淺析通過路由器ACL功能加固局域網(wǎng)安全的措施

李江靈

摘 要：隨著IT技術(shù)的飛速發(fā)展和深入應(yīng)用。計算網(wǎng)絡(luò)在人們生活中扮演者越來越不可或缺的角色。不管是企業(yè)還是政府、學(xué)校、商業(yè)領(lǐng)域網(wǎng)絡(luò)都成為產(chǎn)品代言的依托。正因為網(wǎng)絡(luò)的重要性、普通性及開放性使得網(wǎng)絡(luò)容易受到外界的攻擊。因此網(wǎng)絡(luò)安全問題成為困擾各行各業(yè)的主要技術(shù)問題。雖然面對當(dāng)前的網(wǎng)絡(luò)社會和法制社會我國出臺一套相應(yīng)安全的網(wǎng)絡(luò)法制體系。只是從人為因素上規(guī)范網(wǎng)絡(luò)的使用。但致命的問題還在于技術(shù)。所以本文從網(wǎng)絡(luò)安全中局域網(wǎng)安全區(qū)分析如何通過現(xiàn)有的網(wǎng)絡(luò)硬件比如路由器的ACL功能去如何加固局域網(wǎng)的安全。

關(guān)鍵詞：路由器；ACL功能；局域網(wǎng)；安全措施

1 ACL概述

ACL是Access？Control？List（訪問控制列表）的英文縮寫。在介紹標準訪問控制列表之前我們應(yīng)該明白路由器是工作在OSI七層參考模型的網(wǎng)際層，而網(wǎng)際層是基于IP地址協(xié)議的數(shù)據(jù)傳輸。標準訪問控制列表是一種基于包過濾的流控制技術(shù)，在路由器中被采用，它可以有效的在三層上控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，既可以具體到兩臺網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進行大范圍的訪問控制管理。通過實施標準訪問控制列表，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略，也可以用來控制對局域網(wǎng)內(nèi)部資源的訪問能力，保障資源安全性，但會增加路由器開銷，也會增加管理的復(fù)雜度和難度，是否采用標準訪問控制列表技術(shù)，是管理效益與網(wǎng)絡(luò)安全之間的一個權(quán)衡。初期僅在路由器上支持標準訪問控制列表，近些年來已經(jīng)擴展到三層交換機，部分二層交換機如2950之類也開始提供標準訪問控制列表的支持。

2 ACL工作原理

ACL（Access Control List，訪問控制列表），是應(yīng)用在路由器接口上的指令列表，這張表中包含了匹配關(guān)系、條件和查詢語句，這些指令通過路由器哪些數(shù)據(jù)包分組可以接收，哪些數(shù)據(jù)包分組需要拒絕。訪問控制列表又可分為（標準訪問控制列表）和（擴展訪問控制列表）。其中標準訪問控制列表是基于源地址做為判斷依據(jù)。擴展標準訪問控制列表是基于源地址、目標地址、源端口、目標端口等做為判斷依據(jù)。不論是標準訪問控制列表還是擴展標準訪問控制列表，標準訪問控制列表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進行控制，使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

3 ACL實際應(yīng)用案例解析

問題：假設(shè)我們在構(gòu)建大學(xué)校園網(wǎng)的時候，只允許行政人員上班時間只能訪問互聯(lián)網(wǎng)上的WEB，F(xiàn)TP和電子郵件等常用服務(wù)。拒絕BT、電驢、在線電影、網(wǎng)絡(luò)游戲甚至QQ、MSN等與工作無關(guān)的數(shù)據(jù)，如圖1

問題分析：只允許行政人員上班時間只能訪問互聯(lián)網(wǎng)上的WEB，F(xiàn)TP和電子郵件等常用服務(wù)。可以用三層交換機 ACL 實現(xiàn)在交換機上劃分VLAN，案列中具體劃分為VLAN1、2、3、4。

目的是為了實現(xiàn)VLAN間通信，端口VLAN分配：0/1-4：VLAN 1； 0/5：VLAN 2常用的服務(wù)如下：Web ： TCP 80（HTTP）、443（HTTPS）；FTP ： TCP 20（FTP-Data）、21（FTP-Connect）；E-Mail ： TCP 25（SMTP）、110（POP3）、143（IMAP4）；DNS ：UDP 53、TCP 53；Telnet ：TCP 23；MSN Messenger：TCP 1863；Ping （ICMP type 8），……

因此我們就可以創(chuàng)建一張訪問控制列表，在訪問控制列表中開放相應(yīng)的服務(wù)，禁止不相關(guān)服務(wù)就可以實現(xiàn)，具體如下：

ip access-list extended port_permit（創(chuàng)建訪問控制列表）

permit tcp any any eq 20

permit tcp any any eq 21

permit tcp any any eq 23

permit tcp any any eq 25

permit tcp any any eq 53

permit udp any any eq 53

permit tcp any any eq 80

permit tcp any any eq 110

permit tcp any any eq 143

permit tcp any any eq 443

permit tcp any any eq 1863

permit icmp any any 8

deny ip any any （隱含拒絕所有，可不用配置）

將訪問控制列表應(yīng)用到接口：

interface Vlan 1

ip access-group port_permit in

interface Vlan 2

ip access-group port_permit in

用戶訪問外網(wǎng)時，數(shù)據(jù)包會發(fā)送至缺省網(wǎng)關(guān)，即相應(yīng) vlan interface接口。在數(shù)據(jù)包入站時，三層交換機根據(jù)配置在vlan interface入站方向 （in） 的ACL過濾數(shù)據(jù)。

4 使用ACL加固局域網(wǎng)安全措施

我們在架構(gòu)具體網(wǎng)絡(luò)時根據(jù)所選用設(shè)備的不同而采用相應(yīng)的安全措施，在使用ACL訪問控制列表時我們可以視具體情況采用以下三種方法：

①標準IP地址訪問控制列表： 一個標準IP地址訪問控制列表匹配IP地址包中的源地址或源地址中的一部分，可對相配的包裝采取拒絕或允許兩個操作。編號范圍從1到99的訪問控制列表是標準IP地址訪問控制列表。

②擴展IP地址訪問控制列表： 擴展IP地址訪問控制列表比標準IP地址訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP地址優(yōu)先級等。編號范圍從100到199的訪問控制列表是擴展IP地址訪問控制列表。

③命名的地址訪問控制列表： 所謂命名的地址訪問控制列表是以列表名代替列表編號來定義地址訪問控制列表，同樣包括標準和擴展兩種列表，定義過濾的句子與編號方式中相類似。 實際依據(jù)具體的需要而選用不同的控制列表。

總之，路由器訪問表是網(wǎng)絡(luò)防御外來安全威脅的第一關(guān)，它是通過允許或拒絕信息流通過路由器的接口來實現(xiàn)的一種機制。通過人為配置ACL后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL，禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò)，或者只能使用FTP服務(wù)。ACL既可以在路由器上安裝，也可以在具有ACL功能的應(yīng)用軟件上進行安裝。

參考文獻：

[1]鮑蓉主編.網(wǎng)絡(luò)工程教程[M].中國電力出版社 .

[2]雷震甲主編.網(wǎng)絡(luò)工程師教程[M].清華大學(xué)出版社.

[3]車世安，賀全榮.局域網(wǎng)組建、管理及維護實用教程[M].清華大學(xué)出版社.

[4]《IEEE802.1X技術(shù)白皮書V10》.北京港灣網(wǎng)絡(luò)有限公司產(chǎn)品部.

[5]田園主編.網(wǎng)絡(luò)安全教程[M].人民郵電出版社.

[6]魏亮編著.路由器原理與應(yīng)用[M].人民郵電出版社.