⑴ 什么是acl。什么是控制列表
ACL(access control list)
访问控制表
ACL是存在于计算机中的一张表,它使操作系统明白每个用户对特定系统对象,例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限。最一般的访问权限包括读文件(包括所有目录中的文件),写一个或多个文件和执行一个文件(如果它是一个可执行文件或者是程序的时候)。Windows NT,Novell公司的Netware,Digital公司的 OpenVMS和基于UNIX系统是使用这种访问控制表的系统。而此表的实现在各个系统中却不一样。
在Windows NT中,每个系统对象和一个访问控制表相关。每个ACL都有一个或多个访问控制入口,包括用户名或用户组的名称。对于每个用户,组或人物,他们的访问权限在表中的一个位串中记录。一般说来,系统管理员和对象的所有者创建对象的访问控制表。
作为一个一般的例子,试想一个三个用户的操作系统,在其中一个人是程序员,另一个是程序测试员最后一个是系统本身。ACL中的程序对象可能如下所示:
programmer read write execute
tester read execute
system execute
在这个三个入口的ACL中,在读写和执行程序对象前,系统将测试请求者是否有权限提出这一请求。例如,程序测试者有权读程序和运行程序,但无权写程序,或更改程序。
⑵ 访问控制列表的作用和组成是什么
标准和扩展标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号 扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号作用:控制流量对网络统一管理流量允许、拒绝用 标准ACL对单以服务或协议控制允许、拒绝用 扩展ACL。
⑶ ACL(访问控制列表)详解
访问控制列表(ACL)是应用在 路由器 接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。
ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACl是一组规则的集合,它应用在路由器的某个接口上。对路由器接口而言,访问控制列表有两个方向。
出:已经通过路由器的处理,正离开路由器的数据包。
入:已到达路由器接口的数据包。将被路由器处理。
————————————————
1、Access Contral List
2、ACL是一种包过滤技术。
3、ACL基于 IP包头的IP地址 、 四层TCP/UDP头部的端口号; 基于三层和四层过滤
4、ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)
5、ACL主要分为2大类:
标准 ACL
表号是 1-99 特点;
只能基于 源IP地址 对包进行过滤
扩展 ACL
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议对包进行过滤
————————————————
ACL原理
1)ACL表必须应用到接口的进或出方向生效
2) 一个接口的一个方向 只能应用一张表
3)进还是出方向应用?取决于流量控制总方向
4)ACL表是严格自上而下检查每一条,所以要注意书写顺序
5)每一条是有条件和动作组成,当流量不满足某条件,则继续检查;当流量完全 满足某条件,不再往后检查 直接执行动作。
6)标准ACL尽量写在靠近目标的地方
————————————————
将ACL应用到接口:
———————
注释:反子网掩码:将正子网掩码0和1倒置
反子网掩码:用来匹配,与0对应的严格匹配,与1对应的忽略匹配。
———————
例如:access-list 1 deny 10.1.1.1 0.255.255.255
解释:该条目用来拒绝所有源IP为10开头的
access-list 1 deny 10.1.1.1 0.0.0.0
简写:access-list 1 deny host 10.1.1.1
解释:该条目用来拒绝所有源IP为10.1.1.1的主机
access-list 1 deny 0.0.0.0 255.255.255.255
简写:access-list 1 deny any
解释:该条目用来拒绝所有人
————————————————
————————————————
1)做流量控制,首先要先判断ACL写的位置(那个路由器?那个接口的哪个方向?)
2)再考虑怎么写ACL
首先要判断最终要 允许所有还是拒绝所有
将 【详细的严格的控制】 写在最前面
3)一般情况下,标准或扩展ACL一旦编写,无法修改某一条,也无法删除某一条,也无法往中间插入新的条目,只能一直在最后添加新的条目
如想修改插入或删除,只能删除整张表,重新写!
conf t
no access-list 表号
查看ACL表:
show ip access-list [表ID]
————————————————
扩展ACL:
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议对包进行过滤
命令:
acc 100 permint/deny 协议 源IP或源网段 反子网掩码 目标IP 或源网段 反子网掩码 [eq端口号]
注释:协议:tcp/udp/icmp/ip
案例:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255
————————————————
命名ACL:
作用:可以对标准或扩展ACL进行自定义命名
优点:
自定义命名更容易辨认,也便于记忆!
可以任意修改某一条,或删除某一条,也可以往中间插入某一条
conf t
ip access-list standard/extended 自定义表名
开始从deny或permit编写ACL条目
exit
删除某一条:
ip access-list standard/extended 自定义表名
no 条目ID
exit
插入某一条:
IP access-list standard/extended 自定义表名
条目ID 动作 条件
————————————————
以上是以思科命令为例。
⑷ 自主访问控制(DAC)与强制访问控制(MAC)的原理是什么,区别在哪里各有什么优缺点
双系统或多系统有什么优缺点,求祥解。XjU9es
⑸ 文件访问控制列表的使用
要启用ACL,需内核提供ACL支持和安装ACL管理工具。现在的2.6内核都提供ACL支持,在编译内核时只要在file systems分支下,把Ext2 POSIX Access Control Lists或Ext3 POSIX Access Control Lists选中就可以了。用以下命令挂接硬盘启用文件系统ACL。
debian:~# mount -t ext2 -o acl /dev/hda1 /mnt/hda1
我们也可把选项写到/etc/fstab文件中,在需启用acl的分区选项包含acl参数。
ACL有两种,一种是存取ACL(access ACLs),针对文件和目录设置访问控制列表。一种是默认ACL(default ACLs),只能针对目录设置。如果目录中的文件没有设置ACL,它就会使用该目录的默认ACL。要设置ACL,首先要安装管理工具,它们分别是getfacl和setfacl,在debian中只要安装acl软件包即可。
debian:~# apt-get install acl
setfacl工具可为文件和目录ACL,命令格式如下:
setfacl -m <rules> <files>
rules的格式如下,多条规则间可用逗号分隔。
u:uid:perms #为用户设置ACL,perms为r、w、x的组合
g:gid:perms #为组设置ACL
o:perms #为其它组设置ACL
m:perms #设置有效权限屏蔽
下面是setfacl的实例:
debian:~# setfacl -m u:jims:rw testfile.txt
#-m选项表示添加或修改文件或目录的权限访问列表
debian:~# setfacl -x u:jims:rw testfile.txt
#-x选项表示删除文件或目录的访问列表
要设置默认的ACL,只在rules前加一个d:,以表示指定一个目录,如:
debian:~# setfacl -m d:o:rx /data
getfacl用以显示文件或目录的ACL,如:
debian:getfacl debian.xml
# file: debian.xml
# owner: jims
# group: jims
user::rwx
group::r--
other::r--
tar和mp工具不能备份ACL文件,如果我们要备份ACL文件系统,可以使用star工具。另外,samba可通过--with-acl-support编译选项支持ACL。
⑹ 访问控制列表有哪几种类型,分别在哪个位置
1、标准IP访问列表
编号范围是从1到99的访问控制列表是标准IP访问控制列表。
2、扩展IP访问
编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
3、命名的IP访问
4、标准IPX访问
标准IPX访问控制列表的编号范围是800-899。
5、扩展IPX访问
扩展IPX访问控制列表的编号范围是900-999。
6、命名的IPX访问
与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。
相关信息
ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。
一方面,采用ACL技术,网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系,适用于网络终端数量有限的网络。对于大型网络,为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时,巨大的网络终端数量,同样会增加管理的复杂度和难度。
另一方面,维护ACL不仅耗时,而且在较大程度上增加路由器开销。访问控制列表的策略性非常强,并且牵涉到网络的整体规划,它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此,是否采用ACL技术及在多大的程度上利用它,是管理效益与网络安全之间的一个权衡。
⑺ acl是什么意思
访问控制表(Access Control List),又称存取控制串行,是使用以访问控制矩阵为基础的访问控制表,每一个(文件系统内的)对象对应一个串行主体。
访问控制表由访问控制条目(access control entries,ACE)组成。访问控制表描述用户或系统进程对每个对象的访问控制权限。访问控制表的主要缺点是不可以有效迅速地枚举一个对象的访问权限。因此,要确定一个对象的所有访问权限需要搜索整个访问控制表来找出相对应的访问权限。
访问控制列表具有许多作用:
1、如限制网络流量、提高网络性能;
2、通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;
3、提供网络安全访问的基本手段;
4、在路由器端口处决定哪种类型的通信流量被转发或被阻塞,例如,用户可以允许E-mail通信流量被路由,拒绝所有的 Telnet通信流量等;
5、访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。
与 RBAC 比较
ACL 模型的主要替代方案是基于角色的访问控制(RBAC) 模型。“最小 RBAC 模型”RBACm可以与 ACL 机制ACLg进行比较,其中仅允许组作为 ACL 中的条目。Barkley (1997)表明RBACm和ACLg是等效的。
在现代 SQL 实现中,ACL 还管理组层次结构中的组和继承。因此,“现代 ACL”可以表达 RBAC 表达的所有内容,并且在根据管理员查看组织的方式表达访问控制策略的能力方面非常强大(与“旧 ACL”相比)。
⑻ 存取控制矩阵和存取控制表存放在哪里
存取控制矩阵和存取控制表存放在文件内。文件的存取控制方式有:存取控制矩阵,存取控制表,口令方式,密码方式共四种。
⑼ 访问能力表和访问控制表的比较
访问能力表是以用户为中心建立访问权限表
访问控制表是以文件为中心建立的访问权限表
⑽ 访问控制有几种常用的实现方法它们各有什么特点
1访问控制矩阵
行表示客体(各种资源),列表示主体(通常为用户),行和列的交叉点表示某个主体对某个客体的访问权限。通常一个文件的Own权限表示可以授予(Authorize)或撤消(Revoke)其他用户对该文件的访问控制权限。
2访问能力表
实际的系统中虽然可能有很多的主体与客体,但两者之间的权限关系可能并不多。为了减轻系统的开销与浪费,我们可以从主体(行)出发,表达矩阵某一行的信息,这就是访问能力表(Capabilities)。
只有当一个主体对某个客体拥有访问的能力时,它才能访问这个客体。但是要从访问能力表获得对某一特定客体有特定权限的所有主体就比较困难。在一个安全系统中,正是客体本身需要得到可靠的保护,访问控制服务也应该能够控制可访问某一客体的主体集合,于是出现了以客体为出发点的实现方式——ACL。
3访问控制表
也可以从客体(列)出发,表达矩阵某一列的信息,这就是访问控制表(AccessControlList)。它可以对某一特定资源指定任意一个用户的访问权限,还可以将有相同权限的用户分组,并授予组的访问权。
4授权关系表
授权关系表(AuthorizationRelations)的每一行表示了主体和客体的一个授权关系。对表按客体进行排序,可以得到访问控制表的优势;对表按主体进行排序,可以得到访问能力表的优势。适合采用关系数据库来实现。