基於時間的訪問控制列表

---

介紹

基於時間的訪問控制列表是網路安全工具中的一項功能，它使網路管理員能夠根據一天、一週或一個月中的時間來控制透過網路的流量。這種型別的訪問控制列表允許管理員透過僅允許特定使用者或裝置在特定時間訪問網路來提高安全性，同時阻止其他使用者。

基於時間的訪問控制列表的定義

基於時間的訪問控制列表 (ACL) 是一組用於根據日期和時間引數過濾透過路由器或交換機的資料包的規則。它是訪問控制列表 (ACL) 的擴充套件版本，後者通常僅根據源 IP 地址、目標 IP 地址和埠號過濾傳入和傳出的流量。

使用基於時間的 ACL，您可以根據具體的日期和時間細化此過濾。換句話說，它允許您配置路由器或交換機，以便僅在特定時間允許來自特定來源的流量。

基於時間的訪問控制列表概述

基於時間的訪問控制列表是一種訪問控制列表 (ACL)，它根據時間控制網路流量。它為網路管理員提供了在預定時間限制或允許訪問特定網路資源的能力。基於時間的 ACL 通常用於企業網路中，以執行安全策略並提高網路效能。

什麼是訪問控制列表？

訪問控制列表是一組規則，用於確定哪些流量可以透過路由器或交換機介面。它使用應用於資料包的過濾器，當資料包透過裝置時，將資料包的特性與列表中的規則進行比較，然後決定是轉發還是丟棄資料包。

基於時間的訪問控制列表與標準訪問控制列表有何不同？

基於時間的訪問控制列表與標準訪問控制列表的不同之處在於，它引入了一個額外的引數來過濾流量：時間。雖然標準 ACL 根據源/目標 IP 地址、協議型別和埠號進行過濾，但基於時間的 ACL 在確定是否應允許或拒絕資料包時會考慮當前日期和時間。

使用基於時間的訪問控制列表的好處

使用基於時間的 ACL 的好處包括：

• 增強的安全性：透過按計劃允許/阻止流量，組織可以透過減少非工作時間對威脅的暴露來提高安全性。

• 更好的頻寬管理：在高峰時段限制某些型別的流量可能會透過優先處理關鍵應用程式而不是非關鍵應用程式來提高整體頻寬利用率。

• 簡化的配置：透過利用現有基礎設施而不是購買新的流量管理解決方案，組織可以簡化其整體配置過程，同時仍然確保最大的安全性和效能。

基於時間的訪問控制列表的型別

基於時間的訪問控制列表可以根據使用的時間標準分為各種型別。此分類有助於我們建立更具體和定製的訪問控制列表，以滿足網路管理員和安全人員的需求。

絕對時間型訪問控制列表

絕對時間型訪問控制列表是使用特定的開始和結束日期/時間建立的。這種型別的訪問控制列表非常適合僅在特定時期需要網路資源的情況。

例如，組織可以使用絕對時間型訪問控制列表，僅在工作時間授予員工網際網路訪問許可權。絕對時間型訪問控制列表確保未經授權的使用者在指定時間之外無法訪問寶貴的資源。

週期性時間型訪問控制列表

週期性時間型訪問控制列表允許根據重複的計劃（例如每日、每週或每月計劃）建立規則。這些型別的列表通常用於使用者需要定期但計劃的網路資源訪問的情況。例如，組織可以使用週期性時間型訪問控制列表，每週五晚上 6 點至 10 點授予承包商 VPN 遠端連線許可權。

重複性時間型訪問控制列表

重複性時間型訪問控制列表與週期性時間型訪問控制列表略有不同，因為它們是使用間隔而不是確切的日期/時間建立的。它們比其他型別更靈活，因為您可以根據某些事件（例如帳戶建立或密碼重置）後的天數或週數來設定條件。重複性時間型訪問控制列表為使用者定期需要臨時網路資源訪問的情況提供了一個極好的解決方案，例如在遠端工作人員休假返回後 7 天內授予他們 VPN 遠端連線許可權。

基於時間的 ACL 的配置和實施

在 Cisco 路由器和交換機上配置基於時間的 ACL 的步驟。

在 Cisco 路由器和交換機上配置基於時間的訪問控制列表可以使用與標準訪問控制列表相同的命令來完成。但是，為了確保配置成功，需要採取一些額外的步驟。

要在 Cisco 路由器或交換機上配置基於時間的訪問控制列表，請按照以下步驟操作：

• 使用“access-list”命令，後跟訪問列表編號來建立訪問列表。

• 根據需要使用源和目標 IP 地址和埠定義訪問列表的允許或拒絕語句。

• 使用“time-range”命令，後跟範圍名稱來定義時間範圍。

• 以 24 小時制格式指定此規則何時生效。

• 將新建立的時間範圍應用於先前定義的訪問列表。

如何在各種網路裝置上實施基於時間的 ACL 的示例。

基於時間的訪問控制列表可以在各種網路裝置（例如路由器、交換機和防火牆）上實施。以下是一些實際示例：在 Cisco 路由器上

阻止晚上 10 點到早上 7 點的所有流量

access−list 100 deny ip any any 
time−range night periodic daily 22:00 to 7:00 
interface GigabitEthernet 0/0 ip address dhcp 
ip access−group 100 in ``` On a Juniper Firewall: 

僅在工作時間允許 Web 流量

set firewall family inet filter web−traffic term business−hours from source−address any 
set firewall family inet filter web−traffic term business−hours from protocol tcp set firewall family inet filter web−traffic term business−hours from destination−port http 
set firewall family inet filter web−traffic term business−hours then accept set firewall family inet filter web−traffic term default then deny 
set firewall time−policy business−hours from 09:00 to 17:00 set interfaces ge0/0/0 unit 0 family inet filter input web−traffic  

配置和實施基於時間的 ACL 時應避免的常見錯誤。

在配置和實施基於時間的訪問控制列表時，應避免一些常見的錯誤，因為這些錯誤可能導致網路安全問題。這些包括：

• 配置錯誤的時間 - 在指定訪問限制的確切時間或日期時很容易出錯。這可能導致意外的後果。

• 時間範圍重疊 - 建立重疊的時間範圍可能導致訪問列表行為不可預測。

• 忘記應用 ACL - 建立訪問列表後必須應用它，否則它將不會生效。

• 在實施之前沒有進行測試 - 應始終在測試環境中測試訪問列表配置，然後再將其應用於生產網路裝置。

記住這些常見錯誤並按照正確的配置和實施步驟操作，您可以確保基於時間的訪問控制列表正確設定，而不會對網路安全或效能產生任何負面影響。

結論

基於時間的訪問控制列表是網路安全的重要方面，因為它只允許授權使用者在特定時間訪問網路，同時阻止未經授權的使用者在未經許可的時間訪問網路。透過使用這些列表，網路管理員可以更有效地控制使用者流量，同時更好地控制整個網路。為了確保正確的實施和有效性，必須遵循前面提到的最佳實踐。

否則可能會導致安全漏洞。記住這些最佳實踐並保持警惕，您可以實施基於時間的訪問控制列表，這將有助於有效地保護您的網路安全，同時使您能夠更好地控制它。