ACL提升边际安全

由于构成Internet的TCP/IP协议缺乏安全性，网络安全成为用户在提供开放式环境时必须认真考虑的问题。
　　
ACL提升边际安全
　　
非法接入、报文窃取、IP地址欺骗、拒绝服务攻击等来自网络层和应用层的攻击常常会耗尽网络资源，让用户网管人员疲于应对。针对这些问题，二、三层的访问控制、防火墙技术、入侵检测、身份验证、数据加密、防病毒都提供了有效的解决途径。而在保障网络边际安全方面，访问控制列表（Access Control List，ACL）可以说是最先与安全威胁最行交火的生力军。
　　
ACL是对通过网络接口进入网络内部的数据包进行控制的机制，分为标准ACL和扩展ACL（Extended ACL）两种。标准ACL只对数据包的源地址进行检查，扩展ACL对数据包中的源地址、目的地址、协议以及端口号进行检查。作为一种应用在路由器接口的指令列表，ACL已经在一些核心路由交换机和边缘交换机上得到应用，从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等二层技术，实现对网络的各层面的有效控制。具体到安全领域来说，ACL的作用主要体现在以下几个方面。
　　
限制网络流量提高网络性能
　　
通过设定端口上、下行流量的带宽，ACL可以定制多种应用的带宽管理，避免因为带宽资源的浪费而影响网络的整体性能。如果能够根据带宽大小来制定收费标准，那么运营商就可以根据客户申请的带宽，通过启用ACL方式限定访问者的上、下行带宽，实现更好的管理，充分利用现有的网络资源，保证网络的使用性能。

有效的通信流量控制手段
　　
ACL 可以限定或简化路由选择更新信息的长度，用来限制通过路由器的某一网段的流量。
　　
提供网络访问的基本安全手段
　　
ACL 允许某一主机访问一个网络，阻止另一主机访问同样的网络，这种功能可以有效防止未经授权用户的非法接入。如果在边缘接入层启用二、三层网络访问的基本安全策略，ACL能够将用户的MAC、IP地址、端口号与交换机的端口进行绑定，有效防止其他用户访问同样的网络。
　　
在交换机（路由器）接口处，ACL决定哪种类型的通信流量被转发或被拒绝。根据数据包的协议（IP、IPX等），ACL指定某种类型的数据包具有更高的优先级，在同等情况下优先被交换机（路由器）处理。这种功能保证交换机（路由器）丢弃不必要的数据包，通过不同的队列来有效限制网络流量，减少网络拥塞。
　　
在网络中，ACL不但可以让网管员用来制定网络策略，对个别用户或特定数据流进行控制；也可以用来加强网络的安全屏蔽作用。从简单的Ping of Death攻击、TCP Syn攻击，到更多样化更复杂的黑客攻击，ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力，网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。
　　
需要指出的是，与速率限制相同，网络设备不仅应该能够执行完整的ACL功能，包括进站和出站，同时也必须强调硬件的处理能力。这样，用户在启动ACL的同时，才不会影响到二层或三层交换设备线速转发数据包的能力。
　　
目前，一些主流的网络设备厂商已经在相关的交换设备中引入该技术。D-Link作为全球重要的网络设备提供商之一，在二、三层交换机产品推出之际时，便将线速、硬件级的ACL技术列入基本的协议支持，其二层交换机DES-3226S、DES-3250TG以及三层交换机DES-3326S、DES-6300等都已经率先支持硬件级的标准ACL和扩展ACL。