由于构成Internet的TCP/IP协议缺乏安全性,网络安全成为用户在提供开放式环境时必须认真考虑的问题。
ACL提升边际安全
非法接入、报文窃取、IP地址欺骗、拒绝服务攻击等来自网络层和应用层的攻击常常会耗尽网络资源,让用户网管人员疲于应对。针对这些问题,二、三层的访问控制、防火墙技术、入侵检测、身份验证、数据加密、防病毒都提供了有效的解决途径。而在保障网络边际安全方面,访问控制列表(Access Control List,ACL)可以说是最先与安全威胁最行交火的生力军。
ACL是对通过网络接口进入网络内部的数据包进行控制的机制,分为标准ACL和扩展ACL(Extended ACL)两种。标准ACL只对数据包的源地址进行检查,扩展ACL对数据包中的源地址、目的地址、协议以及端口号进行检查。作为一种应用在路由器接口的指令列表,ACL已经在一些核心路由交换机和边缘交换机上得到应用,从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等二层技术,实现对网络的各层面的有效控制。具体到安全领域来说,ACL的作用主要体现在以下几个方面。
限制网络流量提高网络性能
通过设定端口上、下行流量的带宽,ACL可以定制多种应用的带宽管理,避免因为带宽资源的浪费而影响网络的整体性能。如果能够根据带宽大小来制定收费标准,那么运营商就可以根据客户申请的带宽,通过启用ACL方式限定访问者的上、下行带宽,实现更好的管理,充分利用现有的网络资源,保证网络的使用性能。
有效的通信流量控制手段
ACL 可以限定或简化路由选择更新信息的长度,用来限制通过路由器的某一网段的流量。
提供网络访问的基本安全手段
ACL 允许某一主机访问一个网络,阻止另一主机访问同样的网络,这种功能可以有效防止未经授权用户的非法接入。如果在边缘接入层启用二、三层网络访问的基本安全策略,ACL能够将用户的MAC、IP地址、端口号与交换机的端口进行绑定,有效防止其他用户访问同样的网络。
在交换机(路由器)接口处,ACL决定哪种类型的通信流量被转发或被拒绝。根据数据包的协议(IP、IPX等),ACL指定某种类型的数据包具有更高的优先级,在同等情况下优先被交换机(路由器)处理。这种功能保证交换机(路由器)丢弃不必要的数据包,通过不同的队列来有效限制网络流量,减少网络拥塞。
在网络中,ACL不但可以让网管员用来制定网络策略,对个别用户或特定数据流进行控制;也可以用来加强网络的安全屏蔽作用。从简单的Ping of Death攻击、TCP Syn攻击,到更多样化更复杂的黑客攻击,ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力,网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。
需要指出的是,与速率限制相同,网络设备不仅应该能够执行完整的ACL功能,包括进站和出站,同时也必须强调硬件的处理能力。这样,用户在启动ACL的同时,才不会影响到二层或三层交换设备线速转发数据包的能力。
目前,一些主流的网络设备厂商已经在相关的交换设备中引入该技术。D-Link作为全球重要的网络设备提供商之一,在二、三层交换机产品推出之际时,便将线速、硬件级的ACL技术列入基本的协议支持,其二层交换机DES-3226S、DES-3250TG以及三层交换机DES-3326S、DES-6300等都已经率先支持硬件级的标准ACL和扩展ACL。