基于ACL实现企业网络安全
2018-05-14叶俊洪
叶俊洪
[摘 要] 网络技术的发展,使得网络应用在各行各业中得到普及,企业网络的安全管理显得日益重要。路由交换中配置ACL(访问控制列表)在一定程度上可以起到安全管理的作用。它应用在设备接口可以过滤设定类型的数据包,也可以通过设定类型的数据包,还可以封闭特定端口防范病毒,从而保障网络的安全。以实例来探讨ACL在企业网络安全中的应用。
[关 键 词] ACL访问控制列表;网络安全;企业网络
[中图分类号] TP393.08 [文献标志码] A [文章编号] 2096-0603(2018)17-0112-02
ACL的应用可以对上网的权限进行控制,还可以对各部门之间的访问进行控制,还能封闭特定端口来防范病毒。ACL的应用提高了网络的安全性,也使得网络管理效率得到提升。在网络设备路由器或三层交换机上,通过使用访问控制列表(ACL)来执行数据包过滤,可用来控制网络上数据包的传递、限制终端的通信量、限制网络特定的访问等。
一、ACL的概述
访问控制列表ACL(AccessControlList)是一种广泛使用的对数据进行过滤的网络安全技术。它对经过网络设备的数据包进行识别,对符合匹配条件的数据包允许通过或拒绝通过。这些匹配条件可以是数据包的源地址、目标地址、端口号、协议类型等等。通过ACL的应用,可以为网络的访问提供基本安全保障。
(一)1ACL的分类
主要有:标准ACL、扩展ACL、命名ACL和时间ACL。
1.标准ACL
标准ACL只匹配IP数据包中源地址或源地址中的一部分,对匹配的数据包可配置允许通过或拒绝通过两个操作。标准ACL只检查源地址,通常允许、拒绝的是完整的协议。其access-list-number为1-99或1300-1999。
2.扩展ACL
扩展ACL与标准ACL相比具有更多的匹配项,它包含有源地址、目标地址、源端口、目标端口、协议类型等。扩展ACL在应用时匹配源地址和目的地址,对匹配的数据包通常允许或拒绝某个特定的协议。其access-list-number值为100-199或2000-2699。
3.命名ACL
命名ACL是用列表名称来替代列表编号的ACL,它包括了标准ACL和扩展ACL。命名ACL语句的用法与列表编号ACL的用法基本相同,它最大的优点在于方便管理。
4.时间ACL时间
ACL可以限制在某个时间范围内才可以允许或拒绝某项服务。
(二)ACL的使用原则
在路由器中配置ACL时,一种通用规则是可对每种协议、每个方向、每个接口配置一个ACL。
二、ACL在网络中的应用
(一)企业网络拓扑图
R1连接公司生产基地,R2连接公司总部服务器,总部与生产基地之间用帧中继进行连通,主要IP地址配置如图所示。
(二)实现全网互通
1.核心交換机的主要配置命令
核心交换机的主要配置命令如下:
Switch(config-if)#interfacevlan10
Switch(config-if)#ipaddress172.16.10.254255.255.255.0Switch
(config-if)#noshutdown
同样的配置命令可以配置VLAN20、VLAN30、VLAN40
Switch(config)#routerrip
Switch(config-router)#version2
Switch(config-router)#noauto-summary
Switch(config-router)#network172.16.0.0
2.路由器R1、R2的主要配置命令
路由器R1的主要配置命令如下:
R1(config)#interfaces1/1
R1(config-if)#ipaddress202.16.60.1255.255.255.0
R1(config-if)#encapsulationframe-relay
R1(config-if)#frame-relaymapip202.16.60.2102broadcast
R1(config-if)#frame-relaylmicisco
R1(config)#routerrip
R1(config-router)#version2
R1(config-router)#noauto-summary
R1(config-router)#net172.16.50.0
R1(config-router)#net202.16.60.0
路由器R2的主要配置命令如下:
R2(config)#interfaces1/0
R2(config-if)#ipaddress202.16.60.2255.255.255.0
R2(config-if)#encapsulationframe-relay
R2(config-if)#frame-relaymapip202.16.60.1201broadcast
R2(config-if)#frame-relaylmicisco
R2(config)#routerrip
R2(config-router)#version2
R2(config-router)#noauto-summary
R2(config-router)#network202.16.60.0
R2(config-router)#network202.16.70.0
(三)网络中应用ACL,实现对交换、路由设备及网络的安全控制
1.只允许网管访问路由器R1、路由器R2的Telnet服务
R1、R2主要命令配置如下:
R1(config)#access-list10permithost172.16.30.1
R1(config)#linevty04
R1(config-line)#access-class10in
R1(config-line)#passwordabc
R1(config-line)#login
同样的命令可以配置到R2。
2.允许会计部可以访问财务服务器及WWW、FTP服务器,其他部门的计算机能访问WWW、FTP服务器,不能访问财务服务器
R2的主要配置命令
R2(config)#ipaccess-listextended101
R2(config-ext-nacl)#permitipanyhost202.16.70.253
R2(config-ext-nacl)#permitip172.16.40.00.0.0.255host
202.16.70.254
R2(config)#interfacef0/0
R2(config)#ipaccess-group101out
3.限制数据流流向
销售部管理部主机上存有敏感资料和数据,因此不能让生产部访问,但是销售部可以访问生产部的计算机,以便随时了解生产情况,要实现此功能可在核心交换上进行如下配置:
Sw(config)#access-list102denytcp192.168.10.00.0.0.255192.
168.20.00.0.0.255established
//禁止生产部访问销售部
Sw(config)#access-list102permittcpanyany
Sw(config)#intvlan10//应用在生产部所在的vlan10
Sw(config-if)#ipaccess-group100in
4.上网权限设置
限制生产部办公室机房里上QQ,那么可以在中心机房的核心交换机里设置ACL,使用扩展ACL对QQ服务器及端口进行过滤,在核心交换机上配置命令如下:
Sw(config)#ipaccess-listextendeddenyqq
Sw(config-ext-nacl)#denyudpanyhost61.144.238.145
……
Sw(config-ext-nacl)#permitipanyany
Sw(config)interfacef0/1
Sw(config-if)#ipaccess-groupdenyqqout
5.上网时间的访问控制
如禁止生产部在工作日的8:00to12:00时访问外网,R1路由器主要配置命令如下:
R1(config)#time-rangehttp
R1(config-time-range)#periodicweekday8:00to12:00
R1(config)#access-list103denytcp192.168.10.00.0.0.
255anyeqhttp
R1(config)#access-list103permittcpanyany
R1(config)#interfaces1/1
R1(config)#ipaccess-group103out
6.使用ACL禁用端口防止病毒
病毒大多是通过TCP/UDP端口来传播的,在路由器R1配置如下的访问列表:
R1(config)#ipaccess-listextendedbingdu
……
R1(config-ext-nacl)#denyudpanyanyeq445
R1(config-ext-nacl)#permitipanyany
R1(config)#interfaces1/1
R1(config-if)#ipaccess-groupbingduin
其余端口控制ACL命令与上面类似。
ACL是一种流量控制技术。流量管理的目的是阻止不需要的流量通过,同时,允许合法用户流量能够通过并能访问相应的网絡服务。ACL的配置应用,有效地实现了对数据流量的控制,在一定程度上保障了网络的安全运行。网络安全是一个复杂的问题,要考虑安全层次、技术难度及经费支出等因素,ACL应用于小中型企业网络是比较经济的做法。
参考文献:
[1]王坦,徐爱超,郭学义,等.基于ACL的网络安全策略应用研究计算机安全[J].计算机安全,2014(9).
[2]高焕超.ACL技术在网络安全中的应用电脑知识与技术[J].电脑知识与技术,2014(1).
[3]魏大新,李育龙.CISCO网络技术教程[M].电子工业出版社,2004.