什么是访问控制列表

2019独角兽企业重金招聘Python工程师标准>>>

什么是访问控制列表

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

访问控制列表即可以放在进口，也可以放在出口，都是正确的。但是，正确跟合理还是有一步之差。位置正确，不一定说，如此放置是最合理的，效率是最高的。若我们把访问控制列表放在进口的话，在路由器在进口就会对数据流量进行判断，看其是否满足条件语句，若满足的话，则放行，转发给下一个端口;不满足的话，就直接丢进垃圾桶。若把访问控制列表放在出口的话，则当满足放行条件时，则路由器会把数据流转发出去;当不满足条件时，则会把已经在这个端口存储缓存中的数据丢进垃圾桶。很明显，这个访问控制列表放在进口或者出口，对路由器的性能会有所影响。

假设现在某个集团企业的网络部署架构如下：

用户主机---路由器A—路由器B-----互联网。

在这种网络架构下，企业现在希望实现如下控制。

1、 用户主机甲不能够访问互联网。

2、 其他用户都可以不受限制的访问互联网。

此时，很明显可以通过多种方式来实现这种需求。不过，访问控制列表是实现这种控制的一个比较灵活的策略。此时，拒绝用户主机甲访问互联网的访问控制列表可以放在路由器A，也可以放在路由器B上;可以放在路由器A的进口或者出口端口上，也可以放在路由器B的进口或者出口端口上。放在这四个位置的任何一个位置上，都可以实现企业的需求。只是对于网络的影响有所不同。

假设我们现在把这个访问控制列表放在路由器B的出口上，则当用户主机甲访问互联网时，这个数据流会通过路由器A，到达路由器B的出口站点上，然后才被丢弃。如此的话，这个本来早早应该被丢弃的数据流，却一直畅通无阻的到了路由器B的出口商，才被抛弃。

这就好像群众上访，本来在农村基层就可以解决的问题，但是，农村基层不解决，当地政府也不解决，一直闹到中央，这不仅会浪费各地政府部门的精力，而且，中央政府若每天都处理这些基层来的上访者，那他们就没有精力去关心一些重大问题了。所以，一些纠纷，在基层可以解决，还是在基层解决好。

访问控制列表也是如此。若按上面这个位置放置，用户主机甲若想访问互联网，则这些数据流量一直畅通无阻的到达路由器B出口站是，是一种浪费网络带宽的行为。所以，应该把拒绝主机用户甲的访问控制列表放置在路由器A的进口上，从源头就把不需要的访问控制列表抛弃。

很明显，若只有一台用户主机不能访问互联网的话，则这个访问控制列表具体放在上面位置，其所产生的影响对于企业网络信息安全来说，是微乎其微的。但是，在实际工作中，我们往往不是拒绝一台主机的通信流量，而是拒绝一批，如一个子网的通信流量。如此的话，其产生的数据流量就比较大了，会对企业的内部网络产生比较大的影响。

所以，在访问控制列表管理的时候，要慎重考虑访问控制列表的放置地方，否则的话，会对整个网络产生比较大的影响。那这访问控制列表该放在什么地方合适呢?笔者给大家提个建议，最好把访问控制列表放置在离被拒绝的信息来源最近的地方，即上面讲的路由器A的进口站点上。如此的话，不允许通过的数据流量就会被尽早的丢进垃圾桶，而不会被畅通无阻的传递下去。当然，前期是，路由器A必须支持访问控制列表，否则的话，也指能够放在路由器B上了。

转载：翔羚科技-系统还原-网络管理

转载于:https://my.oschina.net/u/262641/blog/51811