Hvad er et ACL-netværk?
Et ACL-netværk er virkelig ligesom ethvert andet computernetværk, med undtagelse af, at routere og switches, der kører på netværket, overholder en forudbestemt liste over adgangsrettigheder. Netværksruterne får en liste over regler, kaldet en adgangskontrolliste (ACL), der kan tillade grundlæggende adgang til eller fra et netværkssegment samt tilladelse til at få adgang til tjenester, der kan være tilgængelige gennem dem. Mens en ACL kan bruges i andre computertjenester, f.eks. Brugertilladelse til at få adgang til filer, der er gemt på en computer, i tilfælde af et ACL-netværk, anvendes reglerne på de netværksgrænseflader og porte, som kommunikationsdata rejser igennem.
Når datapakker rejser gennem kontrollerede porte på en netværksenhed i et ACL-netværk, filtreres de og evalueres for tilladelser. I de fleste tilfælde sker dette på en netværks router eller switch. Nogle firewall-programmer, der er indbygget i et operativsystem, kan imidlertid også ses som en form for adgangskontrolliste. Når en datapakke kommer ind eller forlader en grænseflade på netværksenheden, evalueres den for dens tilladelser ved at blive kontrolleret mod ACL. Hvis disse tilladelser ikke er opfyldt, nægtes pakken rejse.
En ACL er sammensat af adgangskontrolposter (ACE). Hver ACE på listen indeholder de relevante oplysninger om tilladelser til pakker, der kommer ind eller forlader ACL-netværksgrænsefladen. Hver ACE vil enten indeholde en tilladelse eller afvise erklæring, samt yderligere kriterier, som en pakke skal have for at opfylde. I de fleste tilfælde evalueres pakker baseret på almindelige Internet Protocol (IP) standarder som Transmission Control Protocl (TCP), User Datagram Protocol (UDP) og andre i pakken. Af de mest basale typer ACL kontrolleres kun oprindelsesadressen, mens der i en udvidet ACL kan etableres regler, der kontrollerer oprindelses- og destinationsadresser samt de specifikke porte, som trafikken både stammer fra og er bestemt til.
I et ACL-netværk er kontrollisterne opbygget i netværksrutere og switches. Hver netværkshardwareleverandør kan have separate regler for, hvordan en ACL skal konstrueres. Uanset hvilken hardwareproducent eller softwareudvikler, der har oprettet programmeringen, der behandler pakker mod en ACL, er det vigtigste aspekt ved implementering af et ACL-netværk planlægning. I tilfælde af dårlig planlægning er det fuldt ud muligt for en administrator at logge på en bestemt router, begynde at implementere en ACL på den router og pludselig finde sig selv låst ud af den router eller et andet segment af et helt netværk.
En af de mest almindelige ACL-netværksimplementeringer er indbygget i det proprietære Internetwork-operativsystem (IOS) oprettet af Cisco Systems®. På Cisco® IOS-routere og switches indtastes ACL manuelt af en administrator og implementeres automatisk, når hvert element på listen tilføjes. ACL skal implementeres trinvist, så når en individuel pakke matcher en post, kan resten, der falder under de samme tilladelser, følge efter. Eventuelle ændringer af listen betyder, at den skal indtastes i sin helhed igen.
Selvom den ikke er så sikker som en firewall til at beskytte et netværk, er en ACL nyttig ud over en firewall til et antal scenarier. En administrator kan begrænse trafik til og fra bestemte områder i et større netværk eller forhindre trafik, der stammer fra bestemte adresser, fra at forlade nettet helt. Pakker kan overvåges i et ACL-netværk for at lokalisere problemområder på netværket, identificere værter, der opfører sig forkert eller spore klientcomputere, der kan være inficeret med en virus, der forsøger at sprede. En ACL kan også bruges til at specificere trafik, der skal krypteres mellem noder på netværket.