张宝玉 张馨天

摘要：随着我国信息化建设的不断深入，网络安全问题的重要性日益凸显出来，访问控制技术在网络安全工作发着不可或缺的作用。随着无线网络及移动终端的增多，传统的基于IP地址的访问控制技术遇到的极大的挑战，本分介绍了基于用户组策略的访问控制技术的特点及应用方法，旨在新形势下为如何运用访问控制技术加强网络安全管理工作提供帮助和参考。

关键词：UCL;网络访问控制;网络安全

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2020）05-0184-02

1技术背景

1.1访问控制技术的定义

访问控制列表（ACL）是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

1.2访问控制技术的工作原理及主要功能

访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表具有许多作用，如限制网络流量、提高网络性能;通信流量的控制，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量;提供网络安全访问的基本手段;在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量等。

2新需求带来的挑战

随着信息化建设的不断深入。信息化网络正在发生以下一些变化：（1）有线接人被无线接人逐步取代，台式机被便携机和移动终端取代，用户更愿意自由地选择自己的办公位。（2）外包员工和访客开始进入企业园区网络。（3）采用DHCP动态地址的用户隔离和控制的需求。

传统AeL技术是基于VLAN和lP地址的。以上网络应用场景的新变化，人员的移动彻底打破了原有的物理位置限制，VLAN和IP地址都变得不可确定。如果我们的网络安全访问控制策略不能与工位、拓扑、VLAN、IP解耦，那么要实现需要的网络访问控制，管理员将面临永无休止的ACI策略修改，并且可能因修改不及时对业务产生影响和甚至造成不安全因素的产生。因此我们需要适应新的变化的网络访问控制技术。

3基于安全组访问控制策略

3.1安全组的定义

安全组就是对“网络中进行通信的对象”进行抽象化、逻辑化而得到的一个集合。安全组里面的成员，既可以是PC、也可以是手机，既可以是打印机，也可以是服务器，即可以是通过管理员配置静态添加进来的，也可以是通过认证动态添加进来的。在安全组面前，所有的网络成员都是平等的。

3.2安全组的工作原理

基于安全组策略的访问控制技术改变了交换机原有的匹配机制，把原来的一步匹配改成了两步匹配：先用IP匹配安全组，再用安全组去匹配策略。这个改变，彻底解决了策略与IP耦合的问题。

在设备层面，报文格式无需进行任何改变，还是原来的源/目的JP。而管理员配置层面，管理员却无需关心组内成员的IP地址究竟是什么。而在网络控制中枢自动刷新的“IP与安全组的动态映射表”。

如图1所示，IP与组的关联关系是随着IP的分配情况动态刷新的。谁此刻拥有这个IP地址，那么此刻这个IP地址就将成为这个人所在安全组的一个成员。下一刻这个IP地址被释放给其他人使用，这种表也相应地先删除掉原来的映射表项，并重新建立这个IP地址与第二个人所在安全组的关联关系。这就解决了由于人员移动带来的VLAN和IP地址不固定造成的访问控制策略需要频繁变动的问题。但必须指出安全组控制技术的实现需要底层芯片技术才能实现。

3.3安全组的规划和使用

在规划安全组的时候，可以认为安全组是网络中一组类别或权限相同的网络对象的集合。例如“研发组”（个人主机的集合）、“打印机组”（全网所有打印机的集合）、“数据库服务器组”（服务器IP+端口的集合）。不同类型的网络对象，因为其在网络访问上的“共通性”可以划分为同一个安全组。它们将会通过基于安全组配置的策略而获得相同的权限、体验、安全服务等。

3.4安全组的特点和优势

3.4.1简化网络规划

安全组策略让业务策略与IP地址解耦。这意味着网络管理员无需关注网络拓扑和VLAN、主机IP地址分配规则，就可以完成业务策略的配置。由于网络设备都将基于用户身份，而不是IP地址来执行策略，因此不管各种用户和终端设备从园区的哪里接入，都可以保证他们的权限、体验得到一致保证。这也让企业园区的基础网络规划变得前所未有的简单，用户接人也更加自由。

同時，从另外一个角度而言，因为策略与VLAN和lP地址无关，那么即使不同类型的用户的PC从同一台交换机、同一个VLAN、同一个网段接人到网络中，只要网络设备能够识别这两个PC的IP地址分别所在安全组，那么基于安全组策略，也可以阻止他们之间进行相互访问。这也就实现了没有物理隔离时，各类用户坐在一起办公时，不同用户之间的相互隔离。

3.4.2增强控制能力

安全组策略让网络设备可以从园区控制器那里获取到全网任何一个IP地址的用户身份。这意味着基于用户的业务策略不再仅仅只能配置在用户的认证点设备上。用户在内网认证后，不再需要在园区Intemet出口或者广域网出口设备上重新认证，而这些设备却都可以识别出该用户的报文，并保证该用户在出口处的权限和体验。

在传统的IP网络中，每个设备都是自治的，它们自己感知邻居，自己学习表项，自己认证用户，—个设备干了什么，实际上大部分其他设备都是不感知的。所以原来一个用户在内网被交换机认证，到了防火墙上，防火墙上也是不能直接识别的它的身份，还是只能靠IP地址来做策略。

安全组策略通过网络中枢控制系统实现了网络设备匕认证用户信息的相互同步，因此用户只需要在内网任意一台设备E认证一次，网络中的其他执行点设备也可以基于身份来对其流量执行策略。

3.4.3避免重复劳动

安全组策略让网络设备上基于“用户+应用”的业务策略可以被园区控制器统一管理。这意味着，管理员只需要在控制器上，基于Web界面配置一次业务策略，就完成了全网所有执行点设备的策略配置。这将管理员从逐台设备配置的重复劳动中解脱了出来，并且解决了因为不同设备配置冲突导致的各种网络问题。

4结语

网络技术发展日新月异，网络安全工作不断面临新的挑战，本文介绍的基于安全组的访问控制策略能够很好的适应新形势下网络应用变化的需要，希望可以为从事网络安全管理工作的技术人员提供一下帮助和参考。