网络层访问权限控制技术 ACL详解 概要

　　A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示：

自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管，搞得他头都大了。那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。

那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？

ACL的基本原理、功能与局限性

　　网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

配置ACL的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则：

u 最小特权原则：只给受控对象完成任务所必须的最小的权限

u 最靠近受控对象原则：所有的网络层访问权限控制

局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。