我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问控制列表 >

访问控制列表 企业网络管理的必杀技(四)

归档日期:04-20       文本归类:访问控制列表      文章编辑:爱尚语录

  在前面关于访问控制列表的三篇文章中,笔者阐述了访问控制列表的基本功能与注意点。在这篇文章中,笔者将脱开技术层面的内容,谈谈自己在访问控制列表管理中的经验教训,或许,这可以从另一个角度提高大家对访问控制列表的认识。

  访问控制列表即可以放在进口,也可以放在出口,都是正确的。但是,正确跟合理还是有一步之差。位置正确,不一定说,如此放置是最合理的,效率是最高的。

  若我们把访问控制列表放在进口的话,在路由器在进口就会对数据流量进行判断,看其是否满足条件语句,若满足的话,则放行,转发给下一个端口;不满足的话,就直接丢进垃圾桶。若把访问控制列表放在出口的话,则当满足放行条件时,则路由器会把数据流转发出去;当不满足条件时,则会把已经在这个端口存储缓存中的数据丢进垃圾桶。很明显,这个访问控制列表放在进口或者出口,对路由器的性能会有所影响。

  此时,很明显可以通过多种方式来实现这种需求。不过,访问控制列表是实现这种控制的一个比较灵活的策略。此时,拒绝用户主机甲访问互联网的访问控制列表可以放在路由器A,也可以放在路由器B上;可以放在路由器A的进口或者出口端口上,也可以放在路由器B的进口或者出口端口上。放在这四个位置的任何一个位置上,都可以实现企业的需求。只是对于网络的影响有所不同。

  假设我们现在把这个访问控制列表放在路由器B的出口上,则当用户主机甲访问互联网时,这个数据流会通过路由器A,到达路由器B的出口站点上,然后才被丢弃。如此的话,这个本来早早应该被丢弃的数据流,却一直畅通无阻的到了路由器B的出口商,才被抛弃。

  这就好像群众上访,本来在农村基层就可以解决的问题,但是,农村基层不解决,当地政府也不解决,一直闹到中央,这不仅会浪费各地政府部门的精力,而且,中央政府若每天都处理这些基层来的上访者,那他们就没有精力去关心一些重大问题了。所以,一些纠纷,在基层可以解决,还是在基层解决好。

  访问控制列表也是如此。若按上面这个位置放置,用户主机甲若想访问互联网,则这些数据流量一直畅通无阻的到达路由器B出口站是,是一种浪费网络带宽的行为。所以,应该把拒绝主机用户甲的访问控制列表放置在路由器A的进口上,从源头就把不需要的访问控制列表抛弃。

  很明显,若只有一台用户主机不能访问互联网的话,则这个访问控制列表具体放在上面位置,其所产生的影响对于企业整个网络来说,是微乎其微的。但是,在实际工作中,我们往往不是拒绝一台主机的通信流量,而是拒绝一批,如一个子网的通信流量。如此的话,其产生的数据流量就比较大了,会对企业的内部网络产生比较大的影响。

  所以,在访问控制列表管理的时候,要慎重考虑访问控制列表的放置地方,否则的话,会对整个网络产生比较大的影响。那这访问控制列表该放在什么地方合适呢?笔者给大家提个建议,最好把访问控制列表放置在离被拒绝的信息来源最近的地方,即上面讲的路由器A的进口站点上。如此的话,不允许通过的数据流量就会被尽早的丢进垃圾桶,而不会被畅通无阻的传递下去。当然,前期是,路由器A必须支持访问控制列表,否则的话,也指能够放在路由器B上了。

  现在大部分企业都在企业内外网的接口处,部署了防火墙。那么,访问控制列表该如何跟防火墙配合使用呢?

  根据官方的建议,访问控制列表应该用在防火墙路由器上,防火墙路由器经常放置在内部网络与外部网络之间,即企业内网与互联网的分割点,目的是为其提供一个孤立的点,以便不受其他互联网网络结构的影响。

  其实,有些防火墙服务器的话,本身就带有访问控制列表的功能。如防火墙的低安全端口要访问防火墙中的高安全端口的话,就需要访问控制列表的支持。所以,把访问控制列表结合防火墙服务器使用,是一个比较好的选择。

  不过,说实话,若把他们两个部署在一起的话,会增加访问控制列表的复杂程度,会增加访问控制列表与防火墙服务器的维护难度。笔者虽然觉得这么部署比较合理,但是,在实际工作中,笔者出于管理与维护的方便,确不是这么部署的。

  其中,这个路由器与防火墙都支持访问控制列表的功能。按照官方的建议,应该把访问控制列表部署在防火墙服务器上。但是,笔者认为这么管理的话,会增加防火墙与访问控制列表的复杂程度,不利于后续的维护与故障的维修。所以,笔者在部署访问控制列表的时候,没有遵循官方的建议,而是把访问控制列表部署在路由器上,而不是防火墙。如此的话,把防火墙与路由器上的访问控制列表独立管理,虽然可能会增加一定的工作量,但是,至少把复杂的工作简单化,反而有利于企业网络的管理,出现故障的时候,也比较容易检修。

  不过这是笔者个人的工作经验,其到底是否合理,还需要靠以后网络维护工作的检验。

  不过如果要在防火墙服务器这种边界设备上,部署访问控制列表的话,笔者可以给大家提一些意见。

  一是部署在边界设备上的访问控制列表,无论是防火墙服务器还是路由器上,可以为配置在设备接口上的每一个网络协议创建访问控制列表。通过配置访问控制列表。来过滤通过接口的入站通信流量、出站通信流量。

  二是如果在边界路由器与内部的路由器,即上面的路由器A与路由器B上,都配置了访问控制列表,该如何处理呢?一般来说,若在路由器A上部署了拒绝用户主机甲访问互联网的访问控制列表,然后再边界路由器B上又配置了同样内容的访问控制列表,就有点脱裤子放屁,多此一举的感觉。但是,在实际管理中,有些网路管理元还是会这么处理。这主要是出于统一管理的需要。在路由器A上部署访问控制列表,可以拒绝不应该的数据流量在网络上传输;而在路由器B上部署访问控制列表的话,则是出于统一管理的需要。或者说,起到双重保险的作用,即使路由器A上的访问控制列表因为某种原因失效,还由路由器B在那边把关。不过,这么配置的话,边界路由器B的负担会比较中。因为他要对来自于企业网络的所有数据流量进行判断。所以,具体如何部署,还是要看企业对于安全性的要求。到底是牺牲一定的安全来提高网络性能,还是降低网络性能来提高网络的安全冗余,如何在网络的安全性与网络性能之间取得均衡的话,网络管理员还是需要根据企业的实际情况,在这上面花一番心思。

  三是要注意访问控制列表中最后的隐含语句。假设现在有一个访问控制列表,其前面有八条判断语句。而其实呢,有九条,最后一条是隐含的,当前面八条语句都没有满足的情况下,则这最后一条语句,就会把这个数据流量拒绝掉。不过在访问控制列表管理中,我们往往不希望出现这种情况。我们希望,当前面的这些条件都不满足的情况下,则该数据量背放行。如在一个访问控制列表中,我们写了两条判断语句,一是拒绝用户A访问互联网;二是拒绝用户B访问外部的邮件服务器。此时,若有用户C访问互联网的话,由于前面两条语句都不满足,则默认情况下,访问控制列表会应用隐含的判断语句,把用户C的数据流量也拒绝掉,这是我们不希望看到的。为此,我们就需要改变这条隐含的判断语句,把它改为上面条件都不满足的情况下,数据流量为允许通过。或者,我们可以显示的给出这条隐含语句,这有利于提高访问控制列表的可读性,对我们后续排除故障也是比较有利的。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

本文链接:http://shawntierney.com/fangwenkongzhiliebiao/126.html