张 博

(中国联合网络通信有限公司吉林省分公司,吉林长春,130021)

基于ACL的边界路由策略的应用研究

张 博

(中国联合网络通信有限公司吉林省分公司,吉林长春,130021)

通过某科研所对边界路由策略需求的分析,针对ACL的基本功能实现和其在禁 ping,封端口,封 ip段等边界路由中使用的安全策略进行了分析与研究。

ACL;路由策略

本文在对 acl功能和原理研究的基础上,对其在某科研所的边界路由器上的策略进行分析与研究。

1 ACL

ACL(Access ControlList,ACL)又名访问控制列表。ACL是路由器和接口的指令列表,用来控制端口进出的数据包。ACL可以过滤网络中的数据流量,是控制访问的一种网络技术手段。它可用于指定信息点之间进行通信,内部外部网络之间进行通信,可通过安全策略来阻止非授权用户的访问,达到对访问进行控制的目的,以保证内部网洛的安全性。以 H3C设备为例,ACL基本命令如下：

acl numberacl-number[nameacl-name][match-order{auto|config}]

rule[rule-id]{deny|permit}[fragment|logging|source{sour-addr sour-wildcard|any}|t ime-rangetimename|vpn-instancevpn-instance-name]

2 某科研所基本情况

为不透漏某科研所的真实 ip和便于进行本工程的科学研究,对实际问题进行了简化和虚拟。这里假定科研所使用的外部 ip地址为：202.1.1.1,内部架设的服务器 ip地址为：192.168.1.1,其他科研所使用的外ip地址为：202.1.1.2,合作企业的外 ip地址为 202.1.1.3。

把实际问题工程化为：可以允许 192.168.1.0网段的 ip数据包访问外部网络;192.168.1.1与 202.1.1. 1内外网地址进行转换,并允许 202.1.1.2和 202.1.1.3访问内部服务器 192.168.1.1。

网络交互拓扑如图所示：

图1 某科研所与外界网络交互的拓扑图

3 ACL基本功能实现

3.1 配置ACL主要内容

[router]acl number 3000

3.2 ACL在防火墙和地址转换中的应用

4 ACL安全策略应用

4.1 禁 ping

黑客入侵时,大多使用 Ping命令来检测主机,如果 Ping不通,就可以一定程度的保护网络的信息,防止黑客的攻击。

[router-acl-adv-3000]rule deny icmp source any destination any

4.2 封端口

封端口常用于通过限制某款软件的通信信道使用的端口号而起到阻止使用该款软件的作用,或者用于防止病毒的攻击和传播。

防止Blaster蠕虫病毒是防止 tcp的 4444号端口和 udp协议的 69号端口。

用于控制振荡波的扫描和攻击是封 tcp协议中的 445号端口、5554端口、9995端口、9996端口,控制Wor m_MSBlast.A蠕虫的传播是封掉 udp协议的 1434端口。

4.3 封 ip段

有些软件或病毒具有启用随机端口进行连线的能力,如 QQ默认情况下使用 udp协议的 4000端口和6000端口,如果这两个端口被禁止的话,它会自动寻找其它端口,比如,用 tcp协议的 10XX的端口(随机的)连接到服务器,这就要求我们查封它的服务器所在的 ip阻止通信。

5 结 语

使用ACL配置边界路由策略,可以对 ip数据包的出入进行很好的控制,起到防攻击,保护内网安全的作用。ACL还有很多功能,这里只针对该项目的实际情况对ACL的应用做了分析与研究。

[1] 唐子蛟.基于ACL的网络安全管理的应用研究[J].四川理工学院学报,2009,2(1)：48-51.

[2] 范萍.基于ACL的网络层访问权限控制技术研究[J].华东交通大学学报,2004,21(4)：89-92.

[3] 刘明辉.基于Web挖掘的网站优化系统的研究[J]长春大学学报,2009(6)：35-37.

责任编辑：吴旭云

A research on the application of border routing strategies based on ACL

ZHANGBo
(Jilin Branch of China Unicom,Changchun 130021,China)

Aiming at the basic function ofACL,this article studies the security strategiesof border routing including banningping command,prohibiting the specified port communications and specified ip address through analyzing the requirements of the border routing in a certain scientific research institute.

ACL;routing strategy

TP393

A

1009-3907(2010)06-0084-02

2010-01-09

张博(1981-),女,吉林长春人,助理工程师,硕士研究生,主要从事计算机安全研究。