执行相应的操作,而此时对此数据包的检测就到此为止了,后面不管出现多少不匹配的情况将不作检测。所以访问控制列表中的规则的顺序那就要注意了;相同的规则,顺序不同,将会出现不同的结果。
访问控制列表与防火墙的区别
虽然访问控制列表可以拒绝和接收相应的数据包,但他不能完全的代替防火墙。当接收一个数据包时,访问控制列表先检查访问控制列表,再执行相应的接受和拒绝的步骤,并不能像专业的防火强那样作相应的数据包的分析。如果这样作下来了,路由器可能不堪负荷,无法工作。

责任编辑: 炊烟(TEL:(010)68476636-8006)

网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

……

下载网络技术应用使用,安卓用户请点击>>>网络技术应用

下载网络技术应用使用,IOS用户请点击>>>IOS 网络技术应用

扫描二维码,直接长按扫描哦!

安卓用户下载软件扫一扫

相关应用
热门应用
相关阅读
必备软件
点击进入,每天领现金 5元红包任性送