Видео: Использование динамического контроля доступа 2025
Использование списка контроля доступа (ACL) - это один из способов, которым сетевые администраторы могут защищать сети. ACL имеет список записей, которые называются Access Control Entries (ACE). Доступ и безопасность, которые имеет одно сетевое устройство к другому сетевому устройству, зависят от записей, которые составляют ACL.
ACE не обязательно являются отрицательным ограничением; в некоторых случаях ACE - это способ предоставления человеку или устройству доступа к чему-либо. Поэтому две большие роли ACE относятся к категории «Запрет» и категории «Разрешение».
Чтобы правильно работать с ACL, вы должны знать, где их применять в своей сети. Вы можете применять ACL в двух областях: либо вблизи источника трафика, либо рядом с пунктом назначения. Если вы разместите запись рядом с источником или получателем, то вы, скорее всего, позаботитесь о своих потребностях в управлении, если вам нужно коснуться только одного устройства.
Если вы можете разместить свои правила рядом с источником трафика, то у вас есть преимущество остановки трафика в этот момент. Если у вас есть правила, расположенные рядом с пунктом назначения потока трафика, трафик фактически проходит почти до цели, прежде чем ему сообщают, что это запрещено. Например, у канадцев есть что-то под названием preclearance для поездок в Соединенные Штаты.
Это похоже на размещение ACL возле источника, потому что перед тем, как вы садитесь на самолет в Канаде, вы проходите всю таможенную обработку США. Это означает, что вы знаете, разрешено ли вам в Соединенных Штатах, прежде чем вы доберетесь до самолета. Аналогичным образом, ваши ACL рядом с источником сокращают трафик, пересекающий вашу сеть.
В некоторых случаях у вас нет контроля над исходным местоположением или местоположениями. Если у вас очень большая глобальная сеть, трафик может войти в сеть из Интернета в нескольких местах. Это означает, что вам нужно поместить соответствующие списки ACL на несколько устройств по глобальной сети, чтобы вместо того, чтобы устанавливать эти правила на всех других устройствах, вы можете поместить ACL или правила на одном или двух устройствах рядом с пунктом назначения трафика.
Это означает, что трафик пересекает сеть, только чтобы быть отклоненным по мере приближения трафика к цели. Хотя эта стратегия увеличивает трафик в сети, она дает вам реализацию, которую проще поддерживать, потому что теперь вам нужно беспокоиться только об одном устройстве.
