谢奇爱

摘要：随着信息化及网络技术的不断发展，以及网络建设的复杂化，网络边界安全已成为最重要的网络安全问题，同时也是目前大多数企业网络安全建设中首要考虑的问题。众所周知，访问控制列表ACL是网络安全设备，如路由器、交换机等的重要安全防御手段。如何在三层交换机上配置反向访问控制列表来维护企业网络边界安全是本文研究的重点。

关键词：网络边界安全；访问控制列表；反向ACL

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）17-4009-04

Application of Reverse ACL in Network Management in Small and Medium Sized Enterprises

XIE Qi-ai

（Hefei University，hefei 230601，China）

Abstract： With the continuous development of information and network technology， and the complexity of network construction， network border security has become the most important network security problems， but also the priority of most of the problems in the construction of enterprise network security. As everyone knows， the access control list ACL is an important network security equipment， security defense means such as routers， switches and other. There are mainly introduced in the three layer switch how to configure reverse access control list to maintain the enterprise network border security.

Key words： The boundary of the network security； access control list； reverse ACL

随着信息化和网络技术的不断发展，以及网络建设的复杂化，网络边界安全已成为最重要的网络安全问题，同时也是目前大多数企业网络安全建设中首要考虑的问题。因此，网络边界防御需要添加一些安全设备来保护进入网络的每个访问。这些安全设备或是阻塞、或是筛选网络流量来限制网络活动，也可能是仅仅允许一些固定的网络地址在固定的端口可以通过网管员的网络边界。一般来说，访问控制列表ACL是网络安全设备（如路由器、防火墙、交换机等）的重要安全防御手段。这里主要介绍在三层交换机上如何配置反向访问控制列表来维护企业网络边界安全。

1 网络边界与网络边界安全的基本概念

把不同安全级别的网络相连接，就产生了网络边界。网络边界是企业网络系统安全屏障的起点，在这个网络边界的内部，一定要保证不会存在任何网络行为能够损害到企业或组织的网络系统。为了防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。

网络边界安全是指在不同网络的互连边界通过各种方法或措施防止相互间的恶意访问或恶意流量的相互渗透。从广义上看，在任何网络边界都存在安全问题，如企业与企业网的边界、企业网与外部Internet的边界、企业部门与部门间的边界等。但就一个企业或园区内部网而言，最为敏感的边界通常在内外网边界，所以从狭义上说，边界安全也指内外网边界安全。[4]

2 项目需求和问题提出

2.1项目需求

图1所示为某公司有180信息点，分布在1-3楼。网络中心设在一楼，大楼主干采用光纤布线，在1楼和3楼设楼层配线架，楼层需要百兆交换到桌面。网络主要为公司内部文件共享、办公自动化系统，对外提供邮件和网站服务等。网络核心设备采用带有路由模块的核心交换机，用于和各楼层的交换机实现吉比特互连。网络需要划分VLAN划分网络，考虑到安全，财务部的主机不能被其他部门的主机访问。

2.2问题提出

针对需求要为财务部、技术部和办公部定义VLAN，并分配IP地址，如表1所示。

我们根据需求对交换机进行相应的配置，其配置过程如下：

1）核心交换机基础性配置（以下配置可根据需要进行相应设置）；

2）核心和楼层交换机上设置VTP DOMAIN；

3）核心和楼层交换机上配置中继；

4）在核心交换机上创建VLAN；

5）将交换机端口划入VLAN；

我们分别将sw1、sw2、和sw3交换机的f0/2端口划入财务部vlan 10，f0/3端口划入技术vlan 20，f0/4端口划入办公部vlan 30；

6）配置第三层交换；

为了使每个VLAN之间可以互访，要为每个VLAN端口分配IP地址，这个地址也就是各VLAN中主机的网关地址，地址分配如表1所示。

再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把缺省网关设置为该VLAN的端口地址。如图所示。

这样，所有的VLAN也可以互访了。如图3所示。

7）配置VLAN访问控制列表

从需求知道，账务部的主机可以访问外部，但是其他 vlan 不能访问财务部vlan。我们可以定义一条访问控制列表，禁止其他部门网段对财务部网段的访问，然后将其应用到各部门的vlan端口上，访问控制列表配置如下。endprint

上述配置，似乎禁止了vlan 20、vlan 30对vlan 10的访问，但实际的结果由于两台主机在发送数据的过程是双向的，即当A向B发送数据后，只有当A收到B的返回数据后发送成功。在上述配置中，vlan 10中的主机A访问vlan 20中的主机B时，A将数据包发送到主机B，但由于主机B返回的数据包在到达交换机的vlan 20端口时，被端口上配置的访问控制列表阻断了。测试结果如图4和5所示。

从以上测试结果看，当禁止了其他部门网段对账务部网段访问的同时也禁止了财务部对其他部门网段的访问。即存在A Ping 不通B，B也Ping不通A的情况，显然这不是案例所需求的。

3 解决方案——反向访问控制列表

3.1反向控制列表

反向访问控制列表属于ACL的一种高级应用。通过配置反向ACL可以保证AB两个网段的计算机互相PING，A可以PING通B而B不能PING通A。 由于普通的访问控制列表不能检测会话状态，也就无法实现单向访问控制。[1]Cisco的IOS中通过反向访问控制列表可以很好地解决这个问题。上述项目中，从需求知道，账务部的主机可以访问外部，但是其他vlan 不能访问财务部vlan。即A能访问B，但B不能访问A。在Cisco的操作系统中通过反向访问控制列表可以实现此功能。基本思想是在财务部访问其他部门时，能在其他部门的访问控制列表中临时生成一个反向的条目，这样就能实现单向访问。

3.2配置实现

本案例中实现反向访问控制列表的配置如下：

以上反向访问控制列表说明如下：

1） 访问控制列表outfilter用于对外访问的接口，即财务部的vlan 10的In 方向，该控制列表中的reflect关键词用于建立反向控制。

2） 在reflect mytest timeout 200中的reflect 关键词为创建反向访问控制列表。Mytest是反向控制列表名。Timeout 200是当反向访问控制没有流量时，200s后会消失。

3） Evaluate mytest，只要有符合mytest 反向控制列表的流量发生时，evaluate语句立即动态生成一条反向的permit语句。

4 总结

通过以上配置，账务部的主机可以访问其他VLAN，但其他部门VLAN不能访问账务部VLAN，即实现了A能访问B，但B不能访问A的单向访问控制。

另外，从本案例中可以看出，利用反向访问控制列表还可以有效的防范病毒。随着防范病毒数量的增多在一定程度上会造成访问控制列表规则过多，影响了网络访问的速度。我们可以使用反向控制列表将平时常见病毒传播使用的端口进行过滤，将使用这些端口的数据包丢弃。这样就可以有效的防范病毒的攻击，更好地维护企业网络边界的安全。

参考文献：

[1] 阮征.反向访问控制列表的用途及格式[EB＼OL].http：//publish.it168.com/2005/0426/20050426509401.shtml.

[2] 贾铁军.网络安全实用技术[M].北京：清华大学出版社，2011：136.

[3] 刘永华，赵艳.局域网组建、管理与维护[M].北京：清华大学出版社，2012：226-227.endprint

上述配置，似乎禁止了vlan 20、vlan 30对vlan 10的访问，但实际的结果由于两台主机在发送数据的过程是双向的，即当A向B发送数据后，只有当A收到B的返回数据后发送成功。在上述配置中，vlan 10中的主机A访问vlan 20中的主机B时，A将数据包发送到主机B，但由于主机B返回的数据包在到达交换机的vlan 20端口时，被端口上配置的访问控制列表阻断了。测试结果如图4和5所示。

从以上测试结果看，当禁止了其他部门网段对账务部网段访问的同时也禁止了财务部对其他部门网段的访问。即存在A Ping 不通B，B也Ping不通A的情况，显然这不是案例所需求的。

3 解决方案——反向访问控制列表

3.1反向控制列表

反向访问控制列表属于ACL的一种高级应用。通过配置反向ACL可以保证AB两个网段的计算机互相PING，A可以PING通B而B不能PING通A。 由于普通的访问控制列表不能检测会话状态，也就无法实现单向访问控制。[1]Cisco的IOS中通过反向访问控制列表可以很好地解决这个问题。上述项目中，从需求知道，账务部的主机可以访问外部，但是其他vlan 不能访问财务部vlan。即A能访问B，但B不能访问A。在Cisco的操作系统中通过反向访问控制列表可以实现此功能。基本思想是在财务部访问其他部门时，能在其他部门的访问控制列表中临时生成一个反向的条目，这样就能实现单向访问。

3.2配置实现

本案例中实现反向访问控制列表的配置如下：

以上反向访问控制列表说明如下：

1） 访问控制列表outfilter用于对外访问的接口，即财务部的vlan 10的In 方向，该控制列表中的reflect关键词用于建立反向控制。

2） 在reflect mytest timeout 200中的reflect 关键词为创建反向访问控制列表。Mytest是反向控制列表名。Timeout 200是当反向访问控制没有流量时，200s后会消失。

3） Evaluate mytest，只要有符合mytest 反向控制列表的流量发生时，evaluate语句立即动态生成一条反向的permit语句。

4 总结

通过以上配置，账务部的主机可以访问其他VLAN，但其他部门VLAN不能访问账务部VLAN，即实现了A能访问B，但B不能访问A的单向访问控制。

另外，从本案例中可以看出，利用反向访问控制列表还可以有效的防范病毒。随着防范病毒数量的增多在一定程度上会造成访问控制列表规则过多，影响了网络访问的速度。我们可以使用反向控制列表将平时常见病毒传播使用的端口进行过滤，将使用这些端口的数据包丢弃。这样就可以有效的防范病毒的攻击，更好地维护企业网络边界的安全。

参考文献：

[1] 阮征.反向访问控制列表的用途及格式[EB＼OL].http：//publish.it168.com/2005/0426/20050426509401.shtml.

[2] 贾铁军.网络安全实用技术[M].北京：清华大学出版社，2011：136.

[3] 刘永华，赵艳.局域网组建、管理与维护[M].北京：清华大学出版社，2012：226-227.endprint

上述配置，似乎禁止了vlan 20、vlan 30对vlan 10的访问，但实际的结果由于两台主机在发送数据的过程是双向的，即当A向B发送数据后，只有当A收到B的返回数据后发送成功。在上述配置中，vlan 10中的主机A访问vlan 20中的主机B时，A将数据包发送到主机B，但由于主机B返回的数据包在到达交换机的vlan 20端口时，被端口上配置的访问控制列表阻断了。测试结果如图4和5所示。

从以上测试结果看，当禁止了其他部门网段对账务部网段访问的同时也禁止了财务部对其他部门网段的访问。即存在A Ping 不通B，B也Ping不通A的情况，显然这不是案例所需求的。

3 解决方案——反向访问控制列表

3.1反向控制列表

反向访问控制列表属于ACL的一种高级应用。通过配置反向ACL可以保证AB两个网段的计算机互相PING，A可以PING通B而B不能PING通A。 由于普通的访问控制列表不能检测会话状态，也就无法实现单向访问控制。[1]Cisco的IOS中通过反向访问控制列表可以很好地解决这个问题。上述项目中，从需求知道，账务部的主机可以访问外部，但是其他vlan 不能访问财务部vlan。即A能访问B，但B不能访问A。在Cisco的操作系统中通过反向访问控制列表可以实现此功能。基本思想是在财务部访问其他部门时，能在其他部门的访问控制列表中临时生成一个反向的条目，这样就能实现单向访问。

3.2配置实现

本案例中实现反向访问控制列表的配置如下：

以上反向访问控制列表说明如下：

1） 访问控制列表outfilter用于对外访问的接口，即财务部的vlan 10的In 方向，该控制列表中的reflect关键词用于建立反向控制。

2） 在reflect mytest timeout 200中的reflect 关键词为创建反向访问控制列表。Mytest是反向控制列表名。Timeout 200是当反向访问控制没有流量时，200s后会消失。

3） Evaluate mytest，只要有符合mytest 反向控制列表的流量发生时，evaluate语句立即动态生成一条反向的permit语句。

4 总结

通过以上配置，账务部的主机可以访问其他VLAN，但其他部门VLAN不能访问账务部VLAN，即实现了A能访问B，但B不能访问A的单向访问控制。

另外，从本案例中可以看出，利用反向访问控制列表还可以有效的防范病毒。随着防范病毒数量的增多在一定程度上会造成访问控制列表规则过多，影响了网络访问的速度。我们可以使用反向控制列表将平时常见病毒传播使用的端口进行过滤，将使用这些端口的数据包丢弃。这样就可以有效的防范病毒的攻击，更好地维护企业网络边界的安全。

参考文献：

[1] 阮征.反向访问控制列表的用途及格式[EB＼OL].http：//publish.it168.com/2005/0426/20050426509401.shtml.

[2] 贾铁军.网络安全实用技术[M].北京：清华大学出版社，2011：136.

[3] 刘永华，赵艳.局域网组建、管理与维护[M].北京：清华大学出版社，2012：226-227.endprint