Hvad er et ACL -netværk?
Et ACL -netværk er virkelig ligesom ethvert andet computernetværk, med undtagelse af, at routere og switches, der kører på netværket, overholder en forudbestemt liste over adgangstilladelser. Netværksrouterne får en liste over regler, kaldet en Access Control List (ACL), der kan tillade grundlæggende adgang til eller fra et netværkssegment samt tilladelse til at få adgang til tjenester, der muligvis er tilgængelige via dem. Mens en ACL kan bruges i andre computertjenester, såsom brugertilladelse til at få adgang til filer, der er gemt på en computer, i tilfælde af et ACL -netværk, anvendes reglerne på netværksgrænsefladerne og porte, som kommunikationsdata kører igennem.
Når datapakker rejser gennem kontrollerede porte på en netværksenhed i et ACL -netværk, filtreres de og vurderes for tilladelser. I de fleste tilfælde forekommer dette på en netværksrouter eller switch. Nogle firewall -programmer, der er indbygget i et operativsystem, kan imidlertid også ses som en form for adgangskontrolliste. Når en datapacKET går ind eller efterlader en grænseflade på netværksenheden, den evalueres for sine tilladelser ved at blive kontrolleret mod ACL. Hvis disse tilladelser ikke er opfyldt, nægtes pakken rejser.
En ACL er sammensat af adgangskontrolposter (ACE). Hvert ACE på noteringen indeholder de relevante oplysninger om tilladelser til pakker, der kommer ind eller forlader ACL -netværksgrænsefladen. Hvert ess vil indeholde enten en tilladelse eller nægte erklæring, såvel som yderligere kriterier, som en pakke skal opfylde. I de fleste tilfælde evalueres pakker baseret på Common Internet Protocol (IP) standarder såsom Transmission Control Protocl (TCP), User Datagram Protocol (UDP) og andre i suiten. Af de mest basale typer ACL er kun den oprindelige adresse kontrolleret, mens der i en udvidet ACL kan fastlægges regler, der kontrollerer oprindelsen og destinationsadresser såvel som de specifikke porte, som TRAFFIC begge stammer fra og er bestemt til.
I et ACL -netværk er kontrollisterne opbygget inden for netværksroutere og -kontakter. Hver netværkshardware -leverandør kan have separate regler for, hvordan en ACL skal konstrueres. Uanset hvilken hardwareproducent eller softwareudvikler oprettede den programmering, der behandler pakker mod en ACL, planlægger det vigtigste aspekt ved implementering af et ACL -netværk. I tilfælde af dårlig planlægning er det fuldstændigt muligt for en administrator at logge på en bestemt router, begynde at implementere en ACL på den router og pludselig finde sig låst ud af den router eller et eller andet segment af et helt netværk.
En af de mest almindelige ACL -netværksimplementeringer er indbygget i det proprietære Internetwork -operativsystem (iOS) oprettet af Cisco Systems®. På Cisco® iOS -routere og switches indtastes ACL manuelt af en administrator og implementeres automatisk, når hvert element på listen tilføjes. ACL har brug forFor at blive implementeret trinvist, så som en individuel pakke matcher en post, kan resten, der falder under de samme tilladelser, følge efter. Eventuelle ændringer på listen betyder, at den skal genindføres i sin helhed.
Selvom den ikke er så sikker som en firewall til beskyttelse af et netværk, er en ACL nyttig ud over en firewall til et antal scenarier. En administrator kan begrænse trafikken til og fra visse områder af et større netværk eller holde trafikken med oprindelse i visse adresser fra at forlade netværket helt. Pakker kan overvåges i et ACL -netværk for at finde problemområder på netværket, identificere værter, der opfører sig forkert eller sporer klientcomputere, der kan inficeres med en virus, der forsøger at sprede sig. En ACL kan også bruges til at specificere trafik, der skal krypteres mellem noder på netværket.