Cisco路由器ACL配置實現網絡安全策略

摘 要：隨著中小企業(yè)信息化水平的不斷提高，中小企業(yè)信息安全問題越來越為嚴重，針對大型企業(yè)提供的信息安全技術和設備，雖然能為中小企業(yè)提供相應的信息安全能力，但其專業(yè)性較強、成本較高，增加了中小企業(yè)的負擔。ACL技術即訪問列表控制技術，僅需利用路由器即可實現網絡安全控制，成本低廉實現簡單，能很好的滿足中小企業(yè)信息安全的需要，具有極高的應用價值。本文以Cisco路由器為例，就如何通過ACL配置利用路由器實現網絡安全策略進行探討，可供中小企業(yè)借鑒。

關鍵詞：Cisco路由器；ACL配置；網絡安全；訪問控制

中圖分類號：TP393.08

信息化技術能有利的提升企業(yè)經營效率，是整個社會經濟發(fā)展的必由之路。近年來，我國中小企業(yè)信息化水平得到了極大的提高，大多數中小企業(yè)都構建起了自身的網絡系統(tǒng)，運用計算機技術、網絡技術、信息化技術進行企業(yè)經營管理，對促進我國中小企業(yè)競爭能力的提升起著重要作用。

1 ACL技術基本原理

1.1 ACL技術實現途徑

ACL技術是利用路由器和交換機接口的指令列表，來控制端口進出數據包的技術。這種技術適用于所有被路由協議之中，僅需要對訪問控制列表進行關系匹配、條件查詢，即可進行訪問控制。這種技術是一種包過濾技術，通過讀取包頭信息與定義好的匹配規(guī)則進行比較實現包過濾，允許和拒絕相應的訪問，從而達到訪問控制的需要。在ACL工作過程中，當收到數據包后路由器先對數據包進行檢查，如果數據包可路由則通過訪問控制列表找出接口，如果該出口沒有被編入ACL則直接從該口送出，如果被編入ACL則進行匹配執(zhí)行，進行相應的處理。

1.2 ACL技術常見類型

目前常用的ACL技術可分為標準訪問控制列表和擴展訪問控制列表兩類，進一步可細分為標準IP訪問控制列表、擴展IP訪問控制列表、命名IP訪問控制列表三種。標準訪問列表控制級別相對較低，只根據分組內源地址或一部分進行控制，編號范圍在1-99之間。擴展IP訪問控制列表擁有更多匹配項，包括源地址、源端口、目的地址、目的端口、IP優(yōu)先級、協議類型等，擴充性和靈活性更強，其編號在100-199之間。命名IP訪問控制列表則是以列表名來代替IP編號，這種方式突破了99個標準列表和100個擴展列表的數目限制，能直觀的反映訪問列表完成的功能，擴展較為容易。

1.3 ACL技術實現規(guī)則

在ACL配置中極為靈活，應用中必須注意一些基本規(guī)則。在權限賦予中，只能給予受控對象完成任務所需的最小權限，如果只是滿足部分條件則訪問拒絕。在訪問控制過程中，ACL匹配是采用自上而下逐條匹配的方式，當發(fā)現符合條件時則立即執(zhí)行，而不會繼續(xù)對下面的ACL語句進行檢測，因此要保證匹配規(guī)則最靠近受控對象。在ACL語句中，默認的最后一條是丟充所有不符合條件的數據包，采用默認丟棄原則，在實際應用中要根據需要進行修正，避免造成不必要的問題。同時，ACL所采用的是包過濾技術，其過濾依據為第三層和第四層包頭信息，對具體個人、權限級別等的識別能力不足，在實際應用中還需要結合其它訪問權限控制策略共同進行，而不能僅依靠ACL技術來進行網絡安全管理。

2 Cisco路由器ACL配置實踐

2.1 案例簡介

某企業(yè)將網絡結構分為客戶接待和管理層兩部分，應用企業(yè)內部服務器進行企業(yè)信息管理。企業(yè)內部所有接入企業(yè)內網的計算機都可以聯網，客戶接待部計算機與管理層計算機之間、路由器之間均可以互相訪問。客戶機不能直接訪問企業(yè)內部服務器，管理層可以訪問企業(yè)內部服務器，但不同管理職能部門，包括如財務部、業(yè)務部等所的訪問權限需要進行控制，外網對企業(yè)內部服務器的訪問權限也需要進行控制。該企業(yè)路由器采用Cisco1841，有服務器一臺，客戶接待部計算機8臺，管理層計算機12臺，管理層計算機分為4個部門，網絡拓撲結構如圖1：

圖1

2.2 ACL配置分析

在該企業(yè)中，路由器以端口E0連接行政部，網段為192.168.1.0；以端口E1連接人事部，網段為192.168.2.0；以端口E2連接財務部，網段為192.168.3.0；以端口E3連接后勤部，網段為192.168.4.0；以端口E4連接客戶接待部，網段為192.168.5.0；以端口E5連接服務器，網段為192.168.6.0。路由器E0-E5端口IP地址分別為192.168.1.1、192.168.2.1、192.168.3.1、192.168.4.1、192.168.5.1、192.168.6.1。其中，行政部計算機三臺，IP地址分別為192.168.1.11、192.168.1.12、192.168.1.13；人事部計算機兩臺，IP地址分別為192.168.2.11、192.168.2.12；財務部計算機四臺，IP地址分別為192.168.3.11、192.168.3.12、192.168.3.13、192.168.3.14；后勤部計算機三臺，IP地址分別為192.168.4.11、192.168.4.12、192.168.4.13；客戶接待部計算機八臺，IP地址分別為192.168.5.11-192.168.5.18；服務器兩臺，IP地址分別為192.168.6.11和192.168.6.12。需要利通過路由器利用ACL配置，來實現企業(yè)的網絡安全策略，對行政部、財務部、人事部、后勤部、客戶接待部對網絡和數據安全的不同要求進行安全控制。由于篇幅原因，本文僅只對部分ACL配置進行概述。

2.3 構建單向訪問控制策略

在本企業(yè)應用中，財務部計算機主要用于財務管理工作，存儲處理企業(yè)財務數據，這些數據不能讓客戶接待部所訪問，但財務部需要從客戶接待部采集相關財務信息，需要訪問客戶接待部計算機，因此需要構建單向訪問控制策略。

配置成功后，客戶接待部所處的192.168.4.0網段不能訪問財務部的192.168.3.0網段，但財務部網段也不能訪問客戶接待部網段。因為路由器E2端口的訪問控制策略阻止了客戶接待部發(fā)送和回復的所有數據包，需要采用擴展訪問控制列表來構建起單向訪問控制策略。

通過配置，當TCP連接建立時，數據包在路由器E4端口in方向上檢查通過，則數據包可以通過，但如果是192.168.4.0網段向192.168.3.0網段發(fā)起數據包，則不被確認而拒絕通過。通過單向訪問配置，則客戶接待部計算機不能任意訪問財務部計算機，而財務部計算機可以訪問客戶接待部計算機。

2.4 服務器資源訪問控制策略

客戶服務部計算機連接入內部網絡，即表示客戶服務部計算機可以訪問內部服務器資源，該企業(yè)內部服務器分別為FTP服務器和WWW服務器，FTP服務器提供企業(yè)信息資源的存儲管理服務，WWW服務器提供WWW服務?？蛻舴詹坑嬎銠C不需要訪問企業(yè)內部信息資源，僅需要提供WWW服務。

參考文獻：

[1]莫林利.使用ACL技術的網絡安全策略研究及應用[J].華東交通大學學報，2009（12）.

[2]白帆，羅進文.訪問控制列表的配置與實現[J].電腦知識與技術，2009（08）.

作者單位：長慶鉆井總公司，西安 710018