在企业网络中,数据备份的安全性往往依赖于底层的网络策略。其中,访问控制列表(ACL)是决定哪些设备能通信、哪些流量被拦截的关键机制。很多人一听到ACL就想到“标准”和“扩展”,但真正用起来才发现它们差得挺远。
标准ACL:简单粗暴的源地址过滤
标准ACL只根据数据包的源IP地址做判断,规则写起来也简单。比如你想让192.168.10.0网段的设备访问备份服务器,其他一律挡在外面,就可以这样写:
access-list 10 permit 192.168.10.0 0.0.0.255这条规则编号是10,属于标准ACL的范围(1-99)。它只会看是谁发来的包,不管要去哪、用什么端口。这种“一刀切”的方式适合对安全性要求不高、结构简单的网络。
扩展ACL:精细到端口和协议的管控
可一旦你的备份系统用了特定端口,比如rsync走TCP 873,或者你只想放行备份流量而不让其他服务通过,标准ACL就无能为力了。这时候就得上扩展ACL。
扩展ACL能同时匹配源地址、目标地址、协议类型、源端口、目标端口等信息。比如这条规则只允许从财务部网段向备份服务器发送rsync请求:
access-list 101 permit tcp 192.168.20.0 0.0.0.255 host 10.1.1.100 eq 873编号101属于扩展ACL范围(100-199),这里明确指定了协议是TCP,目标主机是10.1.1.100,端口是873。其他任何流量,哪怕来自同一网段,也会被默认拒绝。
位置差异带来的影响
标准ACL因为判断依据少,通常建议部署在离目标远的地方,比如靠近源端。而扩展ACL由于规则更精确,更适合放在靠近目标的位置,避免不必要的流量进入核心网络。
举个例子,公司总部有一台集中备份服务器。如果在总部入口用标准ACL拦掉非授权网段,看起来省事,但所有被允许的网段内部任何设备都能尝试连接。万一某个终端中了病毒,它就能随便往备份系统发垃圾数据。换成扩展ACL,在总部侧只开放指定端口,风险就小多了。
命名ACL:更灵活的管理方式
现在不少设备支持命名ACL,写法更直观。比如你可以把一条规则叫做“Allow_Backup_From_Finance”:
ip access-list extended Allow_Backup_From_Finance
permit tcp 192.168.20.0 0.0.0.255 host 10.1.1.100 eq 873比起冷冰冰的数字编号,名字更容易理解,后期维护时也不容易出错。虽然这不属于“标准”或“扩展”的分类范畴,但它是建立在扩展ACL基础上的升级用法。
在实际运维中,选哪种ACL不是看技术多先进,而是看场景需不需要。小公司做本地备份,用标准ACL配个源地址就够了;大一点的环境,尤其是跨部门、多服务混跑的,还是得靠扩展ACL把门看紧。