葉俊洪

[摘 要] 網(wǎng)絡(luò)技術(shù)的發(fā)展，使得網(wǎng)絡(luò)應(yīng)用在各行各業(yè)中得到普及，企業(yè)網(wǎng)絡(luò)的安全管理顯得日益重要。路由交換中配置ACL（訪問控制列表）在一定程度上可以起到安全管理的作用。它應(yīng)用在設(shè)備接口可以過濾設(shè)定類型的數(shù)據(jù)包，也可以通過設(shè)定類型的數(shù)據(jù)包，還可以封閉特定端口防范病毒，從而保障網(wǎng)絡(luò)的安全。以實(shí)例來探討ACL在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。

[關(guān) 鍵 詞] ACL訪問控制列表；網(wǎng)絡(luò)安全；企業(yè)網(wǎng)絡(luò)

[中圖分類號(hào)] TP393.08 [文獻(xiàn)標(biāo)志碼] A [文章編號(hào)] 2096-0603（2018）17-0112-02

ACL的應(yīng)用可以對(duì)上網(wǎng)的權(quán)限進(jìn)行控制，還可以對(duì)各部門之間的訪問進(jìn)行控制，還能封閉特定端口來防范病毒。ACL的應(yīng)用提高了網(wǎng)絡(luò)的安全性，也使得網(wǎng)絡(luò)管理效率得到提升。在網(wǎng)絡(luò)設(shè)備路由器或三層交換機(jī)上，通過使用訪問控制列表（ACL）來執(zhí)行數(shù)據(jù)包過濾，可用來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞、限制終端的通信量、限制網(wǎng)絡(luò)特定的訪問等。

一、ACL的概述

訪問控制列表ACL（AccessControlList）是一種廣泛使用的對(duì)數(shù)據(jù)進(jìn)行過濾的網(wǎng)絡(luò)安全技術(shù)。它對(duì)經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包進(jìn)行識(shí)別，對(duì)符合匹配條件的數(shù)據(jù)包允許通過或拒絕通過。這些匹配條件可以是數(shù)據(jù)包的源地址、目標(biāo)地址、端口號(hào)、協(xié)議類型等等。通過ACL的應(yīng)用，可以為網(wǎng)絡(luò)的訪問提供基本安全保障。

（一）1ACL的分類

主要有：標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、命名ACL和時(shí)間ACL。

1.標(biāo)準(zhǔn)ACL

標(biāo)準(zhǔn)ACL只匹配IP數(shù)據(jù)包中源地址或源地址中的一部分，對(duì)匹配的數(shù)據(jù)包可配置允許通過或拒絕通過兩個(gè)操作。標(biāo)準(zhǔn)ACL只檢查源地址，通常允許、拒絕的是完整的協(xié)議。其access-list-number為1-99或1300-1999。

2.擴(kuò)展ACL

擴(kuò)展ACL與標(biāo)準(zhǔn)ACL相比具有更多的匹配項(xiàng)，它包含有源地址、目標(biāo)地址、源端口、目標(biāo)端口、協(xié)議類型等。擴(kuò)展ACL在應(yīng)用時(shí)匹配源地址和目的地址，對(duì)匹配的數(shù)據(jù)包通常允許或拒絕某個(gè)特定的協(xié)議。其access-list-number值為100-199或2000-2699。

3.命名ACL

命名ACL是用列表名稱來替代列表編號(hào)的ACL，它包括了標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。命名ACL語句的用法與列表編號(hào)ACL的用法基本相同，它最大的優(yōu)點(diǎn)在于方便管理。

4.時(shí)間ACL時(shí)間

ACL可以限制在某個(gè)時(shí)間范圍內(nèi)才可以允許或拒絕某項(xiàng)服務(wù)。

（二）ACL的使用原則

在路由器中配置ACL時(shí)，一種通用規(guī)則是可對(duì)每種協(xié)議、每個(gè)方向、每個(gè)接口配置一個(gè)ACL。

二、ACL在網(wǎng)絡(luò)中的應(yīng)用

（一）企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

R1連接公司生產(chǎn)基地，R2連接公司總部服務(wù)器，總部與生產(chǎn)基地之間用幀中繼進(jìn)行連通，主要IP地址配置如圖所示。

（二）實(shí)現(xiàn)全網(wǎng)互通

1.核心交換機(jī)的主要配置命令

核心交換機(jī)的主要配置命令如下：

Switch（config-if）#interfacevlan10

Switch（config-if）#ipaddress172.16.10.254255.255.255.0Switch

（config-if）#noshutdown

同樣的配置命令可以配置VLAN20、VLAN30、VLAN40

Switch（config）#routerrip

Switch（config-router）#version2

Switch（config-router）#noauto-summary

Switch（config-router）#network172.16.0.0

2.路由器R1、R2的主要配置命令

路由器R1的主要配置命令如下：

R1（config）#interfaces1/1

R1（config-if）#ipaddress202.16.60.1255.255.255.0

R1（config-if）#encapsulationframe-relay

R1（config-if）#frame-relaymapip202.16.60.2102broadcast

R1（config-if）#frame-relaylmicisco

R1（config）#routerrip

R1（config-router）#version2

R1（config-router）#noauto-summary

R1（config-router）#net172.16.50.0

R1（config-router）#net202.16.60.0

路由器R2的主要配置命令如下：

R2（config）#interfaces1/0

R2（config-if）#ipaddress202.16.60.2255.255.255.0

R2（config-if）#encapsulationframe-relay

R2（config-if）#frame-relaymapip202.16.60.1201broadcast

R2（config-if）#frame-relaylmicisco

R2（config）#routerrip

R2（config-router）#version2

R2（config-router）#noauto-summary

R2（config-router）#network202.16.60.0

R2（config-router）#network202.16.70.0

（三）網(wǎng)絡(luò)中應(yīng)用ACL，實(shí)現(xiàn)對(duì)交換、路由設(shè)備及網(wǎng)絡(luò)的安全控制

1.只允許網(wǎng)管訪問路由器R1、路由器R2的Telnet服務(wù)

R1、R2主要命令配置如下：

R1（config）#access-list10permithost172.16.30.1

R1（config）#linevty04

R1（config-line）#access-class10in

R1（config-line）#passwordabc

R1（config-line）#login

同樣的命令可以配置到R2。

2.允許會(huì)計(jì)部可以訪問財(cái)務(wù)服務(wù)器及WWW、FTP服務(wù)器，其他部門的計(jì)算機(jī)能訪問WWW、FTP服務(wù)器，不能訪問財(cái)務(wù)服務(wù)器

R2的主要配置命令

R2（config）#ipaccess-listextended101

R2（config-ext-nacl）#permitipanyhost202.16.70.253

R2（config-ext-nacl）#permitip172.16.40.00.0.0.255host

202.16.70.254

R2（config）#interfacef0/0

R2（config）#ipaccess-group101out

3.限制數(shù)據(jù)流流向

銷售部管理部主機(jī)上存有敏感資料和數(shù)據(jù)，因此不能讓生產(chǎn)部訪問，但是銷售部可以訪問生產(chǎn)部的計(jì)算機(jī)，以便隨時(shí)了解生產(chǎn)情況，要實(shí)現(xiàn)此功能可在核心交換上進(jìn)行如下配置：

Sw（config）#access-list102denytcp192.168.10.00.0.0.255192.

168.20.00.0.0.255established

//禁止生產(chǎn)部訪問銷售部

Sw（config）#access-list102permittcpanyany

Sw（config）#intvlan10//應(yīng)用在生產(chǎn)部所在的vlan10

Sw（config-if）#ipaccess-group100in

4.上網(wǎng)權(quán)限設(shè)置

限制生產(chǎn)部辦公室機(jī)房里上QQ，那么可以在中心機(jī)房的核心交換機(jī)里設(shè)置ACL，使用擴(kuò)展ACL對(duì)QQ服務(wù)器及端口進(jìn)行過濾，在核心交換機(jī)上配置命令如下：

Sw（config）#ipaccess-listextendeddenyqq

Sw（config-ext-nacl）#denyudpanyhost61.144.238.145

……

Sw（config-ext-nacl）#permitipanyany

Sw（config）interfacef0/1

Sw（config-if）#ipaccess-groupdenyqqout

5.上網(wǎng)時(shí)間的訪問控制

如禁止生產(chǎn)部在工作日的8：00to12：00時(shí)訪問外網(wǎng)，R1路由器主要配置命令如下：

R1（config）#time-rangehttp

R1（config-time-range）#periodicweekday8：00to12：00

R1（config）#access-list103denytcp192.168.10.00.0.0.

255anyeqhttp

R1（config）#access-list103permittcpanyany

R1（config）#interfaces1/1

R1（config）#ipaccess-group103out

6.使用ACL禁用端口防止病毒

病毒大多是通過TCP/UDP端口來傳播的，在路由器R1配置如下的訪問列表：

R1（config）#ipaccess-listextendedbingdu

……

R1（config-ext-nacl）#denyudpanyanyeq445

R1（config-ext-nacl）#permitipanyany

R1（config）#interfaces1/1

R1（config-if）#ipaccess-groupbingduin

其余端口控制ACL命令與上面類似。

ACL是一種流量控制技術(shù)。流量管理的目的是阻止不需要的流量通過，同時(shí)，允許合法用戶流量能夠通過并能訪問相應(yīng)的網(wǎng)絡(luò)服務(wù)。ACL的配置應(yīng)用，有效地實(shí)現(xiàn)了對(duì)數(shù)據(jù)流量的控制，在一定程度上保障了網(wǎng)絡(luò)的安全運(yùn)行。網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的問題，要考慮安全層次、技術(shù)難度及經(jīng)費(fèi)支出等因素，ACL應(yīng)用于小中型企業(yè)網(wǎng)絡(luò)是比較經(jīng)濟(jì)的做法。

參考文獻(xiàn)：

[1]王坦，徐愛超，郭學(xué)義，等.基于ACL的網(wǎng)絡(luò)安全策略應(yīng)用研究計(jì)算機(jī)安全[J].計(jì)算機(jī)安全，2014（9）.

[2]高煥超.ACL技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用電腦知識(shí)與技術(shù)[J].電腦知識(shí)與技術(shù)，2014（1）.

[3]魏大新，李育龍.CISCO網(wǎng)絡(luò)技術(shù)教程[M].電子工業(yè)出版社，2004.