Vad är ett ACL-nätverk?
Ett ACL-nätverk är egentligen precis som alla andra datornätverk, med undantag för att routrarna och switcharna som körs på nätverket följer en förutbestämd lista över åtkomstbehörigheter. Nätverksrutrarna ges en lista med regler, kallad en åtkomstkontrolllista (ACL), som kan tillåta grundläggande tillträde till eller från ett nätverkssegment samt tillstånd att få åtkomst till tjänster som kan vara tillgängliga genom dem. Medan en ACL kan användas i andra datortjänster, till exempel användartillstånd för åtkomst till filer lagrade på en dator, i fallet med ett ACL-nätverk, tillämpas reglerna på nätverksgränssnitten och portarna som kommunikationsdata reser genom.
När datapaket reser genom kontrollerade portar på en nätverksenhet i ett ACL-nätverk, filtreras och utvärderas de för behörigheter. I de flesta fall sker detta på en nätverksrouter eller switch. Vissa brandväggsprogram som är inbyggda i ett operativsystem kan dock också ses som en form av åtkomstkontrollista. När ett datapaket kommer in eller lämnar ett gränssnitt på nätverksenheten utvärderas det för dess behörigheter genom att kontrolleras mot ACL. Om dessa behörigheter inte uppfylls, nekas paketet resa.
En ACL består av åtkomstkontrollposter (ACE). Varje ACE i listan innehåller relevant information om behörigheter för paket som kommer in eller lämnar ACL-nätverksgränssnittet. Varje ACE kommer att innehålla antingen ett tillstånd eller avslå uttalande, samt ytterligare kriterier som ett paket kommer att behöva uppfylla. I de flesta fall utvärderas paket baserat på vanliga Internet-protokoll (IP) -standarder som Transmission Control Protocl (TCP), User Datagram Protocol (UDP) och andra i sviten. Av de mest grundläggande ACL-typerna är det bara den ursprungliga adressen som kontrolleras, medan det i en utökad ACL kan fastställas regler som kontrollerar ursprungs- och destinationsadresserna såväl som de specifika portar som trafiken både härstammar från och är avsett till.
I ett ACL-nätverk är kontrolllistorna byggda in i nätverksrutrar och switchar. Varje nätverksmaskinvaruförsäljare kan ha separata regler för hur en ACL måste konstrueras. Oavsett vilken hårdvarutillverkare eller mjukvaruutvecklare skapade programmeringen som bearbetar paket mot en ACL, är den viktigaste aspekten för att implementera ett ACL-nätverk planering. Vid dålig planering är det helt möjligt för en administratör att logga in på en viss router, börja implementera en ACL på den routern och plötsligt befinna sig låst ur den routern eller något segment i ett helt nätverk.
En av de vanligaste implementeringarna av ACL-nätverk är inbyggd i det proprietära Internetwork-operativsystemet (IOS) skapat av Cisco Systems®. På Cisco® IOS-routrar och switchar skrivs ACL in manuellt av en administratör och implementeras automatiskt när varje objekt i listan läggs till. ACL måste implementeras stegvis, så att ett individuellt paket matchar en post, resten som faller under samma behörigheter kan följa efter. Eventuella ändringar i listan innebär att den måste skrivas om i sin helhet.
Även om det inte är lika säkert som en brandvägg för att skydda ett nätverk, är en ACL användbar utöver en brandvägg för ett antal scenarier. En administratör kan begränsa trafik till och från vissa områden i ett större nätverk eller förhindra att trafik från vissa adresser lämnar nätverket helt. Paket kan övervakas i ett ACL-nätverk för att hitta problemområden i nätverket, identifiera värdar som uppför sig felaktigt eller spåra klientdatorer som kan vara infekterade med ett virus som försöker sprida. En ACL kan också användas för att specificera trafik som måste krypteras mellan noder i nätverket.