ACL基本概念及原理介绍

ACL通过定义一系列的ACL规则，并应用在设备中，以实现网络传输中的设备的数据报文过滤和数据报文分类的功能，能够防止网络中的报文攻击和控制网络访问，实现了网络对安全、可靠和稳定的保障要求。

发布时间：2022-11-24
点击量：
点赞：

分享至

我想评论

1 ACL概述

1.1 ACL是什么

在介绍ACL作用之前，先来看看什么是ACL。ACL（Access Control List，访问控制列表）也称为访问列表，或者包过滤。ACL包含了一系列条件语句，实际上是一系列包含“允许”或者“拒绝”的规则。换句话说，ACL是人为定义的一系列规则，以便设备判断是否执行用户规定动作。

1.2 ACL作用

ACL出现的初始目的是用于数据报文过滤和数据报文分类。下面对ACL作用做简要介绍。

●数据报文过滤

由于ACL包含了“允许”或“拒绝”的ACL规则，通过ACL规则，能够控制设备是否转发数据报文，或者限制用户访问服务。

●数据报文分类

通过ACL规则对数据报文进行分类，其他应用（比如QoS、策略路由等）通过调用ACL，能够对不同类别的数据报文进行区别处理。

2 ACL工作原理

2.1 ACL的基本概念介绍

●ACE

ACE（Access Control Entry，访问控制条目）是包含“允许（Permit）”或“拒绝（Deny）”两种动作，以及过滤规则的一条语句。每个ACE都有一个序号，该序号可由设备自动分配或者手动配置。一条ACL中包含一个或者多个ACE。ACL通过ACE对数据报文进行过滤和分类。

●步长

当设备为ACE自动分配序号时，两个相邻ACE序号之间的差值，称为步长。例如，如果将ACE的步长设定为20，则设备按照0、20、40、60…这样的递增顺序自动为ACE分配序号。如下所示。

0 deny ip any any

20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

当步长改变后，ACE序号会自动按新步长值重新分配。例如，当把步长改为10后，原来ACE序号从0、20、40变成0、20、30。

通过改变步长可以在两个ACE之间插入新的ACE。例如创建了4个ACE，并通过手动配置ACE序号分别为1、2、3和4。如果希望能在序号1后面插入一条新的ACE，则可以先将步长修改为2，此时原先4个ACE的序号自动变为1、3、5和7，再插入一条手动配置的序号为2的ACE。

●过滤域和过滤域模板

过滤域指的是生成一条ACE时，根据报文中的哪些字段对报文进行识别、分类。过滤域模板就是这些字段的组合。

●ACL规则

ACL规则（Rules）指的是ACE过滤域模板对应的值。例如，一条ACE的内容如下：

10 permit tcp host 192.168.12.2 any eq telnet

在这条ACE中，过滤域模板为以下字段的集合：源IP地址字段、目的IP地址字段、IP协议字段、TCP目的端口字段。对应的值（即规则）分别为：源IP地址为Host 192.168.12.2、目的IP地址为Any（即所有主机）、IP协议为TCP、TCP目的端口为Telnet。如图2-1所示。

●行为

行为（Action）指的是ACE中指定的动作，包含“允许（Permit）”或“拒绝（Deny）”两种。Permit为允许规则中指定的流量，Deny为拒绝规则中指定的流量。

图2-1 对ACE：permit tcp host 192.168.12.2 any eq telnet的分析

2.2 ACL工作原理介绍

ACL由一系列的ACE组成。每个ACE都定义了ACL规则及行为。在所有的ACE之后，存在一条默认拒绝所有报文的ACE：deny any any（不显示）。

ACE可以针对数据报文的源地址、目的地址、上层协议，时间区域等信息进行过滤。

ACE在ACL中的顺序决定了该ACE在ACL中的报文匹配优先级。当数据报文进入设备或者要从设备中转发时，按ACE的序号从小到大进行规则匹配，当找到匹配的ACE后停止检查后续的ACE。如果配置的ACE都未匹配到，则匹配最后一条默认拒绝所有报文的ACE。如图2-2所示。

创建ACL并将ACL应用在接口的入方向或者出方向后，ACL功能才生效。当报文进出设备时，设备通过判断报文是否匹配ACL规则，决定是否转发或阻断报文。ACL才能够发挥控制访问的作用。

图2-2 ACL工作原理图

3 结束语

随着网络应用的推广和网络技术的发展，网络的保障要越来越高。ACL的数据报文过滤和数据报文分类的功能，能够防止网络中的报文攻击和控制网络访问，实现了网络对安全、可靠和稳定的保障要求。那么，ACL分类有哪些？高级ACL和基本ACL的区别、标准ACL和扩展ACL的区别分别是什么？ACL配置如何实现呢？敬请期待后续介绍。