访问控制下文运用原则

网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段 。【访问控制下文运用原则】由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置 。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识 。
1、最小特权原则
只给受控对象完成任务所必须的最小的权限 。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的 。
2、最靠近受控对象原则
所有的网络层访问权限控制 。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句 。
3、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包 。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视 。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等 。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用 。

    推荐阅读