基于ACL實現(xiàn)企業(yè)網(wǎng)絡(luò)安全

葉俊洪

[摘 要] 網(wǎng)絡(luò)技術(shù)的發(fā)展，使得網(wǎng)絡(luò)應(yīng)用在各行各業(yè)中得到普及，企業(yè)網(wǎng)絡(luò)的安全管理顯得日益重要。路由交換中配置ACL（訪問控制列表）在一定程度上可以起到安全管理的作用。它應(yīng)用在設(shè)備接口可以過濾設(shè)定類型的數(shù)據(jù)包，也可以通過設(shè)定類型的數(shù)據(jù)包，還可以封閉特定端口防范病毒，從而保障網(wǎng)絡(luò)的安全。以實例來探討ACL在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。

[關(guān) 鍵 詞] ACL訪問控制列表；網(wǎng)絡(luò)安全；企業(yè)網(wǎng)絡(luò)

[中圖分類號] TP393.08 [文獻標志碼] A [文章編號] 2096-0603（2018）17-0112-02

ACL的應(yīng)用可以對上網(wǎng)的權(quán)限進行控制，還可以對各部門之間的訪問進行控制，還能封閉特定端口來防范病毒。ACL的應(yīng)用提高了網(wǎng)絡(luò)的安全性，也使得網(wǎng)絡(luò)管理效率得到提升。在網(wǎng)絡(luò)設(shè)備路由器或三層交換機上，通過使用訪問控制列表（ACL）來執(zhí)行數(shù)據(jù)包過濾，可用來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞、限制終端的通信量、限制網(wǎng)絡(luò)特定的訪問等。

一、ACL的概述

訪問控制列表ACL（AccessControlList）是一種廣泛使用的對數(shù)據(jù)進行過濾的網(wǎng)絡(luò)安全技術(shù)。它對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包進行識別，對符合匹配條件的數(shù)據(jù)包允許通過或拒絕通過。這些匹配條件可以是數(shù)據(jù)包的源地址、目標地址、端口號、協(xié)議類型等等。通過ACL的應(yīng)用，可以為網(wǎng)絡(luò)的訪問提供基本安全保障。

（一）1ACL的分類

主要有：標準ACL、擴展ACL、命名ACL和時間ACL。

1.標準ACL

標準ACL只匹配IP數(shù)據(jù)包中源地址或源地址中的一部分，對匹配的數(shù)據(jù)包可配置允許通過或拒絕通過兩個操作。標準ACL只檢查源地址，通常允許、拒絕的是完整的協(xié)議。其access-list-number為1-99或1300-1999。

2.擴展ACL

擴展ACL與標準ACL相比具有更多的匹配項，它包含有源地址、目標地址、源端口、目標端口、協(xié)議類型等。擴展ACL在應(yīng)用時匹配源地址和目的地址，對匹配的數(shù)據(jù)包通常允許或拒絕某個特定的協(xié)議。其access-list-number值為100-199或2000-2699。

3.命名ACL

命名ACL是用列表名稱來替代列表編號的ACL，它包括了標準ACL和擴展ACL。命名ACL語句的用法與列表編號ACL的用法基本相同，它最大的優(yōu)點在于方便管理。

4.時間ACL時間

ACL可以限制在某個時間范圍內(nèi)才可以允許或拒絕某項服務(wù)。

（二）ACL的使用原則

在路由器中配置ACL時，一種通用規(guī)則是可對每種協(xié)議、每個方向、每個接口配置一個ACL。

二、ACL在網(wǎng)絡(luò)中的應(yīng)用

（一）企業(yè)網(wǎng)絡(luò)拓撲圖

R1連接公司生產(chǎn)基地，R2連接公司總部服務(wù)器，總部與生產(chǎn)基地之間用幀中繼進行連通，主要IP地址配置如圖所示。

（二）實現(xiàn)全網(wǎng)互通

1.核心交換機的主要配置命令

核心交換機的主要配置命令如下：

Switch（config-if）#interfacevlan10

Switch（config-if）#ipaddress172.16.10.254255.255.255.0Switch

（config-if）#noshutdown

同樣的配置命令可以配置VLAN20、VLAN30、VLAN40

Switch（config）#routerrip

Switch（config-router）#version2

Switch（config-router）#noauto-summary

Switch（config-router）#network172.16.0.0

2.路由器R1、R2的主要配置命令

路由器R1的主要配置命令如下：

R1（config）#interfaces1/1

R1（config-if）#ipaddress202.16.60.1255.255.255.0

R1（config-if）#encapsulationframe-relay

R1（config-if）#frame-relaymapip202.16.60.2102broadcast

R1（config-if）#frame-relaylmicisco

R1（config）#routerrip

R1（config-router）#version2

R1（config-router）#noauto-summary

R1（config-router）#net172.16.50.0

R1（config-router）#net202.16.60.0

路由器R2的主要配置命令如下：

R2（config）#interfaces1/0

R2（config-if）#ipaddress202.16.60.2255.255.255.0

R2（config-if）#encapsulationframe-relay

R2（config-if）#frame-relaymapip202.16.60.1201broadcast

R2（config-if）#frame-relaylmicisco

R2（config）#routerrip

R2（config-router）#version2

R2（config-router）#noauto-summary

R2（config-router）#network202.16.60.0

R2（config-router）#network202.16.70.0

（三）網(wǎng)絡(luò)中應(yīng)用ACL，實現(xiàn)對交換、路由設(shè)備及網(wǎng)絡(luò)的安全控制

1.只允許網(wǎng)管訪問路由器R1、路由器R2的Telnet服務(wù)

R1、R2主要命令配置如下：

R1（config）#access-list10permithost172.16.30.1

R1（config）#linevty04

R1（config-line）#access-class10in

R1（config-line）#passwordabc

R1（config-line）#login

同樣的命令可以配置到R2。

2.允許會計部可以訪問財務(wù)服務(wù)器及WWW、FTP服務(wù)器，其他部門的計算機能訪問WWW、FTP服務(wù)器，不能訪問財務(wù)服務(wù)器

R2的主要配置命令

R2（config）#ipaccess-listextended101

R2（config-ext-nacl）#permitipanyhost202.16.70.253

R2（config-ext-nacl）#permitip172.16.40.00.0.0.255host

202.16.70.254

R2（config）#interfacef0/0

R2（config）#ipaccess-group101out

3.限制數(shù)據(jù)流流向

銷售部管理部主機上存有敏感資料和數(shù)據(jù)，因此不能讓生產(chǎn)部訪問，但是銷售部可以訪問生產(chǎn)部的計算機，以便隨時了解生產(chǎn)情況，要實現(xiàn)此功能可在核心交換上進行如下配置：

Sw（config）#access-list102denytcp192.168.10.00.0.0.255192.

168.20.00.0.0.255established

//禁止生產(chǎn)部訪問銷售部

Sw（config）#access-list102permittcpanyany

Sw（config）#intvlan10//應(yīng)用在生產(chǎn)部所在的vlan10

Sw（config-if）#ipaccess-group100in

4.上網(wǎng)權(quán)限設(shè)置

限制生產(chǎn)部辦公室機房里上QQ，那么可以在中心機房的核心交換機里設(shè)置ACL，使用擴展ACL對QQ服務(wù)器及端口進行過濾，在核心交換機上配置命令如下：

Sw（config）#ipaccess-listextendeddenyqq

Sw（config-ext-nacl）#denyudpanyhost61.144.238.145

……

Sw（config-ext-nacl）#permitipanyany

Sw（config）interfacef0/1

Sw（config-if）#ipaccess-groupdenyqqout

5.上網(wǎng)時間的訪問控制

如禁止生產(chǎn)部在工作日的8：00to12：00時訪問外網(wǎng)，R1路由器主要配置命令如下：

R1（config）#time-rangehttp

R1（config-time-range）#periodicweekday8：00to12：00

R1（config）#access-list103denytcp192.168.10.00.0.0.

255anyeqhttp

R1（config）#access-list103permittcpanyany

R1（config）#interfaces1/1

R1（config）#ipaccess-group103out

6.使用ACL禁用端口防止病毒

病毒大多是通過TCP/UDP端口來傳播的，在路由器R1配置如下的訪問列表：

R1（config）#ipaccess-listextendedbingdu

……

R1（config-ext-nacl）#denyudpanyanyeq445

R1（config-ext-nacl）#permitipanyany

R1（config）#interfaces1/1

R1（config-if）#ipaccess-groupbingduin

其余端口控制ACL命令與上面類似。

ACL是一種流量控制技術(shù)。流量管理的目的是阻止不需要的流量通過，同時，允許合法用戶流量能夠通過并能訪問相應(yīng)的網(wǎng)絡(luò)服務(wù)。ACL的配置應(yīng)用，有效地實現(xiàn)了對數(shù)據(jù)流量的控制，在一定程度上保障了網(wǎng)絡(luò)的安全運行。網(wǎng)絡(luò)安全是一個復(fù)雜的問題，要考慮安全層次、技術(shù)難度及經(jīng)費支出等因素，ACL應(yīng)用于小中型企業(yè)網(wǎng)絡(luò)是比較經(jīng)濟的做法。

參考文獻：

[1]王坦，徐愛超，郭學(xué)義，等.基于ACL的網(wǎng)絡(luò)安全策略應(yīng)用研究計算機安全[J].計算機安全，2014（9）.

[2]高煥超.ACL技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用電腦知識與技術(shù)[J].電腦知識與技術(shù)，2014（1）.

[3]魏大新，李育龍.CISCO網(wǎng)絡(luò)技術(shù)教程[M].電子工業(yè)出版社，2004.