蒋君华

（宜兴高等职业技术学校，江苏 无锡 214200）

最近几年，随着计算机软硬件技术的突飞猛进，网络技术也有了迅速发展，而针对互联网的攻击手段也就越来越多。如何保障网络安全也就成为严重困扰中小型网络的网络管理员（网管）的问题之一。由于巩固和拓展业务的需要，网管必须开放足够的权限，允许用户对网络资源的访问；另外，网管又必须通过严格限制用户的权限来确保数据和资源的安全。面对层出不穷各种类别的网络攻击，虽然网管可以采用的网络安全技术很多，但由于条件的限制，中小型网络可以使用的资金有限，我们可以转换思路，考虑采用访问控制列表（ACL）来替代昂贵的硬件防火墙实现对网络数据流的管控、过滤，最终实现基本的、成本可控的网络安全目标。

一、ACL概述

（一）ACLACL技术

访问控制列表简称ACL（Access Control Lists），是一种基于包过滤机制的网络安全技术，它是根据预先设定的条件对通过接口的数据包进行过滤，判断是否允许其通过。ACL可以广泛应用在路由器或三层交换机上，通过读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，结合预设的条件允许或拒绝特定的数据包进出网络，实现对网络访问的控制，从而有效保障网络的安全运行。用户可以有针对性地基于报文中的特定信息制定一系列访问规则，每一条规则描述了对所匹配特定信息的数据包将采取的对应动作：允许通过或拒绝通过，然后将这些用户预设的规则应用到对应端口的入口或出口方向，这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出路由器或交换机。通过使用ACL技术，网管就可以达到限制某个特定IP地址的PC或者某些特定网段的PC非法网络活动的目的[1]。

（二）ACLACL分类

ACL可以分为很多种，比较常用的主要还是两大类

1.标准ACL

标准ACL最简单，仅通过使用IP包中的源IP地址进行过滤，表号范围1-99或1300-1999。

标准ACL语句的语法结构：

router_config#ip access-list standard name

router_config_std_nacl#permit/deny 172.16.1.0 255.255.255.0

2.扩展ACL

扩展ACL相比标准ACL提供更多的匹配项，因此功能更加细化和强大，可以针对包括源地址、目的地址、源端口、目的端口、TCP连接、协议类型等进行过滤，表号范围为100-199或2000-2699。

扩展ACL语句的语法结构：

router_config#ip access-list extended name

router_config_ext_nacl#permit/deny tcp 172.16.1.0 255.255.255.0 2.2.2.2 255.255.255.255 eq port

同时在访问控制列表的使用中，要特别注意以下几点：（1）通配符掩码中的“1”表示忽略IP地址中对应位，而“0”则表示该位必须匹配。两种特殊的通配符掩码是“255.255.255.255”和“0.0.0.0”，前者等同关键字“any”，而后者等价于关键字“host”；（2）入站接口和出站接口，当在对应接口上应用访问控制列表时，用户必须指明该访问控制列表是应用于数据流入方向还是流出方向；（3）尽量应该考虑把扩展的ACL（访问控制列表）放在靠近过滤源的位置，这样创建的过滤规则就不会反过来影响到其他接口上的正常数据流；把标准的ACL（访问控制列表）放在靠近目的位置，因为标准访问控制列表仅能使用源地址，如果将其靠近过滤源就会阻止合法数据包流向其他端口；（4）ACL开启后，无论配不配置，最后都有一条隐含的“deny”否定所有地址通过，所以在ACL里必须至少有一条“permit”的语句[2]。

二、ACL（访问控制列表）技术在中小型网络中的应用案例分析

ACL技术的应用十分广泛，我们以下图所示某中小型网络的拓扑结构（路由器设备：神州数码DCR-2655）为例，简单分析ACL在此基础上的基本应用配置。

（1）要求拒绝PC2所在网段访问路由器R2。创建符合要求的标准ACL配置：

R2_config#ip access-list standard P2ToR2

R2_config_std_nacl#deny 172.16.1.0 255.255.255.0

……

（2）要求只允许PC2所在网段的主机访问路由器R2的WWW服务。通过分析，创建符合要求的扩展ACL配置：

R1_config#ip access-list extended P2ToR2

R1_config_ext_nacl#permit tcp 172.16.1.0 255.255.255.0 2.2.2.2

……

（3）只允许PC3主机在每天的8:00-18:00访问路由器R2的WWW服务。基于时间的访问控制列表配置：

R3_config#time-range P3ToR2

R3_config_time_range#periodic daily 8:00 to 18:00

……

三、ACL（访问控制列表）技术在防病毒方面的应用分析

曾经，冲击波、震荡波等病毒给整个互联网带来了沉重的打击，截至目前，我们所使用的互联网中每天仍有大量这类病毒及其变种存在，它们无孔不入，伺机危害网络的安全。因此网络管理员在配置路由器或交换机等网络设备的时候，可以考虑通过ACL（访问控制列表）的简单配置实现对这些病毒进行过滤，将它们拒之门外，保障网络的稳定运行。通过查询相关公开资料，我们可以获得常用的网络端口号——冲击波病毒及其变种：对应的TCP端口号 135、139、445和593，UDP 端口号69、135、137和138；涉及远程命令壳程序：对应的TCP端口号 4444、135、139、445、4444，UDP 端口号69、135、137和138。震荡波病毒及其变种：对应的TCP端口5554、445、9996。SQL蠕虫病毒：对应的TCP端口号1433，UDP端口号1434[3]。

ACL过滤特定病毒的配置：

switch(config)#ip access-list extended acl

switch(Config-IP-Ext-Nacl-acl)#deny tcp hostsource 192.168.1.1 s-port

445 any-destination

……

四、结语

总体而言，如果能恰当地使用ACL技术，它将成为网管手中的一种功能强大的过滤工具，除了可以过滤通过网络的流量，还可以通过防控病毒攻击、限制Internet访问等方法进一步提高网络的安全性，但就像一把双刃剑，设计欠佳的访问控制列表配置反而会适得其反，给路由器、交换机带来繁重的额外负担，最严重的时候可能导致整个网络的中断。因此，我们只有合理规划和配置ACL才能充分发挥其能力，高效管理中小型网络。