訪問控制列表 企業網絡管理的必殺技
在這篇文章中,筆者將脫開技術層面的內容,談談自己在訪問控制列表管理中的經驗教訓,或許,這可以從另一個角度提高大家對訪問控制列表的認識。
思考一:如何合理放置訪問控制列表
訪問控制列表即可以放在進口,也可以放在出口,都是正確的。但是,正確跟合理還是有一步之差。位置正確,不一定說,如此放置是最合理的,效率是最高的。
若我們把訪問控制列表放在進口的話,在路由器在進口就會對數據流量進行判斷,看其是否滿足條件語句,若滿足的話,則放行,轉發給下一個端口;不滿足的話,就直接丟進垃圾桶。若把訪問控制列表放在出口的話,則當滿足放行條件時,則路由器會把數據流轉發出去;當不滿足條件時,則會把已經在這個端口存儲緩存中的數據丟進垃圾桶。很明顯,這個訪問控制列表放在進口或者出口,對路由器的性能會有所影響。
假設現在某個集團企業的網絡部署架構如下:
用戶主機---路由器A—路由器B-----互聯網。
在這種網絡架構下,企業現在希望實現如下控制。
1、 用戶主機甲不能夠訪問互聯網。
2、 其他用戶都可以不受限制的訪問互聯網。
此時,很明顯可以通過多種方式來實現這種需求。不過,訪問控制列表是實現這種控制的一個比較靈活的策略。此時,拒絕用戶主機甲訪問互聯網的訪問控制列表可以放在路由器A,也可以放在路由器B上;可以放在路由器A的進口或者出口端口上,也可以放在路由器B的進口或者出口端口上。放在這四個位置的任何一個位置上,都可以實現企業的需求。只是對于網絡的影響有所不同。
假設我們現在把這個訪問控制列表放在路由器B的出口上,則當用戶主機甲訪問互聯網時,這個數據流會通過路由器A,到達路由器B的出口站點上,然后才被丟棄。如此的話,這個本來早早應該被丟棄的數據流,卻一直暢通無阻的到了路由器B的出口商,才被拋棄。
這就好像群眾上訪,本來在農村基層就可以解決的問題,但是,農村基層不解決,當地政府也不解決,一直鬧到中央,這不僅會浪費各地政府部門的精力,而且,中央政府若每天都處理這些基層來的上訪者,那他們就沒有精力去關心一些重大問題了。所以,一些糾紛,在基層可以解決,還是在基層解決好。
訪問控制列表也是如此。若按上面這個位置放置,用戶主機甲若想訪問互聯網,則這些數據流量一直暢通無阻的到達路由器B出口站是,是一種浪費網絡帶寬的行為。所以,應該把拒絕主機用戶甲的訪問控制列表放置在路由器A的進口上,從源頭就把不需要的訪問控制列表拋棄。
很明顯,若只有一臺用戶主機不能訪問互聯網的話,則這個訪問控制列表具體放在上面位置,其所產生的影響對于企業整個網絡來說,是微乎其微的。但是,在實際工作中,我們往往不是拒絕一臺主機的通信流量,而是拒絕一批,如一個子網的通信流量。如此的話,其產生的數據流量就比較大了,會對企業的內部網絡產生比較大的影響。
所以,在訪問控制列表管理的時候,要慎重考慮訪問控制列表的放置地方,否則的話,會對整個網絡產生比較大的影響。那這訪問控制列表該放在什么地方合適呢?筆者給大家提個建議,最好把訪問控制列表放置在離被拒絕的信息來源最近的地方,即上面講的路由器A的進口站點上。如此的話,不允許通過的數據流量就會被盡早的丟進垃圾桶,而不會被暢通無阻的傳遞下去。當然,前期是,路由器A必須支持訪問控制列表,否則的話,也指能夠放在路由器B上了。
思考二:訪問控制列表如何跟防火墻配合使用
現在大部分企業都在企業內外網的接口處,部署了防火墻。那么,訪問控制列表該如何跟防火墻配合使用呢?
根據官方的建議,訪問控制列表應該用在防火墻路由器上,防火墻路由器經常放置在內部網絡與外部網絡之間,即企業內網與互聯網的分割點,目的是為其提供一個孤立的點,以便不受其他互聯網網絡結構的影響。
其實,有些防火墻服務器的話,本身就帶有訪問控制列表的功能。如防火墻的低安全端口要訪問防火墻中的高安全端口的話,就需要訪問控制列表的支持。所以,把訪問控制列表結合防火墻服務器使用,是一個比較好的選擇。
不過,說實話,若把他們兩個部署在一起的話,會增加訪問控制列表的復雜程度,會增加訪問控制列表與防火墻服務器的維護難度。筆者雖然覺得這么部署比較合理,但是,在實際工作中,筆者出于管理與維護的方便,確不是這么部署的。
如企業現在的網絡部署架構如下:
主機-路由器-VPN服務器-防火墻。
其中,這個路由器與防火墻都支持訪問控制列表的功能。按照官方的建議,應該把訪問控制列表部署在防火墻服務器上。但是,筆者認為這么管理的話,會增加防火墻與訪問控制列表的復雜程度,不利于后續的維護與故障的維修。所以,筆者在部署訪問控制列表的時候,沒有遵循官方的建議,而是把訪問控制列表部署在路由器上,而不是防火墻。如此的話,把防火墻與路由器上的訪問控制列表獨立管理,雖然可能會增加一定的工作量,但是,至少把復雜的工作簡單化,反而有利于企業網絡的管理,出現故障的時候,也比較容易檢修。
不過這是筆者個人的工作經驗,其到底是否合理,還需要靠以后網絡維護工作的檢驗。
不過如果要在防火墻服務器這種邊界設備上,部署訪問控制列表的話,筆者可以給大家提一些意見。
一是部署在邊界設備上的訪問控制列表,無論是防火墻服務器還是路由器上,可以為配置在設備接口上的每一個網絡協議創建訪問控制列表。通過配置訪問控制列表。來過濾通過接口的入站通信流量、出站通信流量。
二是如果在邊界路由器與內部的路由器,即上面的路由器A與路由器B上,都配置了訪問控制列表,該如何處理呢?一般來說,若在路由器A上部署了拒絕用戶主機甲訪問互聯網的訪問控制列表,然后再邊界路由器B上又配置了同樣內容的訪問控制列表,就有點脫褲子放屁,多此一舉的感覺。但是,在實際管理中,有些網路管理元還是會這么處理。這主要是出于統一管理的需要。在路由器A上部署訪問控制列表,可以拒絕不應該的數據流量在網絡上傳輸;而在路由器B上部署訪問控制列表的話,則是出于統一管理的需要。或者說,起到雙重保險的作用,即使路由器A上的訪問控制列表因為某種原因失效,還由路由器B在那邊把關。不過,這么配置的話,邊界路由器B的負擔會比較中。因為他要對來自于企業網絡的所有數據流量進行判斷。所以,具體如何部署,還是要看企業對于安全性的要求。到底是犧牲一定的安全來提高網絡性能,還是降低網絡性能來提高網絡的安全冗余,如何在網絡的安全性與網絡性能之間取得均衡的話,網絡管理員還是需要根據企業的實際情況,在這上面花一番心思。
三是要注意訪問控制列表中最后的隱含語句。假設現在有一個訪問控制列表,其前面有八條判斷語句。而其實呢,有九條,最后一條是隱含的,當前面八條語句都沒有滿足的情況下,則這最后一條語句,就會把這個數據流量拒絕掉。不過在訪問控制列表管理中,我們往往不希望出現這種情況。我們希望,當前面的這些條件都不滿足的情況下,則該數據量背放行。如在一個訪問控制列表中,我們寫了兩條判斷語句,一是拒絕用戶A訪問互聯網;二是拒絕用戶B訪問外部的郵件服務器。此時,若有用戶C訪問互聯網的話,由于前面兩條語句都不滿足,則默認情況下,訪問控制列表會應用隱含的判斷語句,把用戶C的數據流量也拒絕掉,這是我們不希望看到的。為此,我們就需要改變這條隱含的判斷語句,把它改為上面條件都不滿足的情況下,數據流量為允許通過。或者,我們可以顯示的給出這條隱含語句,這有利于提高訪問控制列表的可讀性,對我們后續排除故障也是比較有利的。
【編輯推薦】
