基于时间的访问控制列表

---

介绍

基于时间的访问控制列表是网络安全工具中的一项功能，它使网络管理员能够根据一天、一周或一个月中的时间来控制通过网络的流量。这种类型的访问控制列表允许管理员通过仅允许特定用户或设备在特定时间访问网络来提高安全性，同时阻止其他用户。

基于时间的访问控制列表的定义

基于时间的访问控制列表 (ACL) 是一组用于根据日期和时间参数过滤通过路由器或交换机的数据包的规则。它是访问控制列表 (ACL) 的扩展版本，后者通常仅根据源 IP 地址、目标 IP 地址和端口号过滤传入和传出的流量。

使用基于时间的 ACL，您可以根据具体的日期和时间细化此过滤。换句话说，它允许您配置路由器或交换机，以便仅在特定时间允许来自特定来源的流量。

基于时间的访问控制列表概述

基于时间的访问控制列表是一种访问控制列表 (ACL)，它根据时间控制网络流量。它为网络管理员提供了在预定时间限制或允许访问特定网络资源的能力。基于时间的 ACL 通常用于企业网络中，以执行安全策略并提高网络性能。

什么是访问控制列表？

访问控制列表是一组规则，用于确定哪些流量可以通过路由器或交换机接口。它使用应用于数据包的过滤器，当数据包通过设备时，将数据包的特性与列表中的规则进行比较，然后决定是转发还是丢弃数据包。

基于时间的访问控制列表与标准访问控制列表有何不同？

基于时间的访问控制列表与标准访问控制列表的不同之处在于，它引入了一个额外的参数来过滤流量：时间。虽然标准 ACL 根据源/目标 IP 地址、协议类型和端口号进行过滤，但基于时间的 ACL 在确定是否应允许或拒绝数据包时会考虑当前日期和时间。

使用基于时间的访问控制列表的好处

使用基于时间的 ACL 的好处包括：

• 增强的安全性：通过按计划允许/阻止流量，组织可以通过减少非工作时间对威胁的暴露来提高安全性。

• 更好的带宽管理：在高峰时段限制某些类型的流量可能会通过优先处理关键应用程序而不是非关键应用程序来提高整体带宽利用率。

• 简化的配置：通过利用现有基础设施而不是购买新的流量管理解决方案，组织可以简化其整体配置过程，同时仍然确保最大的安全性和性能。

基于时间的访问控制列表的类型

基于时间的访问控制列表可以根据使用的时间标准分为各种类型。此分类有助于我们创建更具体和定制的访问控制列表，以满足网络管理员和安全人员的需求。

绝对时间型访问控制列表

绝对时间型访问控制列表是使用特定的开始和结束日期/时间创建的。这种类型的访问控制列表非常适合仅在特定时期需要网络资源的情况。

例如，组织可以使用绝对时间型访问控制列表，仅在工作时间授予员工互联网访问权限。绝对时间型访问控制列表确保未经授权的用户在指定时间之外无法访问宝贵的资源。

周期性时间型访问控制列表

周期性时间型访问控制列表允许根据重复的计划（例如每日、每周或每月计划）创建规则。这些类型的列表通常用于用户需要定期但计划的网络资源访问的情况。例如，组织可以使用周期性时间型访问控制列表，每周五晚上 6 点至 10 点授予承包商 VPN 远程连接权限。

重复性时间型访问控制列表

重复性时间型访问控制列表与周期性时间型访问控制列表略有不同，因为它们是使用间隔而不是确切的日期/时间创建的。它们比其他类型更灵活，因为您可以根据某些事件（例如帐户创建或密码重置）后的天数或周数来设置条件。重复性时间型访问控制列表为用户定期需要临时网络资源访问的情况提供了一个极好的解决方案，例如在远程工作人员休假返回后 7 天内授予他们 VPN 远程连接权限。

基于时间的 ACL 的配置和实施

在 Cisco 路由器和交换机上配置基于时间的 ACL 的步骤。

在 Cisco 路由器和交换机上配置基于时间的访问控制列表可以使用与标准访问控制列表相同的命令来完成。但是，为了确保配置成功，需要采取一些额外的步骤。

要在 Cisco 路由器或交换机上配置基于时间的访问控制列表，请按照以下步骤操作：

• 使用“access-list”命令，后跟访问列表编号来创建访问列表。

• 根据需要使用源和目标 IP 地址和端口定义访问列表的允许或拒绝语句。

• 使用“time-range”命令，后跟范围名称来定义时间范围。

• 以 24 小时制格式指定此规则何时生效。

• 将新创建的时间范围应用于先前定义的访问列表。

如何在各种网络设备上实施基于时间的 ACL 的示例。

基于时间的访问控制列表可以在各种网络设备（例如路由器、交换机和防火墙）上实施。以下是一些实际示例：在 Cisco 路由器上

阻止晚上 10 点到早上 7 点的所有流量

access−list 100 deny ip any any 
time−range night periodic daily 22:00 to 7:00 
interface GigabitEthernet 0/0 ip address dhcp 
ip access−group 100 in ``` On a Juniper Firewall: 

仅在工作时间允许 Web 流量

set firewall family inet filter web−traffic term business−hours from source−address any 
set firewall family inet filter web−traffic term business−hours from protocol tcp set firewall family inet filter web−traffic term business−hours from destination−port http 
set firewall family inet filter web−traffic term business−hours then accept set firewall family inet filter web−traffic term default then deny 
set firewall time−policy business−hours from 09:00 to 17:00 set interfaces ge0/0/0 unit 0 family inet filter input web−traffic  

配置和实施基于时间的 ACL 时应避免的常见错误。

在配置和实施基于时间的访问控制列表时，应避免一些常见的错误，因为这些错误可能导致网络安全问题。这些包括：

• 配置错误的时间 - 在指定访问限制的确切时间或日期时很容易出错。这可能导致意外的后果。

• 时间范围重叠 - 创建重叠的时间范围可能导致访问列表行为不可预测。

• 忘记应用 ACL - 创建访问列表后必须应用它，否则它将不会生效。

• 在实施之前没有进行测试 - 应始终在测试环境中测试访问列表配置，然后再将其应用于生产网络设备。

记住这些常见错误并按照正确的配置和实施步骤操作，您可以确保基于时间的访问控制列表正确设置，而不会对网络安全或性能产生任何负面影响。

结论

基于时间的访问控制列表是网络安全的重要方面，因为它只允许授权用户在特定时间访问网络，同时阻止未经授权的用户在未经许可的时间访问网络。通过使用这些列表，网络管理员可以更有效地控制用户流量，同时更好地控制整个网络。为了确保正确的实施和有效性，必须遵循前面提到的最佳实践。

否则可能会导致安全漏洞。记住这些最佳实践并保持警惕，您可以实施基于时间的访问控制列表，这将有助于有效地保护您的网络安全，同时使您能够更好地控制它。