Co to jest sieć ACL?

Sieć ACL jest tak naprawdę jak każda inna sieć komputerowa, z wyjątkiem wyjątku, że routery i przełączniki działające w sieci przylegają do z góry określonej listy uprawnień do dostępu. Routery sieciowe otrzymują listę reguł, zwaną listą kontroli dostępu (ACL), które mogą zezwolić na podstawowe przyjęcie do segmentu lub z segmentu sieciowego, a także pozwolenie na dostęp do usług, które mogą być dostępne za pośrednictwem. Podczas gdy ACL może być używany w innych usługach komputerowych, takich jak uprawnienie użytkownika na dostęp do plików przechowywanych na komputerze, w przypadku sieci ACL reguły są stosowane do interfejsów sieciowych i portów, które przechodzą dane komunikacyjne.

Gdy pakiety danych przemieszczają się przez kontrolowane porty na urządzeniu sieciowym w sieci ACL, są filtrowane i oceniane w celu uzyskania uprawnień. W większości przypadków dzieje się to w routerze sieciowym lub przełączniku. Niektóre programy zapory wbudowane w system operacyjny można jednak również prześledzić jako formę listy kontroli dostępu. Kiedy dane PACKET wchodzi lub opuszcza interfejs na urządzeniu sieciowym, jest oceniany pod kątem jego uprawnień poprzez sprawdzanie ACL. Jeśli te uprawnienia nie zostaną spełnione, pakiecie odmawia podróży.

ACL składa się z wpisów kontroli dostępu (ACE). Każdy as na liście zawiera odpowiednie informacje na temat uprawnień dla pakietów wchodzących lub opuszczających interfejs sieci ACL. Każdy as będzie zawierał oświadczenie zezwolenia lub odmowy, a także dodatkowe kryteria, które pakiet będzie musiał spełnić. W większości przypadków pakiety są oceniane na podstawie zwykłych standardów protokołu internetowego (IP), takich jak protokka kontroli transmisji (TCP), Protokół Datagram User (UDP) i inne w pakiecie. Z najbardziej podstawowych rodzajów ACL sprawdzany jest tylko adres pochodzącyFFIC oba pochodzą i są przeznaczone do.

W sieci ACL listy sterowania są budowane w routerach i przełącznikach sieciowych. Każdy dostawca sprzętu sieciowego może mieć osobne zasady dotyczące budowy ACL. Niezależnie od tego, który producent sprzętu lub programista stworzył programowanie, które przetwarza pakiety przeciwko ACL, planuje planowanie sieci ACL. W przypadkach złego planowania, administrator jest całkowicie możliwy do zalogowania się do konkretnego routera, rozpoczęcie wdrażania ACL na tym routerze i nagle zostaje zamknięty z tego routera lub segmentu całej sieci.

Jedna z najczęstszych implementacji sieci ACL jest wbudowana w zastrzeżony system operacyjny Internetwork (iOS) utworzony przez Cisco Systems®. W routerach i przełącznikach Cisco® iOS ACL jest wpisywany ręcznie przez administratora i jest wdrażany automatycznie, gdy dodaje się każdy element na liście. Potrzebuje ACLAby być wdrażane stopniowo, tak że jako poszczególne pakiet pasuje do wpisu, reszta, która podlega tym samym uprawnieniom, może pójść w ich ślady. Wszelkie zmiany na liście oznaczają, że należy ją przepisać w całości.

Chociaż nie jest tak bezpieczna jak zapora ogniowa do ochrony sieci, ACL jest przydatny oprócz zapory dla wielu scenariuszy. Administrator może ograniczyć ruch do i z niektórych obszarów większej sieci lub powstrzymać ruch w niektórych adresach od całkowitego opuszczenia sieci. Pakiety mogą być monitorowane w sieci ACL w celu zlokalizowania obszarów problemowych w sieci, zidentyfikować hosty, które zachowują się niewłaściwie lub śledzą komputery klientów, które mogą być zarażone wirusem, który próbuje się rozprzestrzeniać. ACL można również użyć do określenia ruchu, który należy szyfrować między węzłami w sieci.