扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:彭亮 来源:SohuIT 2008年7月30日
关键字:
作者: 彭亮, 出处:IT专家网, 责任编辑: 张宾, 2008-07-30 00:10
我们在企业日常网络的管理中,经常会遇到一些进退两难的问题。而访问控制列表,则给我们网络管理员提供了一个网络控制的平台。
【IT专家网独家】
大部分企业现在存在一种状况,就是网络访问无序的状态。如所有公司的员工都可以随意反问财务部门的电脑;如在开集团的视频会议的时候,其他员工下载电影或者游戏浪费了宝贵的带宽,导致视频会议不怎么连贯;如为了管理的方便,大开Telnet端口,对于这个威胁视若无睹,等等。其实,对于这些问题,都可以通过访问控制列表来实现。笔者将通过一系列的文章,来跟大家分享访问控制列表的使用方法与使用技巧,跟大家一起利用访问控制列表来提高网络的管理。
我们在企业日常网络的管理中,经常会遇到一些进退两难的问题。如我们即要保障网络点畅通,同时,也必须设法拒绝那些不希望的网络连接。虽然,我们也可以通过其他的一些方式,如密码、权限、虚拟局域网等功能实现这些目的,但是,他们的管理往往是单一的,也就是说,只能实现一些独立的管理功能,或者缺乏管理的灵活性。而访问控制列表,则给我们网络管理员提供了一个网络控制的平台。他就好象一个连通两个国家的边关要地,我们可以根据各种需要,允许某些人通过,而其他人则不允许,或者说有些人可以自由无阻的在两个国家内通行,而有些人则必须凭证件才能够通行;如当道路繁忙时,我们可以设置哪些人具有优先通行权;如我们可以设置每天的通行数量,等等。
这个访问控制列表是路由器上的一个服务,他结合路由器的基本功能,来实现对于访问流量的过滤与控制。实际上,访问控制列表就是一串连续的语句的集合,这些语句定义了哪些流量可以通过,哪些不可以通过;同时也定义了哪些流量具有优先性等等。
具体的来说,访问控制列表可以起到如下作用:
1、 可以限制员工对外部网络的有限访问
若在企业内网与外网的接口处,部署路由器的访问控制列表的话,则可以决定哪种类型的通信流量杯转发、哪些类型的通信流量被禁止等等。例如,我们可以允许只有Email的通信流量被允许,而其他类型的通信流量都会被路由器所禁止。根据这个控制规则,则就可以限制用户内与外部网络的访问,只允许员工接收外部邮件,而不能进行其他的网络访问。通过类似的规则,还可以限制员工访问外部的WEB服务器(禁止浏览网页)、限制员工访问FTP服务器(不允许像外部的FTP服务器上传公司内部的资料,从而保护企业内部信息安全)、限制员工使用BT下载工具(BT工具由于其又是下载工具又是一个上载的服务器,会占用比较大的带宽,所以,应该禁止使用),等等。总之,若把带有访问控制列表的路由器部署在企业内网与外网的接口上,网络管理员就可以根据协议、端口、IP地址等等各种参数以及相互的结合来对员工的网络行为进行管理控制。
2、 提供网络访问的限制
若从企业内部考虑,有时会企业可能希望财务部门的电脑除了总经理办公室可以访问之外,而其他办公室都不能访问;但是,财务部门的电脑则可以访问其他部门的电脑,如他们访问行政部门的电脑,等等。虽然通过虚拟局域网也可以实现网络的隔离,但是,他是双向的,也就是说要么两个部门的网络都不能相互访问,要么就是两个部门的电脑可以畅通无阻的访问,而不能实现这个有限制的访问,除非为其设置具体的访问权限等等。一般情况下,我们可以把一些重要的部门设置成一个独立的网络,然后利用路由器对于彼此的访问进行控制。
如笔者企业现在就把产品开发部门设置成了一个独立的网络,他们这个部门的网络,全体部门的员工都不能在网络上找到他们的踪影;这个部门网络上的一些共享文件,也不能够被其他部门的人访问。其他部门的员工若需要向这个部门传递信息的话,则只能够通过书面的传递或者通过U盘等工具(这些工具的使用也被严格的监督控制)复制传递。总之,这么处理的话,是为了保障产品开发部门资料的安全性,以及产品开发设计系统的正常运转,不受到外部网络的功能。不过,同时,产品部门的网络要能够连接到企业的文件备份服务器,他们电脑上的文件必须及时的在企业的文件备份服务器上进行备份,以保障文件的安全。
3、 管理网络流量、对网络流量进行优化
网络管理员还可以利用网络控制列表,实现对网络流量的控制,并且对网络流量进行适当的优化。
如笔者的企业现在部署了网络视频会议系统,有时会集团各个子公司的领导需要开视频会议;有时候销售总监也需要对国外的客户进行视频沟通等等。我们都知道,视频会带来很大的数据流量,而且,保障视频的连续性与流畅性,也是一个不小的挑战。如何在视频的时候,保障视频的连续性与流畅性呢?为了达到这个目的,我们首先需要保障视频流量的有限性。如当他们在进行视频会议时,若网络比较繁忙,则我们必须保障视频会议的流量能够优先被放行。这就好像救护车,载着重伤病人,当其拉响警报时,其他车辆必须为其让道,其也有闯红灯的特权。若其他车不让道时,就是违法,就可能得到交警的处罚。而采用访问控制列表,就可以做到这一点。如访问控制列表,可以根据数据包的协议类型,我们可以事先指定这种视频会议的协议类型具有比较高的优先性,在同等情况下,会被路由器优先处理。如此的话,一些重要协议的数据包,就可以实现比较高的优先性。
同时,还可以在不影响网络性能的情况下,开通一些限制级别的服务。如虽然BT等下载工具会占用比较大的带宽,但是,其存在也有其的特殊优势,就是下载速度特别快。而现在我们通过访问控制列表,可以把BT类型的数据优先级别设置为最低,如此的话,就可以实现,在不影响网络性能的情况下,运行BT软件。因为当网络繁忙的时候,BT类型的数据包会被暂时放放,其他类型的数据包会优先被路由器处理。如此的话,就可以把BT软件给网络带来的负面影响将到最低,同时,在闲暇的时候,如下班后,仍然可以正常使用BT等下载工具,提高网络管理的灵活性。
由此我们也可以获得这么一个信息,利用访问控制列表,可以实现对网络流量的灵活管理与控制。而不是像其他控制手段,如虚拟局域网或者凭用户名与密码访问那样,利用一帮子打死的策略。
上面是笔者对于访问控制列表的一些基本介绍。在后续的文章中,笔者将结合自己企业的配置实例,讲述在企业网络中如何通过访问控制列表,来提高对于网络的掌控。为了能够深刻的说明问题,在后续的文章中,会采用比较多的实例以及注意技巧,笔者相信,通过这些文章,你或许还不能成为一个访问控制列表的专家,但是,会对访问控制列表有一个整体的认识。俗话说,师傅领进门,修行在自身。相信大家通过自己的实践,会成为这方面对高手。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者