AI 助理
备案控制台
开发者社区 安全 文章 正文

图解网络:访问控制列表 ACL,功能堪比防火墙!

2022-07-12 670
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
访问控制,不限时长
日志服务 SLS,月写入数据量 50GB 1个月
云防火墙,500元 1000GB
简介: ACL是一组允许或拒绝访问计算机网络的规则,网络设备,即路由器和交换机,将 ACL 语句应用于入站和出站网络流量,从而控制哪些流量可以通过网络。

你好,这里是网络技术联盟站。

在计算机网络世界中,ACL是最基本的安全组件之一,是一种监视传入和传出流量并将其与一组定义的语句进行比较的功能。

ACL 主要存在于具有包过滤功能的网络设备中,包括路由器和交换机。

本文瑞哥将用图解的形式带大家揭开ACL的神秘面纱。

让我们直接开始!

什么是ACL?

  • 英文全称:Access Control List
  • 中文名称:访问控制列表

ACL是一个规则列表,用于指定允许或拒绝哪些用户或系统访问特定对象或系统资源,访问控制列表也安装在路由器或交换机中,它们充当过滤器,管理哪些流量可以访问网络。

ACL类型

ACL一般有两种类型:

ACL类型

  • 文件系统ACL:一般是过滤对文件和/或目录的访问。
  • 网络ACL:过滤对网络的访问,一般用于网络设备,比如路由器、交换机等。

本文会着重介绍网络ACL。

ACL优点

ACL优点非常多,比如:

  • 通过限制网络流量帮助提高网络性能
  • 通过定义权限和访问权限来提供安全性
  • 对进入网络的流量提供精细控制

为什么使用ACL?

ACL 起到维护网络流量正常流动的作用,这种对网络流量的监管是维护组织或网络安全的主要方式,访问控制列表有助于限制似乎不适合组织安全的流量,从而最终实现更好的网络性能。

使用访问控制列表的主要原因是维护网络的安全并保护它免受易受攻击和危险的尝试,如果消息在未经过滤的情况下通过网络传输,则将组织置于危险之中的机会就会增加。

通过使用访问控制列表,为网络授予特定的安全级别,来规范所有那些被授权和未被授权由用户使用的服务器、网络和服务,此外,ACL 有助于监控进入和离开系统的所有数据。

ACL控制

如图,SW3和SW1由于ACL的控制,不允许访问,SW4到SW2允许访问。

ACL的组成

ACL 是一组规则或条目,每台设备可以设置一个包含单个或多个条目的 ACL,其中每个条目可以设置不同的规则,允许或拒绝某种流量。

一般ACL有以下部分:

ACL的组成

ACL编号

标识ACL条目的代码。

ACL名称

ACL 名称也可以用来标识 ACL 条目。

备注

可以为ACl添加注释或详细描述

ACL语句 ⭐

就是写一些拒绝或者允许流量的语句,这个很重要,后面会详细讲。

网络协议

比如IP、TCP、UDP、IPX 等,可以根据这些网络协议编写规则。

源地址、目的地址

就是这些ACL规则针对的出入地址,比如你的电脑访问公司服务器,那么你的电脑就是源地址,公司的服务器就是目的地址。

源地址、目的地址

日志

传入和传出的流量可以用ACL日志功能去记录,用来统计或者排查网络问题。

ACL的分类

从大的方向讲ACL分为四大类:

ACL的分类

标准 ACL

这是安全性最弱的基本 ACL,只查看源地址。

以下是编号是5号的ACL,是标准 ACL,允许172.16.1.0/24的网络:

access-list 5 permit 172.16.1.0 0.0.0.255

扩展 ACL

更高级的 ACL,能够根据其协议信息阻止整个网络和流量。

以下是编号为150号的ACl,如果目标将 HTTP 端口 80 作为主机端口,允许从172.16.1.0/24网络到任何IPv4网络的所有流量:

access-list 200 permit tcp 172.16.1.0 0.0.0.255 any eq www

动态 ACL

更安全的 ACL,它利用身份验证、扩展 ACL 和 Telnet,只允许用户在经过身份验证过程后访问网络。

自反 ACL

将会话过滤功能添加到其他 ACL 类型的数据包过滤功能中,也被称为IP 会话 ACL,使用上层会话详细信息来过滤流量。

自反 ACL 不能直接应用于接口,通常嵌套在扩展的命名访问列表中,不支持在会话期间更改端口号的应用程序,例如 FTP 客户端。

ACL 规则

  1. ACL 规则按顺序匹配的,假如有多行,一定是从第一行开始,一直到最后一行。
  2. 每个 ACL 的末尾都有一个隐式拒绝,如果没有条件或规则匹配,则数据包将被丢弃。
  3. 一般会有出站和入站ACL,每个方向每个协议每个接口只能分配一个 ACL,即每个接口只允许一个入站和出站 ACL。
  4. 尽可能使用备注和日志提供有关 ACL 的详细信息,以便于后期排查问题和记忆。

ACL使用场景

ACL使用场景

一般情况下就是这三种情况:

NAT

在地址转换的时候,内外网安全性考虑,会设置大量的ACL去控制网络流量。

防火墙

这个就不用说了,防火墙干的事情就是ACL的规则。

QoS

这个一般在流策略中比较常见,控制不同网段的用户对流量的访问权。

一般来说,ACL使用场景逃不过这三种情况,即使有其他的情况,肯定也是可以用这三种情况去概况联想的。

总结

ACL是一组允许或拒绝访问计算机网络的规则,网络设备,即路由器和交换机,将 ACL 语句应用于入站和出站网络流量,从而控制哪些流量可以通过网络。

本文主要介绍了ACL的以下内容:

  • 什么是ACL?
  • ACL类型
  • ACL优点
  • 为什么使用ACL?

  • ACL的组成

    • ACL编号
    • ACL名称
    • 备注
    • ACL语句 ⭐
    • 网络协议
    • 源地址、目的地址
    • 日志

  • ACL的分类

    • 标准 ACL
    • 扩展 ACL
    • 动态 ACL
    • 自反 ACL
  • ACL 规则

  • ACL使用场景

    • NAT
    • 防火墙
    • QoS
  • 总结

感谢您的阅读,如果觉得文章对您有帮助,别忘了点赞👍、收藏⭐哦!有任何问题,欢迎在下方评论区与我讨论!!!

文章标签:
云防火墙
访问控制
日志服务
终端访问控制系统
监控
网络安全
数据安全/隐私保护
网络协议
网络架构
网络性能优化
安全
关键词:
网络防火墙
网络云防火墙
云防火墙网络
访问控制acl
访问控制列表acl
wljslmz
目录
相关文章
土木林森
|
4天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
土木林森
33 7
众所周知
|
4天前
|
网络协议 网络安全 网络虚拟化
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
众所周知
27 3
土木林森
|
4天前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
土木林森
15 2
wljslmz
|
7天前
|
运维 物联网 网络虚拟化
网络功能虚拟化(NFV):定义、原理及应用前景
网络功能虚拟化(NFV):定义、原理及应用前景
wljslmz
22 3
东方睿赢
|
7天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
东方睿赢
19 2
shuj
|
12天前
|
SQL 安全 算法
网络安全的屏障与钥匙:漏洞防护与加密技术解析
【10月更文挑战第31天】在数字世界的海洋中,网络安全是航船的坚固屏障,而信息安全则是守护宝藏的金钥匙。本文将深入探讨网络安全的薄弱环节——漏洞,以及如何通过加密技术加固这道屏障。从常见网络漏洞的类型到最新的加密算法,我们不仅提供理论知识,还将分享实用的安全实践技巧,帮助读者构建起一道更加坚不可摧的防线。
shuj
22 1
追逐时光者
|
4天前
|
网络协议 Unix Linux
精选2款C#/.NET开源且功能强大的网络通信框架
精选2款C#/.NET开源且功能强大的网络通信框架
追逐时光者
15 0
追逐时光者
|
5天前
|
网络协议 网络安全 Apache
一个整合性、功能丰富的.NET网络通信框架
一个整合性、功能丰富的.NET网络通信框架
追逐时光者
17 0
131王
|
2月前
|
安全 网络安全 量子技术
探索网络安全世界:从漏洞防护到加密技术与安全意识
本文旨在深入探讨网络安全与信息安全的关键方面,包括网络安全漏洞、加密技术以及安全意识的重要性。通过分析这些要素,我们将揭示如何构建一个更加安全的网络环境,并强调个人和组织在维护网络安全中的角色。本文不仅提供技术性的见解,还强调了普及安全意识的必要性,旨在为读者提供一个全面的网络安全知识框架。
131王
45 3
源码星辰
|
1月前
|
机器学习/深度学习 算法
神经网络的结构与功能
神经网络是一种广泛应用于机器学习和深度学习的模型,旨在模拟人类大脑的信息处理方式。它们由多层不同类型的节点或“神经元”组成,每层都有特定的功能和责任。
源码星辰
31 0

热门文章

最新文章

  • 1
    揭秘2017双11背后的网络-双11的网络产品和技术概览
  • 2
    【深度神经网络 One-shot Learning】孪生网络少样本精准分类
  • 3
    互联网进病毒高发期 黑客瞄准网络春晚
  • 4
    网络运维团队如何应对最新的黑客威胁?
  • 5
    政策力推网络安全建设 千亿市场空间有望打开
  • 6
    默认网关详解:网络通信的无声守护者
  • 7
    从头训练一个神经网络!教它学会莫奈风格作画!⛵
  • 8
    监控网络(nethogs)
  • 9
    网络管理自动化之一、SMS服务器的安装准备工作详解
  • 10
    美国国家安全局网络武器被公开,微软宣布已修复可攻破的 Windows 漏洞
  • 1
    Ubuntu防火墙命令大集合
    218
  • 2
    防火墙和堡垒服务器有什么区别?
    77
  • 3
    入侵检测系统(IDS)和入侵防御系统(IPS)的区别
    440
  • 4
    应用防火墙WAF架构分类
    144
  • 5
    网络入门:防火墙、路由器、交换机三者到底有啥区别?
    248
  • 6
    网络安全中的入侵检测与防御系统技术探讨
    108
  • 7
    网络安全基础:深入理解防火墙与入侵检测系统
    205
  • 8
    Ubuntu中关闭防火墙
    372
  • 9
    【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
    68
  • 10
    【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
    85

    • 相关课程

    更多
  • TCP/IP 网络基础
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 云网络白皮书-阿里云网络系列课
  • 企业上云攻略-阿里云网络产品应用系列教程
  • Linux网络进阶 - TCP/IP协议及OSI七层模型
  • 网络管理者必知-2分钟了解新出台的《网络安全法》

    • 相关电子书

    更多
  • Session:更加安全、可靠的数据中心网络产品更新
  • Session:极简易用的全球化网络产品更新
  • Session:弹性、高可用、可观测的应用交付网络产品更新

    • 相关实验场景

    更多
  • 容器的网络入门
  • 容器的自定义网络
  • 容器的共享网络模型
  • 通过会话管理端口转发功能访问ECS内部服务
  • 使用阿里云容器服务和容器网络文件系统搭建WordPress网站
    • 下一篇
    阿里云OSS设置跨域访问