胡芳芳

（中国第一历史档案馆 北京 100031）

1 引言

自2011年起，某单位进行了大规模的明清档案整理和数字化工作，其中，档案的数字化加工工作对网络数据的高速传输、数据传输的安全性和完整性都有很高的要求。随着网络规模的扩大和流量的增加，网络访问控制列表（即Access Control List，以下简称ACL）的灵活运用可以有效防止非法用户对网络的访问，同时也可以控制流量、节约网络资源，本文结合该单位实际，谈ACL技术在明清档案数字化工作中的应用。

2 基本概念的梳理

网络环境，是指将分布在不同地点的多个计算机物理上进行互联，依据某种协议互相通信，实现软、硬件及其网络文件共享的系统。

网络环境是单位信息化建设的一个重点，也是现代化管理软件运用的平台。由于单位的网络建设需要花费大量的资金投入，运行和维护费用高，网络应用与技术开发难度大，以及硬件更新换代快的特点，需要从本单位的实际出发，根据工作实际的需要，科学构建合理高效实用的网络环境，保证单位网络切实为工作服务，提高网络效率。

访问控制列表（即Access Control List，以下简称ACL）是路由器和交换机的重要功能之一，是基于包过滤的软件防火墙，根据网络中数据包所含的信息，决定是否允许数据包通过，从而简单高效地实现对网络的保护[1]。

ACL是由一系列语句组成，这些语句主要包括匹配条件和采取的动作（允许或者拒绝）两个部分。当交换机的端口接收到报文后，即根据当前端口上应用的ACL规则对报文的字段进行分析，在识别出特定的报文之后，根据预先设定的策略允许或禁止相应的数据包通过。

由ACL定义的数据包匹配规则，也可以被其它需要对流量进行区分的功能引用，如QoS中流分类规则的定义。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。根据应用目的，可将ACL分为以下四种：

A.基本ACL：只根据数据包的源IP地址制定规则。

B.高级ACL：根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。

C.二层ACL：根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。

D.用户自定义ACL：以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。

ACL在交换机上的应用支持两种应用方式：

A.基于硬件的应用：即ACL被下发到硬件。例如配置Qos功能时引用ACL，对报文进行流分类，在这种情况下，交换机对匹配此ACL的报文采取的动作由Qos中流行为定义的动作决定。

B.基于软件的应用：ACL被上层软件引用，在这种情况下，交换机对匹配此ACL的报文采取的动作由ACL规则中定义的动作决定。[2]

3 核心交换机上ACL的实现

考虑到某单位档案整理和数字化项目的启动，会扩大网络规模，本单位内有更多的机器需要连入局域网，同时引入社会力量加入此项工作，需要更多的计算机为外包公司工作服务。根据实际情况采用的是核心层-接入层两层的网络结构。配备了高性能的核心交换机，对办公网络和数据加工网络进行整合，同时搭配大量的接入层交换机，把馆内所有的终端计算机接入网络。网络核心层主要作用是高速转发通信，提供网络优化、可靠的骨干传输结构，通过核心交换的接口、VLAN、协议设计等，确保整合后的网络环境安全可信。网络的高性能和高可靠性是设计的重点。网络接入层是底层网络的接口，相对结构简单，目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性

为了局域网的安全和工作的需要，办公区内的计算机之间可以互访，各个外包公司之间不可以互相访问。办公区和外包公司都可以访问特定VLAN的服务器。为实现此功能，我们配置了高级的IPv4 ACL。

下面以A外包公司的网络控制为例讲述网络访问控制的实现。A外包公司划为VLAN16，终端计算机的IP为192.168.160.XXX，A外包公司内部之间可以互相访问，并且可以访问虚拟服务器，上传下载档案资料。其具体实现是通过ACL 3000实现，并通过在A外包公司所属于的VLAN内下发，可实现入方向的报文匹配。如下所示，

acl number 3000

rule 0 permit ip source 192.168.160.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

rule 1 permit ip source 192.168.160.0 0.0.0.255 destination 192.168.160.0 0.0.0.255

rule 2 deny ip

interfacevlan 16

ip address 192.168.160.254 255.255.255.0

packet-filter 3000 inbound

我们实现的ACL都是软件实现的ACL，为了具体看到匹配信息，可以通过命令行，看到底层的ACL匹配原则。通过匹配原则可以看到，Rule 0的意思是任何IPv4报文，进入核心交换机的任何端口，如果是来自于VLAN16,，同时满足源IP地址是192.168.160.XXX，目的IP地址是192.168.20.XXX，则允许通过。Rule 1的意思是任何IPv4报文，进入核心交换机的任何端口，如果是来自于VLAN16，入方向的报文满足源IP地址和目的IP地址都是192.168.20.XXX，则允许通过。

4 ACL在病毒防范上的运用

2017年5 月全球爆发了勒索病毒。病毒制造者通过美国NSA泄露的黑客武器库攻击Windows操作系统的漏洞。病毒通过加密技术锁死文件，限期缴纳赎金，否则删除文件。由于采用了非对称的加密算法，一旦中毒很难进行数据恢复。

根据某网络公司安全中心分析，国内传播的勒索病毒是由名为“永恒之蓝”的黑客武器，借助互联网或企业内网（即局域网），通过远程扫描并攻击未进行防护的445等端口，在计算机及服务器进行传播。

将馆内杀毒软件客户端升级到可查杀“勒索病毒”的最新版本，对封闭445等端口、计算机补丁升级、防病毒应急工具包等技术手段在科内计算机上小范围试用

局域网全部交换机下发访问控制策略，禁止向445端口等收发报文

各个端口下发如下规则：

acl number 3700

rule 0 deny tcp destination-port eq 135

rule 5 deny tcp destination-port eq 137

rule 10 deny tcp destination-port eq 138

rule 15 deny tcp destination-port eq 139

rule 20 deny tcp destination-port eq 445

结合杀毒软件升级、windows系统升级，很好的杜绝了勒索病毒的蔓延。

5 结语

ACL技术是交换机上的关键技术，灵活有效的运用，有利于科学构建合理高效实用的网络环境，保证单位网络切实为工作服务，提高网络效率。

[1]陆军.应用访问控制列表技术增强网络安全计算机安全[J].2011.01.