梁賓

摘要：ACL作為熱門的網(wǎng)絡技術(shù)之一，被廣泛應用于網(wǎng)絡管理領(lǐng)域中。文章結(jié)合企業(yè)對網(wǎng)絡的常用訪問控制需求，并利用思科Packet Tracer仿真，模擬了ACL在網(wǎng)絡安全中的應用。

關(guān)鍵詞：ACL；網(wǎng)絡安全；仿真

1 ACL概述

1.1 ACL基本概念

訪問控制列表（Access Control List， ACL），工作在OSI參考模型的第3層，用于通過建立的訪問規(guī)則對進出網(wǎng)絡中的數(shù)據(jù)包進行訪問控制，進而達到對網(wǎng)絡的控制和保護目的。訪問控制列表每條語句組成一個規(guī)則，決定數(shù)據(jù)包的運行通過或拒絕通過。

ACL可分為標準的訪問控制列表和擴展的訪問控制列表兩類，標準的訪問控制列表基于源地址做過濾策略，適應場合有限，不能進行復雜的條件過濾。擴展的訪問控制列表可通過源IP地址、目的IP地址、端口號、協(xié)議等諸多信息來規(guī)定數(shù)據(jù)包的處理動作，對經(jīng)過的數(shù)據(jù)流進行判斷、分類和過濾。通過訪問控制列表可以實現(xiàn)控制網(wǎng)絡流量，提高網(wǎng)絡性能；提供訪問權(quán)限，實現(xiàn)訪問控制等功能，是目前重要的安全保護技術(shù)，被廣泛應用于互聯(lián)網(wǎng)。

1.2 ACL工作原理

ACL可以工作在路由器、交換機等網(wǎng)絡設備上，主要采用數(shù)據(jù)包過濾技術(shù)。以路由器為例，當數(shù)據(jù)包到達路由器的轉(zhuǎn)發(fā)端口時，首先判斷該端口是否有ACL，沒有則直接轉(zhuǎn)發(fā)；如果有則匹配ACL的轉(zhuǎn)發(fā)規(guī)則，根據(jù)轉(zhuǎn)發(fā)規(guī)則來決定數(shù)據(jù)包permit或deny；如果permit，則直接轉(zhuǎn)發(fā)；如果deny則丟棄該數(shù)據(jù)包并向數(shù)據(jù)源發(fā)送目標不可達的ICMP報文或終止TCP的連接請求。工作原理如圖1所示。

1.3 ACL使用原則

在配置和使用ACL時由于每個接口、每個方向、每種協(xié)議只能設置一個ACL，同時ACL按順序比較，直找到符合條件的那條以后就不再繼續(xù)比較，因此應注意以下3點原則。

（1）最小權(quán)限原則：即只給予受控對象完成任務所必須的最小權(quán)限。（2）最靠近受控對象原則：即所有的網(wǎng)絡層訪問權(quán)限控制要盡量距離受控對象最近。（3）默認丟棄原則：即每個訪問控制列表最后都隱含了一條deny any規(guī)則。

2 ACL在網(wǎng)絡安全中應用場景設計

為研究ACL在網(wǎng)絡安全中的應用，這里設計如下的企業(yè)應用場景。

某企業(yè)有管理部、員工部、財務部3個部門，另企業(yè)架設了自己的FTP服務和Web服務器。網(wǎng)絡拓撲如圖2所示，其中

為仿真ACL的網(wǎng)絡隔離、網(wǎng)絡保護、訪問控制等安全功能，提出如下網(wǎng)絡安全需求：（1）內(nèi)網(wǎng)、外網(wǎng)都可以訪問企業(yè)的Web服務器，但FTP服務器只能被校內(nèi)訪問。（2）管理部可以訪問員工部、財務部，但員工部不能訪問財務部。（3）管理部可以訪問外網(wǎng)wwwl和www2服務器，員工部只能訪問wwwl，而財務部拒絕訪問一切外網(wǎng)[1]。

3 ACL關(guān)鍵配置

鑒于篇幅有限，本部分配置僅為ACLE置部分的關(guān)鍵代碼。

（1）限制外網(wǎng)對FTP的訪問，仿真保護特定的內(nèi)網(wǎng)目標。

Router（config）#access-list 101 deny tcp any host 192.168.4.2eq 21

Router（config）#access-list 101 permit ip any any

Router（config）#int sl/0

Router（config-if）#ip access-group 101 in

（2）管理部可以訪問員工部、財務部，但員工部不能訪問財務部，仿真內(nèi)網(wǎng)的訪問控制。

Switch（config）#access-list 1 permit 192.168.1.00.0.0.255Switch（config）#access-list 1 deny 192.168.2.00.0.0.255Switch（config）#access-list 1 permit anySwitch（config）#int vlan 30Switch（config-if）#ip access-group 1 out

（3）管理部可以訪問外網(wǎng)www1和www2服務器，員工部只能訪問www1，而財務部拒絕訪問一切外網(wǎng)，仿真外放的訪問控制和隔離。

Router（config）#access-list 102 permit ip 192.168.1.00.0.0.255 any

Router（config）#access-list 102 permit tcp 192.168.2.00.0.0.255 host 222.222.222.2eq 80

Router（config）#access-list 102 deny ip 192.168.2.00.0.0.255 any

Router（config）#access-list 102 deny ip 192.168.3.00.0.0.255 any

Router（config）#access-list 102 permit ip any anyRouter（config）#int f0/0Router（config-if）#ip access-group 102 inRouter#show ip access-lists 102

Extended IP access list 102permit ip 192.168.1.0 0.0.0.255 any（15 match（es））permit tcp 192.168.2.0 0.0.0.255 host 222.222.222.2eqwww（5 match（es））

deny ip 192.168.2.0 0.0.0.255 any（12 match（es））deny ip 192.168.3.0 0.0.0.255 anypermit ip any any（47 match（es））

4 仿真結(jié)果驗證

無ACL時內(nèi)網(wǎng)和外網(wǎng)都可正常訪問內(nèi)網(wǎng)的FTP；配置ACL后的內(nèi)網(wǎng)可正常訪問，PC3則無法訪問，實現(xiàn)了保護內(nèi)網(wǎng)FTP目的。

無ACL時，內(nèi)網(wǎng)都可正常訪問財務部；配置ACL后，員工部PC1訪問被阻斷，實現(xiàn)了內(nèi)網(wǎng)訪問控制目標。

無ACL時，內(nèi)網(wǎng)都能正常訪問外網(wǎng)的www1和www2；配置ACL后，PC0仍能正常訪問，而PC1只能正常訪問wwwl，PC2無法訪問wwwl、www2，實現(xiàn)了訪問控制和財務網(wǎng)絡隔離目標。

5 結(jié)語

此次ACL的網(wǎng)絡安全應用的仿真實驗充分證明了ACL對網(wǎng)絡安全起到很好的控制和保護作用，但是ACL也具有一定的局限性，無法達到對所有節(jié)點的權(quán)限控制，所以在網(wǎng)絡安全中可以結(jié)合其他技術(shù)一起達到網(wǎng)絡安全防御的作用。

[參考文獻]

[1]石峰.訪問控制列表ACL在校園網(wǎng)中的作用分析[J].電腦知識與技術(shù)，2017（33）：70-71.