论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2279阅读
  • 0回复

ACL规则 [复制链接]

上一主题 下一主题
离线huaying12
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-05-09 10:46:42
什么是ACL?

访问控制列表简称为ACL,Cisco IOS所提供的一种访问控制技术,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。

工作原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源

端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL是一张规则表,路由器或交换机等网络设备按照顺序执行这些规则,并且处理每一个进入接口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

ACL可以做些什么

以下是几种帮助用户利用ACL化解风险的技术机制。

实时变化通知:不管何时网络设备的ACL发生了变化,都必须及时通知相应的管理人员。IT工程师必

须掌握哪些设备发生了变化以及它们是如何修改的,只有这样才可以迅速地确定和改正问题,从而最终减

少网络停机时间。

对规则变化进行注解:工程师必须了解增加每条ACL规则的原因。成功的ACL设置需要详细注解每一条

规则。保留每条ACL规则的详细信息,以减少日后搜索ACL资源所用的时间。

审计跟踪:由于ACL存在的问题在于缺少专职负责ACL的工程师,所以企业应该派专人负责跟踪ACL的

变化。

日志分析:任何一位安全专家都会建议用户必须为安全事件保留适当的追踪信息和历史数据。任何技

术执行机制不仅生成记录修改网络设备ACL的日志,而且还必须将这些日志保存在历史知识库中,以满足

日后的追踪分析要求。如果这种执行机制不仅为ACL,还能为所有的网络设备配置提供同样保存历史资料

的能力,就更好了。

ACL作为一种提高安全性的有效工具,应当被经常使用。在ACL管理控制技术帮助下,ACL可以帮助企

业在节省费用的同时提高安全性。

ASL可以让网络更安全。

当入侵者获得shell来执行更多指令时,可以设置ACL权限,windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.


入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进,可以设置ACL权限.修改用户,将除管理员外所有用户的终端访问权限去掉.


利用ACL可以在路由器的接口上灵活地控制过滤数据包,从而可以决定在路由器的任意接口上允许或者禁止我们需要控制的数据包。一个IP访问列表是控制一个或一组IP或其上的端口的一串命令序列。比如用ACL禁止QQ和网络游戏等等,能将指定端口接受到的数据丢弃。也能过滤病毒等等.


访问控制列表使用原则

由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。

1、最小特权原则

只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则

所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。

3、默认丢弃原则

在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。