■

現(xiàn)狀分析

目前ACL主要應(yīng)用在兩大場(chǎng)景，一類是防病毒等安全策略，一類是互聯(lián)網(wǎng)訪問(wèn)權(quán)限控制。由于不同的部門、不同的業(yè)務(wù)有不同的要求，使得各種各樣的需求穿插在一起，另外，我們既要保證網(wǎng)絡(luò)的安全性，又要保證各種業(yè)務(wù)的正常訪問(wèn)，因此ACL配置修改就顯得尤為重要。

而不恰當(dāng)?shù)腁CL策略使得配置策略工作成倍增加，例如，如果對(duì)營(yíng)業(yè)廳的端口流量采取這樣的策略：允許內(nèi)網(wǎng)目的地址->允許部分外網(wǎng)目的地址->拒絕源地址，基于ACL自上而下的匹配規(guī)則，如果需要針對(duì)特定源地址擴(kuò)大權(quán)限，那么就需要在拒絕之前增加一條規(guī)則，這樣麻煩不說(shuō)，而且隨著時(shí)間的推移和人員的流動(dòng)，這條規(guī)則很有可能成為垃圾配置。

優(yōu)化策略

不恰當(dāng)?shù)姆椒ㄊ卤豆Π?，而合適的方法可以事半功倍。只要理清思路、去繁就簡(jiǎn)，適當(dāng)?shù)刈儞Q工作方式，我們就可以游刃有余地面對(duì)各種變化。

1.分而治之

混亂的一個(gè)原因是各種各樣不相干的東西摻雜在一起，我們只需要對(duì)不同的ACL策略進(jìn)行分類命名，并按先后順序下發(fā)到端口，就可以改變這一點(diǎn)。這樣一來(lái)，不僅邏輯清晰，也便于以后的修改。對(duì)于防病毒安全策略下發(fā)到上聯(lián)端口，對(duì)入口流量過(guò)濾；對(duì)互聯(lián)網(wǎng)訪問(wèn)控制策略下發(fā)到下聯(lián)端口，對(duì)出口流量過(guò)濾?？梢苑謩e設(shè)置信任源地址允許策略、病毒漏洞目標(biāo)端口拒絕策略；以及目的地址允許策略、源地址池拒絕策略。

2.發(fā)揮特長(zhǎng)

ACL的主要用途在于對(duì)確定的地址、確定的端口進(jìn)行訪問(wèn)策略控制，對(duì)于有限的網(wǎng)址配置作用不大。但是公司號(hào)碼百事通話務(wù)臺(tái)在禁止互聯(lián)網(wǎng)訪問(wèn)的基礎(chǔ)上，曾提出允許數(shù)十個(gè)網(wǎng)址的訪問(wèn)需求，而這些網(wǎng)址有許多具有負(fù)載均衡，映射到多個(gè)IP地址，如果采取ACL控制的話，配置無(wú)疑是十分巨大的，因此對(duì)于這種需求場(chǎng)景，就應(yīng)該交給更合適的代理服務(wù)器在TCP/IP協(xié)議的更高層級(jí)去控制。

3.轉(zhuǎn)移變化

在前面不恰當(dāng)?shù)睦又?，我們潛意識(shí)中將需要獲取權(quán)限的IP靜態(tài)化了，但是事實(shí)上IP并非不可變化，因此這就給我們提供了實(shí)現(xiàn)權(quán)限提升的另一種可能：固定地址池權(quán)限，將不同權(quán)限的設(shè)備加入不同的地址池，在需要修改訪問(wèn)權(quán)限的時(shí)候修改IP地址（和端口VLAN）即可。對(duì)于終端而言，修改地址是很方便的，而對(duì)于地址池而言，ACL策略可以是穩(wěn)定的。因此地址池屏蔽了對(duì)單一IP的權(quán)限管理，將對(duì)ACL的復(fù)雜修改轉(zhuǎn)化為對(duì)IP的簡(jiǎn)單修改。

效果總結(jié)

經(jīng)過(guò)對(duì)所有三層設(shè)備ACL策略的仔細(xì)梳理、整改，現(xiàn)在ACL策略變得有條理、易修改，減少了過(guò)去許多低效無(wú)謂的工作，也使得網(wǎng)絡(luò)運(yùn)行更加安全可控。