第7章網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離概述物理網(wǎng)絡(luò)隔離邏輯網(wǎng)絡(luò)隔離7.1網(wǎng)絡(luò)隔離概述7.1網(wǎng)絡(luò)隔離概述網(wǎng)絡(luò)隔離技術(shù)是指兩個(gè)或兩個(gè)以上的計(jì)算機(jī)或網(wǎng)絡(luò)在斷開連接的基礎(chǔ)上，實(shí)現(xiàn)信息交換和資源共享，也就是說，通過網(wǎng)絡(luò)隔離技術(shù)既可以使兩個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)物理上的隔離，又能在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)交換。網(wǎng)絡(luò)隔離技術(shù)的主要目標(biāo)是將有害的網(wǎng)絡(luò)安全威脅隔離開，以保障數(shù)據(jù)信息在可信網(wǎng)絡(luò)內(nèi)在進(jìn)行安全交互。目前，一般的網(wǎng)絡(luò)隔離技術(shù)都是以訪問控制思想為策略，物理隔離為基礎(chǔ)，并定義相關(guān)約束和規(guī)則來保障網(wǎng)絡(luò)的安全強(qiáng)度。7.1網(wǎng)絡(luò)隔離概述網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保隔離非法的網(wǎng)絡(luò)攻擊，在保證不可信網(wǎng)絡(luò)和可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)之間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)中的“隔離”一詞與現(xiàn)實(shí)生活中的“隔離”存在某種認(rèn)識(shí)上的區(qū)別，從傳統(tǒng)意義來理解“隔離”使兩個(gè)網(wǎng)絡(luò)真正分開，但這樣來談網(wǎng)絡(luò)安全是沒有任何意義的。事實(shí)上，網(wǎng)絡(luò)安全中的“隔離”后的兩個(gè)網(wǎng)絡(luò)并非完全沒有聯(lián)系，還是需要有正常的應(yīng)用層數(shù)據(jù)交換的。網(wǎng)絡(luò)隔離技術(shù)主要分為物理網(wǎng)絡(luò)隔離技術(shù)和邏輯網(wǎng)絡(luò)隔離。7.2物理網(wǎng)絡(luò)隔離7.2物理網(wǎng)絡(luò)隔離物理網(wǎng)絡(luò)隔離是通過專用硬件和安全協(xié)議來確保兩個(gè)鏈路層斷開的網(wǎng)絡(luò)能夠?qū)崿F(xiàn)數(shù)據(jù)信息在可信網(wǎng)絡(luò)環(huán)境中進(jìn)行交互、共享。一般情況下，網(wǎng)絡(luò)隔離技術(shù)主要包括內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和專用隔離交換單元三部分內(nèi)容，其中，內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元都具備一個(gè)獨(dú)立的網(wǎng)絡(luò)接口和網(wǎng)絡(luò)地址來分別對(duì)應(yīng)連接內(nèi)網(wǎng)和外網(wǎng)，而專用隔離交換單元?jiǎng)t是通過硬件電路控制高速切換連接內(nèi)網(wǎng)或外網(wǎng)。物理網(wǎng)絡(luò)隔離技術(shù)的基本原理通過專用物理硬件和安全協(xié)議在內(nèi)網(wǎng)和外網(wǎng)的之間架構(gòu)起安全隔離網(wǎng)墻，使兩個(gè)系統(tǒng)在空間上物理隔離，同時(shí)又能過濾數(shù)據(jù)交換過程中的病毒、惡意代碼等信息，以保證數(shù)據(jù)信息在可信的網(wǎng)絡(luò)環(huán)境中進(jìn)行交換、共享，同時(shí)還要通過嚴(yán)格的身份認(rèn)證機(jī)制來確保用戶獲取所需數(shù)據(jù)信息。物理安全隔離產(chǎn)品常見的有物理隔離卡、物理隔離集線器和物理隔離網(wǎng)閘3大類。7.2.1物理隔離卡物理隔離卡（也稱“網(wǎng)絡(luò)安全隔離卡”，NETSECURITYSEPARATECARD）是物理隔離的低級(jí)實(shí)現(xiàn)形式，屬于端設(shè)備物理隔離設(shè)備，通過物理隔離的方式，在二個(gè)網(wǎng)絡(luò)間轉(zhuǎn)換時(shí)，保證計(jì)算機(jī)的數(shù)據(jù)在網(wǎng)絡(luò)之間不被重用。7.2.1物理隔離卡物理隔離卡包括雙硬盤物理隔離卡和單硬盤物理隔離卡。雙硬盤物理隔離卡工作原理是在現(xiàn)有的計(jì)算機(jī)中增加一個(gè)硬盤，通過隔離卡上的控制和開關(guān)電路，實(shí)現(xiàn)工作站在內(nèi)外網(wǎng)雙重工作狀態(tài)，兩個(gè)狀態(tài)是完全物理隔離。當(dāng)一個(gè)硬盤工作時(shí)，另一個(gè)硬盤處于斷電不工作狀態(tài)。單硬盤物理隔離卡工作原理是通過對(duì)單個(gè)硬盤上磁道的讀寫控制技術(shù)，在一個(gè)硬盤上分隔出兩個(gè)工作區(qū)間，這兩個(gè)區(qū)間無法互相訪問。它以物理方式將一臺(tái)電腦虛擬為兩部電腦，實(shí)現(xiàn)工作站的雙重狀態(tài)，既可在安全狀態(tài)，又可在公共狀態(tài)，且兩種狀態(tài)是完全隔離的，從而使一部工作站可在完全安全狀態(tài)下連接內(nèi)外網(wǎng)。安全隔離卡被設(shè)置在PC的物理層上，內(nèi)、外網(wǎng)的連接均需通過網(wǎng)絡(luò)安全隔離卡，在任何時(shí)候，數(shù)據(jù)只能通往一個(gè)分區(qū)。在安全狀態(tài)時(shí)，主機(jī)只能使用硬盤的安全區(qū)與內(nèi)部網(wǎng)連接，而此時(shí)外部網(wǎng)（如Internet）連接是斷開的，且硬盤的公共區(qū)的通道是封閉的；在公共狀態(tài)時(shí)，主機(jī)只能使用硬盤的公共區(qū)與外部網(wǎng)連接，而此時(shí)與內(nèi)部網(wǎng)是斷開的，且硬盤安全區(qū)也是被封閉的7.2.2物理隔離集線器物理隔離集線器（也稱“網(wǎng)絡(luò)線路選擇器”和“網(wǎng)絡(luò)安全集線器”等，NetSecuritySeparateHub）是一種多路開關(guān)切換設(shè)備，它與物理隔離卡配合使用，對(duì)其發(fā)出檢測(cè)信號(hào)，識(shí)別出所連接的計(jì)算機(jī)，自動(dòng)切換到對(duì)應(yīng)網(wǎng)絡(luò)集線器上進(jìn)行互聯(lián)，從而實(shí)現(xiàn)計(jì)算機(jī)與可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的安全連接與自動(dòng)切換。7.2.3物理隔離網(wǎng)閘1.網(wǎng)閘系統(tǒng)結(jié)構(gòu)物理隔離網(wǎng)閘（也稱“網(wǎng)絡(luò)安全隔離網(wǎng)閘”，NetSecuritySeparateGAP），是利用雙主機(jī)系統(tǒng)和重用隔離交換系統(tǒng)的系統(tǒng)結(jié)構(gòu)，斷開內(nèi)網(wǎng)和外部網(wǎng)絡(luò)，從物理上來隔離阻斷潛在攻擊的連接，確保內(nèi)/外網(wǎng)絡(luò)之間的安全隔離。其中包括一系列的阻斷特征，如沒有通信連接，沒有命令，沒有協(xié)議，沒有TCP/IP連接，沒有應(yīng)用連接，沒有包轉(zhuǎn)發(fā)，只有文件“擺渡”，對(duì)固態(tài)介質(zhì)只有讀和寫兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的安全。7.2.3物理隔離網(wǎng)閘2.網(wǎng)閘工作原理當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時(shí)候，通過網(wǎng)閘時(shí)，首先會(huì)被還原為不包含任何附加信息的純數(shù)據(jù)，經(jīng)過嚴(yán)格檢查數(shù)據(jù)合法性后，按照專用協(xié)議對(duì)這些數(shù)據(jù)進(jìn)行處理和轉(zhuǎn)發(fā)。以電子郵件為例，外部的服務(wù)器立即發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲(chǔ)介質(zhì)。一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。當(dāng)內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請(qǐng)求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲(chǔ)介質(zhì)。因此，在內(nèi)網(wǎng)和外網(wǎng)之間只傳遞“純數(shù)據(jù)”而不傳遞冗余數(shù)據(jù)等存在安全隱患的信息，過濾掉了基于通信協(xié)議漏洞的攻擊，保證內(nèi)/外網(wǎng)之間交換信息的安全性和可靠性。7.3邏輯網(wǎng)絡(luò)隔離7.3邏輯網(wǎng)絡(luò)隔離物理網(wǎng)絡(luò)隔離需要做兩套或幾套網(wǎng)絡(luò)，一般為內(nèi)網(wǎng)、外網(wǎng)。客戶端需要安裝專用的硬件隔離設(shè)備,這種類型雖然很安全但非常昂貴。邏輯網(wǎng)絡(luò)隔離又叫協(xié)議隔離，指處于不同安全域的網(wǎng)絡(luò)在物理上是有連線的，通過協(xié)議轉(zhuǎn)換的手段保證受保護(hù)信息在邏輯上是隔離的，只有被系統(tǒng)要求傳輸?shù)?、?nèi)容受限的信息可以通過。邏輯隔離的核心是協(xié)議，協(xié)議是可定義傳輸方向和被監(jiān)控。傳輸?shù)姆较蚴强煽刂频膯蜗騻鬏?，可雙向。但所有的傳輸是可以被監(jiān)控，非封閉或加密的協(xié)議。被保護(hù)端和公開端間的數(shù)據(jù)傳輸是可以監(jiān)控的。邏輯隔離一般采用兩套或幾套網(wǎng)絡(luò)共用一套網(wǎng)絡(luò)設(shè)備，在網(wǎng)絡(luò)設(shè)備上做配置，使各個(gè)網(wǎng)段不能互相訪問。這種隔離技術(shù)相對(duì)于物理網(wǎng)絡(luò)隔離而言安全性較低，容易泄露數(shù)據(jù)。邏輯網(wǎng)絡(luò)隔離根據(jù)所采用的協(xié)議層次可以從數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層來進(jìn)行。7.3.1VLAN在交換機(jī)支持VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）的場(chǎng)合下，可以采取虛擬局域網(wǎng)隔離的方式，通過使用VLAN標(biāo)簽將事先指定的交換端口保留在各自廣播區(qū)域中，從而實(shí)現(xiàn)邏輯隔離網(wǎng)絡(luò)目的?；赩LAN隔離技術(shù)的網(wǎng)絡(luò)管控措施，在一些規(guī)模不大的小型局域網(wǎng)中得到廣泛的應(yīng)用。VLAN是一個(gè)在物理網(wǎng)絡(luò)上可以根據(jù)用途，工作組、應(yīng)用等來邏輯劃分的局域網(wǎng)絡(luò)，與用戶的物理位置沒有關(guān)系，每個(gè)組之間的網(wǎng)絡(luò)設(shè)備在二層鏈路上互相隔離，形成不同的廣播域。VLAN中的網(wǎng)絡(luò)用戶是通過LAN交換機(jī)來通信的。一個(gè)VLAN中的成員看不到另一個(gè)VLAN中的成員。7.3.1VLANVLAN的功能：（1）端口的分隔。即便在同一個(gè)交換機(jī)上，處于不同VLAN的端口也是不能通信的。這樣一個(gè)物理的交換機(jī)可以當(dāng)作多個(gè)邏輯的交換機(jī)使用。（2）網(wǎng)絡(luò)的安全。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。（3）靈活的管理。更改用戶所屬的網(wǎng)絡(luò)不必?fù)Q端口和連線，只更改軟件配置就可以了。7.3.1VLANVLAN在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為六類：1.基于端口的VLAN2.基于MAC地址的VLAN3.基于網(wǎng)絡(luò)層協(xié)議的VLAN4.根據(jù)IP組播的VLAN5.按策略劃分的VLAN6.按用戶定義、非用戶授權(quán)劃分的VLAN7.3.2VPN1.VPN概述VPN（VirtualPrivateNetwork，VPN）即虛擬專用網(wǎng)絡(luò)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。所以VPN就是在Internet網(wǎng)絡(luò)中建立一條虛擬的專用通道，讓兩個(gè)遠(yuǎn)距離的網(wǎng)絡(luò)客戶能在一個(gè)專用的網(wǎng)絡(luò)通道中相互傳遞資料而不會(huì)被外界干擾或竊聽。VPN屬于遠(yuǎn)程訪問技術(shù)的一種，簡(jiǎn)單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)。例如某公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問就屬于遠(yuǎn)程訪問。7.3.2VPN2.VPN的原理隨著接入互聯(lián)網(wǎng)的計(jì)算機(jī)越來越多，IP地址資源越來越不夠用，因此很多企業(yè)或組織機(jī)構(gòu)在組建內(nèi)部網(wǎng)絡(luò)的時(shí)候都采用私有網(wǎng)絡(luò)地址組網(wǎng)，然而隨著業(yè)務(wù)或者機(jī)構(gòu)的擴(kuò)展，當(dāng)兩個(gè)或多個(gè)都采用私有網(wǎng)絡(luò)地址的局域網(wǎng)需要進(jìn)行直接通信時(shí)，位于這兩個(gè)網(wǎng)絡(luò)之下的計(jì)算機(jī)卻不能互聯(lián)互通。這是因?yàn)樗接芯W(wǎng)絡(luò)地址不能在公用網(wǎng)絡(luò)上進(jìn)行路由。而VPN的原理就是在兩個(gè)采用私有網(wǎng)絡(luò)地址組網(wǎng)的局域網(wǎng)之間通過公用網(wǎng)絡(luò)建立一條專用通道，私有網(wǎng)絡(luò)之間的數(shù)據(jù)經(jīng)過發(fā)送端的設(shè)備封裝，通過在公用網(wǎng)絡(luò)建立的專用通道進(jìn)行傳輸?shù)竭_(dá)目的地，然后再接收端解封裝，還原成私有網(wǎng)絡(luò)的數(shù)據(jù)，再轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。對(duì)于需要通信的兩個(gè)私有網(wǎng)絡(luò)來說，只需要在各自網(wǎng)絡(luò)上增加可以連接在公網(wǎng)上的一臺(tái)特殊設(shè)備即可，而不必在兩個(gè)私有網(wǎng)絡(luò)之間租用一條專用線路，就可以通過公用網(wǎng)絡(luò)進(jìn)行通信。由于VPN是通過公用網(wǎng)絡(luò)傳遞私有網(wǎng)絡(luò)的數(shù)據(jù)，因此，通過VPN傳遞的數(shù)據(jù)需要進(jìn)行加密或者壓縮。通信的雙方通過一系列協(xié)商好的協(xié)議進(jìn)行，從而在私有網(wǎng)絡(luò)之間建立一個(gè)專門的VPN通告。這些設(shè)備和協(xié)議構(gòu)成了一個(gè)完整的VPN系統(tǒng)。7.3.2VPN一個(gè)完整的VPN系統(tǒng)包括以下三個(gè)部分：1）VPN服務(wù)器端VPN服務(wù)器端是能夠接收和驗(yàn)證VPN連接請(qǐng)求，并處理數(shù)據(jù)打包和解包工作的設(shè)備，如一臺(tái)計(jì)算機(jī)或帶VPN功能的路由器等。VPN服務(wù)器端要求擁有一個(gè)獨(dú)立的公網(wǎng)IP。2）VPN客戶端VPN客戶機(jī)端是能夠發(fā)起VPN連接請(qǐng)求，并且也可以進(jìn)行數(shù)據(jù)打包和解包作的設(shè)備，如一臺(tái)計(jì)算機(jī)。VPN客戶端要求能夠接入Internet。3）VPN數(shù)據(jù)通道VPN數(shù)據(jù)通道是一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)鏈接。其實(shí)，所謂的服務(wù)器端和客戶端在VPN連接建立之后，在通信過程中扮演的角色是一樣的，區(qū)別僅在于連接是由誰發(fā)起的而已，發(fā)起連接端為客戶斷，接收連接請(qǐng)求的為服務(wù)器端。7.3.2VPN3.VPN分類VPN按照不同的分類標(biāo)準(zhǔn),VPN有多種分類方式。按照隧道協(xié)議的網(wǎng)絡(luò)分層，VPN可以劃分為第二層隧道協(xié)議和第三層隧道協(xié)議，其中PPTP和L2TP協(xié)議工作在OSI參考模型的第二層即數(shù)據(jù)鏈路層，又稱為二層隧道協(xié)議，IPSec是第三層隧道協(xié)議。第二層和第三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝。按照VPN隧道建立的方式可以分為自愿隧道和強(qiáng)制隧道。自愿隧道是指用戶計(jì)算機(jī)或者路由器可以通過發(fā)送VPN請(qǐng)求配置和創(chuàng)建的隧道。這種方式也稱為基于用戶設(shè)備的VPN。強(qiáng)制隧道是指由VPN服務(wù)提供商配置和創(chuàng)建的隧道。這種方式也稱為基于網(wǎng)絡(luò)的VPN。7.3.2VPN4.VPN的應(yīng)用類型VPN應(yīng)用有遠(yuǎn)程接入VPN、IntranetVPN和ExtranetVPN三種類型。遠(yuǎn)程接入VPN也稱為虛擬專用撥號(hào)網(wǎng)絡(luò)（VPDN），它是一種用戶到LAN的連接，通常用于員工需要從各種遠(yuǎn)程位置連接到專用網(wǎng)絡(luò)的公司。遠(yuǎn)程接入VPN能夠通過第三方服務(wù)提供商在公司專用網(wǎng)絡(luò)和遠(yuǎn)程用戶之間實(shí)現(xiàn)加密的安全連接。IntranetVPN用于將企業(yè)內(nèi)部多個(gè)遠(yuǎn)程位置的局域網(wǎng)加入到一個(gè)專用網(wǎng)絡(luò)中，以便將LAN連接到另一個(gè)LAN。ExtranetVPN加強(qiáng)企業(yè)與用戶、合作伙伴之間的關(guān)系的聯(lián)系，從而可以建立一個(gè)ExtranetVPN，以便將LAN連接到另一個(gè)LAN，同時(shí)讓所有公司都能在一個(gè)共享環(huán)境中工作。7.3.2VPN5.VPN常用的部署方案1）采用純軟件方式，總部安裝VPN軟件網(wǎng)關(guān)，分部安裝VPN分部網(wǎng)關(guān)，移動(dòng)用戶（包括在外的筆記本和遠(yuǎn)程的單機(jī)）安裝VPN客戶端。這種方案有用微軟的操作系統(tǒng)和桌面系統(tǒng)來做的,也有第三方開發(fā)的VPN服務(wù)與客戶端軟件。2）總部采用帶VPN功能防火墻，分部用帶VPN功能的寬帶路由器，移動(dòng)用戶（包括在外的筆記本和遠(yuǎn)程的單機(jī)）安裝防火墻帶的VPN客戶端。VPN防火墻這類設(shè)備相對(duì)一般的帶VPN功能的寬帶路由器來說比較專業(yè)。3）總部采用帶VPN功能寬帶路由器，分部能上寬帶的用帶VPN功能的寬帶路由器，移動(dòng)用戶（包括在外的筆記本和遠(yuǎn)程的單機(jī)）安裝WINDOWS自帶的VPN客戶端。對(duì)于較大的企業(yè)來說可以選擇第二種方案，在網(wǎng)絡(luò)性能方面有更高考慮。因?yàn)樵谑褂肰PN加解密技術(shù)后，數(shù)據(jù)的傳送速度將相應(yīng)下降。小企業(yè)一般采用第三種方案就足夠了。7.3.3路由隔離在計(jì)算機(jī)網(wǎng)絡(luò)中路由器實(shí)現(xiàn)了不同網(wǎng)絡(luò)的相互連接，隨著絡(luò)應(yīng)用的不斷提高，越來越需要對(duì)這種網(wǎng)絡(luò)互連加以一定的限制，而路由器也具有一定的網(wǎng)絡(luò)隔離功能，它的隔離功能主要通過訪問控制技術(shù)來實(shí)現(xiàn)，通過制定訪問控制列表達(dá)到對(duì)數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)進(jìn)行過濾和控制，只允許訪問控制列表中許可的報(bào)文通過路由器進(jìn)行轉(zhuǎn)發(fā)。1.訪問控制列表概述訪問控制列表（AccessControlList,ACL）是一個(gè)路由器配置腳本，它根據(jù)分組報(bào)頭中的條件控制路由器允許還是拒絕分組。ACL是最常用的路由器的軟件功能之一，它還可以用于選擇數(shù)據(jù)流類型，以便對(duì)其進(jìn)行分析、專發(fā)或其他處理。路由器的訪問控制列表是網(wǎng)絡(luò)安全保障的第一道關(guān)卡。訪問列表提供了一種機(jī)制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。默認(rèn)情況下，路由器沒有配置任何ACL，因此不會(huì)過濾數(shù)據(jù)流，進(jìn)入路由器的數(shù)據(jù)流將根據(jù)路由選擇表進(jìn)行路由。如果路由器使用ACL，所有可被路由的分組都將經(jīng)路由器進(jìn)入下一個(gè)網(wǎng)段。7.3.3路由隔離2.ACL作用ACL可以執(zhí)行如下任務(wù)。1）限制網(wǎng)絡(luò)數(shù)據(jù)流以提高網(wǎng)絡(luò)性能。2）提供網(wǎng)絡(luò)流量控制。ACL可限制路由選擇更新的傳輸。如果網(wǎng)絡(luò)狀況不需要更新，便可節(jié)約帶寬。3）提供基本的網(wǎng)絡(luò)安全訪問。ACL可允許某臺(tái)主機(jī)訪問部分網(wǎng)絡(luò)，同時(shí)阻止另一臺(tái)主機(jī)訪問該區(qū)域。例如，只允許特定用戶訪問人力資源網(wǎng)絡(luò)。4）在路由器接口上決定轉(zhuǎn)發(fā)或阻止哪些類型的數(shù)據(jù)流。例如，ACL可允許電子郵件數(shù)據(jù)流，但阻止所有Telnet數(shù)據(jù)流。5）控制客戶端可訪問網(wǎng)絡(luò)的哪些區(qū)域。6）允許或拒絕主機(jī)訪問網(wǎng)絡(luò)服務(wù)。ACL可允許或拒絕用戶訪問特定文件類型，如FTP或HTTP。7.3.3路由隔離3.ACL的工作原理ACL定義了一組規(guī)則，用于控制進(jìn)入入站接口的分組、通過路由器中繼的分組以及經(jīng)路由器出站接口外出的分組。ACL對(duì)路由器本身生成的分組不起作用。ACL要么應(yīng)用于入站數(shù)據(jù)流要么應(yīng)用于出站數(shù)據(jù)流。入站ACL：對(duì)到來的分組進(jìn)行處理后再路由到出站接口。入站ACL的效率很高，因?yàn)槿绻纸M被丟棄，便可避免路由查找開銷。僅當(dāng)分組通過測(cè)試后，路由器才對(duì)其進(jìn)行路由。