访问控制解决安全策略中如何实施访问及允许访问什么内容的问题

鉴别解决安全策略中谁实施访问的问题，而访问控制解决安全策略中如何实施访问及允许访问什么内容的问题。

1.ACL和路由器

路由器的主要任务是定向网络流量，它们将流量发送到自己所控制的子网，或者发送给其他路由器，以便随后传递到其他子网。路由器将外部IP地址转换成本地子网中对应主机的内部MAC地址。

假设有一台主机被一台恶意的“无赖”主机发来的数据包塞满了（被淹没了）。可以配置路由器的访问控制列表（Access Control List，ACL），使其拒绝某些特定主机对另一些特定主机的访问。这样，路由器就可以删除源地址是某台“无赖”主机的数据包，以及目的地址是某台目标主机的数据包。

然而，这种方法存在着3个问题。第一个问题是，一个大型网络中的路由器要完成大量工作：它们必须处理流入和流出网络的每一个包。在路由器中增加一些ACL就要求路由器将每一个包与这些ACL进行比较。增加一个ACL就会降低路由器的性能；增加的ACL太多，就会使路由器的性能变得不能接受。第二个问题也是一个效率问题：因为路由器要做大量工作，所以它们被设计成仅仅提供一些必需的服务。日志记录工作通常不会在路由器上进行处理，因为需要处理的通信量非常大，如果再记录日志，就会降低性能。然而，对ACL而言，日志却是很有用的，从日志中可以知道有多少包被删除了，以及知道一个特定的ACL是否可以被删除（以此来提高性能）。但是，由于路由器不提供日志记录服务，所以不可能知道一个ACL是否被使用了。这两个问题共同暗示了：路由器上的ACL是最有效的防止已知威胁的方法，但却不能不加选择地使用它们。

在路由器上设置ACL的第三个问题是出于对攻击本身的考虑。路由器仅仅查看源和目的地址，然而，攻击者通常不会暴露实际的源地址。(www.xing528.com)

由于在UDP数据报中可以很容易地伪造任何源地址，所以许多攻击者都使用有伪造源地址的UDP实施攻击，以便攻击不会轻易地被一个有ACL的路由器所阻止，因为路由器的ACL仅仅是在攻击者发送很多使用相同的伪造源地址的数据报时才会有用。

从总体上来说，路由器是一个出色的访问控制点，因为它处理了子网中每一个流入和流出的包。在某些特定环境下（主要是指内部子网），可以有效地使用ACL来限制某些通信流，如只允许某些主机（地址）访问一个内部网络的管理子网。但是如果在大型网络中，过滤普通流量，路由器不如防火墙管用。

2.防火墙

防火墙被设计用来完成不适合路由器做的过滤工作。这样，路由器的主要功能是寻址，而防火墙的主要功能是过滤。当然，防火墙也可以做一些审计工作。而且更重要的是，防火墙甚至可以检查一个包的全部内容，包括数据部分。而路由器仅仅关心源和目的MAC地址与IP地址。由于它们是极为重要的网络安全控制措施，所以下一节用全部篇幅来研究防火墙。