■

現(xiàn)狀分析

目前ACL主要應(yīng)用在兩大場景，一類是防病毒等安全策略，一類是互聯(lián)網(wǎng)訪問權(quán)限控制。由于不同的部門、不同的業(yè)務(wù)有不同的要求，使得各種各樣的需求穿插在一起，另外，我們既要保證網(wǎng)絡(luò)的安全性，又要保證各種業(yè)務(wù)的正常訪問，因此ACL配置修改就顯得尤為重要。

而不恰當(dāng)?shù)腁CL策略使得配置策略工作成倍增加，例如，如果對營業(yè)廳的端口流量采取這樣的策略：允許內(nèi)網(wǎng)目的地址->允許部分外網(wǎng)目的地址->拒絕源地址，基于ACL自上而下的匹配規(guī)則，如果需要針對特定源地址擴(kuò)大權(quán)限，那么就需要在拒絕之前增加一條規(guī)則，這樣麻煩不說，而且隨著時間的推移和人員的流動，這條規(guī)則很有可能成為垃圾配置。

優(yōu)化策略

不恰當(dāng)?shù)姆椒ㄊ卤豆Π?，而合適的方法可以事半功倍。只要理清思路、去繁就簡，適當(dāng)?shù)刈儞Q工作方式，我們就可以游刃有余地面對各種變化。

1.分而治之

混亂的一個原因是各種各樣不相干的東西摻雜在一起，我們只需要對不同的ACL策略進(jìn)行分類命名，并按先后順序下發(fā)到端口，就可以改變這一點。這樣一來，不僅邏輯清晰，也便于以后的修改。對于防病毒安全策略下發(fā)到上聯(lián)端口，對入口流量過濾；對互聯(lián)網(wǎng)訪問控制策略下發(fā)到下聯(lián)端口，對出口流量過濾。可以分別設(shè)置信任源地址允許策略、病毒漏洞目標(biāo)端口拒絕策略；以及目的地址允許策略、源地址池拒絕策略。

2.發(fā)揮特長

ACL的主要用途在于對確定的地址、確定的端口進(jìn)行訪問策略控制，對于有限的網(wǎng)址配置作用不大。但是公司號碼百事通話務(wù)臺在禁止互聯(lián)網(wǎng)訪問的基礎(chǔ)上，曾提出允許數(shù)十個網(wǎng)址的訪問需求，而這些網(wǎng)址有許多具有負(fù)載均衡，映射到多個IP地址，如果采取ACL控制的話，配置無疑是十分巨大的，因此對于這種需求場景，就應(yīng)該交給更合適的代理服務(wù)器在TCP/IP協(xié)議的更高層級去控制。

3.轉(zhuǎn)移變化

在前面不恰當(dāng)?shù)睦又校覀儩撘庾R中將需要獲取權(quán)限的IP靜態(tài)化了，但是事實上IP并非不可變化，因此這就給我們提供了實現(xiàn)權(quán)限提升的另一種可能：固定地址池權(quán)限，將不同權(quán)限的設(shè)備加入不同的地址池，在需要修改訪問權(quán)限的時候修改IP地址（和端口VLAN）即可。對于終端而言，修改地址是很方便的，而對于地址池而言，ACL策略可以是穩(wěn)定的。因此地址池屏蔽了對單一IP的權(quán)限管理，將對ACL的復(fù)雜修改轉(zhuǎn)化為對IP的簡單修改。

效果總結(jié)

經(jīng)過對所有三層設(shè)備ACL策略的仔細(xì)梳理、整改，現(xiàn)在ACL策略變得有條理、易修改，減少了過去許多低效無謂的工作，也使得網(wǎng)絡(luò)運行更加安全可控。