如何提高訪問(wèn)控制列表的可讀性

根據(jù)企業(yè)的實(shí)際情況，網(wǎng)絡(luò)管理員在管理訪問(wèn)控制列表的時(shí)候，要慎重考慮放置地方，根據(jù)官方的建議，訪問(wèn)控制列表應(yīng)該用在防火墻路由器上。

思考一：如何合理放置訪問(wèn)控制列表

訪問(wèn)控制列表即可以放在進(jìn)口，也可以放在出口，都是正確的。但是，正確跟合理還是有一步之差。位置正確，不一定說(shuō)，如此放置是最合理的，效率是最高的。

若我們把訪問(wèn)控制列表放在進(jìn)口的話，在路由器在進(jìn)口就會(huì)對(duì)數(shù)據(jù)流量進(jìn)行判斷，看其是否滿足條件語(yǔ)句，若滿足的話，則放行，轉(zhuǎn)發(fā)給下一個(gè)端口;不滿足的話，就直接丟進(jìn)垃圾桶。若把訪問(wèn)控制列表放在出口的話，則當(dāng)滿足放行條件時(shí)，則路由器會(huì)把數(shù)據(jù)流轉(zhuǎn)發(fā)出去;當(dāng)不滿足條件時(shí)，則會(huì)把已經(jīng)在這個(gè)端口存儲(chǔ)緩存中的數(shù)據(jù)丟進(jìn)垃圾桶。很明顯，這個(gè)訪問(wèn)控制列表放在進(jìn)口或者出口，對(duì)路由器的性能會(huì)有所影響。

假設(shè)現(xiàn)在某個(gè)集團(tuán)企業(yè)的網(wǎng)絡(luò)部署架構(gòu)如下：

用戶主機(jī)---路由器A—路由器B-----互聯(lián)網(wǎng)。

在這種網(wǎng)絡(luò)架構(gòu)下，企業(yè)現(xiàn)在希望實(shí)現(xiàn)如下控制。

1、用戶主機(jī)甲不能夠訪問(wèn)互聯(lián)網(wǎng)。

2、其他用戶都可以不受限制的訪問(wèn)互聯(lián)網(wǎng)。

此時(shí)，很明顯可以通過(guò)多種方式來(lái)實(shí)現(xiàn)這種需求。不過(guò)，訪問(wèn)控制列表是實(shí)現(xiàn)這種控制的一個(gè)比較靈活的策略。此時(shí)，拒絕用戶主機(jī)甲訪問(wèn)互聯(lián)網(wǎng)的訪問(wèn)控制列表可以放在路由器A，也可以放在路由器B上;可以放在路由器A的進(jìn)口或者出口端口上，也可以放在路由器B的進(jìn)口或者出口端口上。放在這四個(gè)位置的任何一個(gè)位置上，都可以實(shí)現(xiàn)企業(yè)的需求。只是對(duì)于網(wǎng)絡(luò)的影響有所不同。

假設(shè)我們現(xiàn)在把這個(gè)訪問(wèn)控制列表放在路由器B的出口上，則當(dāng)用戶主機(jī)甲訪問(wèn)互聯(lián)網(wǎng)時(shí)，這個(gè)數(shù)據(jù)流會(huì)通過(guò)路由器A，到達(dá)路由器B的出口站點(diǎn)上，然后才被丟棄。如此的話，這個(gè)本來(lái)早早應(yīng)該被丟棄的數(shù)據(jù)流，卻一直暢通無(wú)阻的到了路由器B的出口商，才被拋棄。

這就好像群眾上訪，本來(lái)在農(nóng)村基層就可以解決的問(wèn)題，但是，農(nóng)村基層不解決，當(dāng)?shù)卣膊唤鉀Q，一直鬧到中央，這不僅會(huì)浪費(fèi)各地政府部門的精力，而且，中央政府若每天都處理這些基層來(lái)的上訪者，那他們就沒(méi)有精力去關(guān)心一些重大問(wèn)題了。所以，一些糾紛，在基層可以解決，還是在基層解決好。

訪問(wèn)控制列表也是如此。若按上面這個(gè)位置放置，用戶主機(jī)甲若想訪問(wèn)互聯(lián)網(wǎng)，則這些數(shù)據(jù)流量一直暢通無(wú)阻的到達(dá)路由器B出口站是，是一種浪費(fèi)網(wǎng)絡(luò)帶寬的行為。所以，應(yīng)該把拒絕主機(jī)用戶甲的訪問(wèn)控制列表放置在路由器A的進(jìn)口上，從源頭就把不需要的訪問(wèn)控制列表拋棄。

很明顯，若只有一臺(tái)用戶主機(jī)不能訪問(wèn)互聯(lián)網(wǎng)的話，則這個(gè)訪問(wèn)控制列表具體放在上面位置，其所產(chǎn)生的影響對(duì)于企業(yè)整個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，是微乎其微的。但是，在實(shí)際工作中，我們往往不是拒絕一臺(tái)主機(jī)的通信流量，而是拒絕一批，如一個(gè)子網(wǎng)的通信流量。如此的話，其產(chǎn)生的數(shù)據(jù)流量就比較大了，會(huì)對(duì)企業(yè)的內(nèi)部網(wǎng)絡(luò)產(chǎn)生比較大的影響。

所以，在訪問(wèn)控制列表管理的時(shí)候，要慎重考慮訪問(wèn)控制列表的放置地方，否則的話，會(huì)對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生比較大的影響。那這訪問(wèn)控制列表該放在什么地方合適呢?給大家提個(gè)建議，最好把訪問(wèn)控制列表放置在離被拒絕的信息來(lái)源最近的地方，即上面講的路由器A的進(jìn)口站點(diǎn)上。如此的話，不允許通過(guò)的數(shù)據(jù)流量就會(huì)被盡早的丟進(jìn)垃圾桶，而不會(huì)被暢通無(wú)阻的傳遞下去。當(dāng)然，前期是，路由器A必須支持訪問(wèn)控制列表，否則的話，也指能夠放在路由器B上了。

思考二：訪問(wèn)控制列表如何跟防火墻配合使用

現(xiàn)在大部分企業(yè)都在企業(yè)內(nèi)外網(wǎng)的接口處，部署了防火墻。那么，訪問(wèn)控制列表該如何跟防火墻配合使用呢?

根據(jù)官方的建議，訪問(wèn)控制列表應(yīng)該用在防火墻路由器上，防火墻路由器經(jīng)常放置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，即企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的分割點(diǎn)，目的是為其提供一個(gè)孤立的點(diǎn)，以便不受其他互聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的影響。

其實(shí)，有些防火墻服務(wù)器的話，本身就帶有訪問(wèn)控制列表的功能。如防火墻的低安全端口要訪問(wèn)防火墻中的高安全端口的話，就需要訪問(wèn)控制列表的支持。所以，把訪問(wèn)控制列表結(jié)合防火墻服務(wù)器使用，是一個(gè)比較好的選擇。

不過(guò)，說(shuō)實(shí)話，若把他們兩個(gè)部署在一起的話，會(huì)增加訪問(wèn)控制列表的復(fù)雜程度，會(huì)增加訪問(wèn)控制列表與防火墻服務(wù)器的維護(hù)難度。雖然覺(jué)得這么部署比較合理，但是，在實(shí)際工作中，出于管理與維護(hù)的方便，確不是這么部署的。

如企業(yè)現(xiàn)在的網(wǎng)絡(luò)部署架構(gòu)如下：

主機(jī)-路由器-VPN服務(wù)器-防火墻。

其中，這個(gè)路由器與防火墻都支持訪問(wèn)控制列表的功能。按照官方的建議，應(yīng)該把訪問(wèn)控制列表部署在防火墻服務(wù)器上。但是，認(rèn)為這么管理的話，會(huì)增加防火墻與訪問(wèn)控制列表的復(fù)雜程度，不利于后續(xù)的維護(hù)與故障的維修。所以，在部署訪問(wèn)控制列表的時(shí)候，沒(méi)有遵循官方的建議，而是把訪問(wèn)控制列表部署在路由器上，而不是防火墻。如此的話，把防火墻與路由器上的訪問(wèn)控制列表獨(dú)立管理，雖然可能會(huì)增加一定的工作量，但是，至少把復(fù)雜的工作簡(jiǎn)單化，反而有利于企業(yè)網(wǎng)絡(luò)的管理，出現(xiàn)故障的時(shí)候，也比較容易檢修。

不過(guò)這是個(gè)人的工作經(jīng)驗(yàn)，其到底是否合理，還需要靠以后網(wǎng)絡(luò)維護(hù)工作的檢驗(yàn)。

不過(guò)如果要在防火墻服務(wù)器這種邊界設(shè)備上，部署訪問(wèn)控制列表的話，可以給大家提一些意見(jiàn)。

一是部署在邊界設(shè)備上的訪問(wèn)控制列表，無(wú)論是防火墻服務(wù)器還是路由器上，可以為配置在設(shè)備接口上的每一個(gè)網(wǎng)絡(luò)協(xié)議創(chuàng)建訪問(wèn)控制列表。通過(guò)配置訪問(wèn)控制列表。來(lái)過(guò)濾通過(guò)接口的入站通信流量、出站通信流量。

二是如果在邊界路由器與內(nèi)部的路由器，即上面的路由器A與路由器B上，都配置了訪問(wèn)控制列表，該如何處理呢?一般來(lái)說(shuō)，若在路由器A上部署了拒絕用戶主機(jī)甲訪問(wèn)互聯(lián)網(wǎng)的訪問(wèn)控制列表，然后再邊界路由器B上又配置了同樣內(nèi)容的訪問(wèn)控制列表，就有點(diǎn)脫褲子放屁，多此一舉的感覺(jué)。但是，在實(shí)際管理中，有些網(wǎng)路管理元還是會(huì)這么處理。這主要是出于統(tǒng)一管理的需要。在路由器A上部署訪問(wèn)控制列表，可以拒絕不應(yīng)該的數(shù)據(jù)流量在網(wǎng)絡(luò)上傳輸;而在路由器B上部署訪問(wèn)控制列表的話，則是出于統(tǒng)一管理的需要。或者說(shuō)，起到雙重保險(xiǎn)的作用，即使路由器A上的訪問(wèn)控制列表因?yàn)槟撤N原因失效，還由路由器B在那邊把關(guān)。不過(guò)，這么配置的話，邊界路由器B的負(fù)擔(dān)會(huì)比較中。因?yàn)樗獙?duì)來(lái)自于企業(yè)網(wǎng)絡(luò)的所有數(shù)據(jù)流量進(jìn)行判斷。所以，具體如何部署，還是要看企業(yè)對(duì)于安全性的要求。到底是犧牲一定的安全來(lái)提高網(wǎng)絡(luò)性能，還是降低網(wǎng)絡(luò)性能來(lái)提高網(wǎng)絡(luò)的安全冗余，如何在網(wǎng)絡(luò)的安全性與網(wǎng)絡(luò)性能之間取得均衡的話，網(wǎng)絡(luò)管理員還是需要根據(jù)企業(yè)的實(shí)際情況，在這上面花一番心思。

三是要注意訪問(wèn)控制列表中最后的隱含語(yǔ)句。假設(shè)現(xiàn)在有一個(gè)訪問(wèn)控制列表，其前面有八條判斷語(yǔ)句。而其實(shí)呢，有九條，最后一條是隱含的，當(dāng)前面八條語(yǔ)句都沒(méi)有滿足的情況下，則這最后一條語(yǔ)句，就會(huì)把這個(gè)數(shù)據(jù)流量拒絕掉。不過(guò)在訪問(wèn)控制列表管理中，我們往往不希望出現(xiàn)這種情況。我們希望，當(dāng)前面的這些條件都不滿足的情況下，則該數(shù)據(jù)量背放行。如在一個(gè)訪問(wèn)控制列表中，我們寫了兩條判斷語(yǔ)句，一是拒絕用戶A訪問(wèn)互聯(lián)網(wǎng);二是拒絕用戶B訪問(wèn)外部的郵件服務(wù)器。此時(shí)，若有用戶C訪問(wèn)互聯(lián)網(wǎng)的話，由于前面兩條語(yǔ)句都不滿足，則默認(rèn)情況下，訪問(wèn)控制列表會(huì)應(yīng)用隱含的判斷語(yǔ)句，把用戶C的數(shù)據(jù)流量也拒絕掉，這是我們不希望看到的。為此，我們就需要改變這條隱含的判斷語(yǔ)句，把它改為上面條件都不滿足的情況下，數(shù)據(jù)流量為允許通過(guò)?；蛘撸覀兛梢燥@示的給出這條隱含語(yǔ)句，這有利于提高訪問(wèn)控制列表的可讀性，對(duì)我們后續(xù)排除故障也是比較有利的。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識(shí)：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專區(qū)

本文來(lái)自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:43 編輯：泛普軟件 · xiaona [打印此頁(yè)] [關(guān)閉]

相關(guān)欄目：