邢慧芬，车 辉

(1.巢湖学院 信息工程学院，安徽 合肥 238024；2.湖州市织里镇公共事业服务中心，浙江 湖州 313008)

0 引 言

随着网络的快速发展，网络安全事件频繁发生，网络安全和服务质量问题变得越来越突出，国家对网络安全高度重视，于2017年6月国家网络安全法实施颁布[1].由于企业员工网络安全意识不高，在日常办公时未对计算机进行安全设置，导致安全风险急剧上升；同时外部网络环境也存在巨大的风险，比如假装冒用、网络窃听、通信干扰、病毒威胁以及一些其他攻击手段，对企业安全造成了巨大的威胁[2].

近年来，国内的网络安全方面的专家对网络安全的访问和控制进行了相关的研究[3]，结合不同的应用场景，主要从防病毒入侵、防DOS攻击、访问权限控制以及流量控制等方面进行研究，具体分类如图1所示.其中文献[4]针对校园网络设备不断增多、安全管理难度加大的现象，通过在几种应用场景下实施ACL(Access Control Lists,访问控制列表)技术，有效地保障了校园网络的安全.文献[5]针对校园网面临的诸如病毒入侵、DOS(Denial of Service，拒绝服务)攻击等网络安全问题，对ACL在校园网安全建设中的实际应用进行了阐述，实现访问控制列表ACL在校园网中的安全防护作用.文献[6]针对小微企业对自身资料的机密性、可控性需求,从网络架构、VLAN(Virtual Local Area Network，虚拟局域网)划分、ACL配置、MAC(Media Access Control，物理地址)地址绑定等方面加以分析，通过对小微企业网络安全架构的构建,提升企业的网络安全.文献[7]列举了访问控制列表在校园网中几个具体应用实例，通过设计的访问控制列表达到了预期的流量控制要求,有效地提高了校园网的安全性.文献[8]利用Packet Tracer和GNS3软件设计两种不同类型的网络拓扑，通过设备配置，以及进一步应用访问控制列表,实现内外网隔离的目的，对大中型结构的园区网隔离具有一定的参考意义.文献[9]详细介绍了几种访问控制列表的过滤数据包规则及其配置命令，针对实验设备上进行访问控制列表研究与分析可操作性差问题，在Cisco Packet Tracer模拟器中设计实验案例进行仿真,给出详细的实验设计、实现过程和实验分析，有利于加深对访问控制列表过滤规则的理解和配置实现命令的掌握.文献[10]为了防止企业员工上班时间访问休闲娱乐网站而影响工作效率，或者上班时间访问不安全网站引起内部网络安全问题，利用ACL规则可以控制设备访问、指定转发特定端口数据包，有效控制访问者权限，保证网络安全.文献[11]针对DRDoS(Distributed Reflection Denial of Service，分布反射式拒绝服务)攻击，提出了一种基于URPF(Unicast Reverse Path Forwarding，单播反向路由查找技术)和精确ACL的DRDoS协同处置方法，实现全流程精确处置DRDoS攻击.在安徽联通骨干网大规模应用后，中心监测数据证实骨干路由器已无反射攻击流量出现，有效地阻止了DRDoS攻击.文献[12]针对浙江管理信息网虽然不接互联网,但有外联单位，存在以外联单位为跳板，利用系统内部用户之间的相互信任关系，攻入网络内部风险，借助于ACL技术,有效地控制了特定用户对网络交换机的访问以及对常见病毒端口的过滤，从而最大限度地保障了网络安全.文献[13]研究并设计了一种针对网络用户入侵行为的智能化检测模块，共分为检测阶段、管控阶段和显示阶段3个阶段.第一检测阶段，使用长短期记忆人工神经网络(Long Short-Term Memory，LSTM)的算法解决入侵数据的检测问题，相对于卷积神经网络(Convolutional Neural Network，CNN)在ACC值和F1值上得到了明显的提升；第二管控阶段，若第一阶段后产生检测结果表明网络连接携带了潜在的入侵行为，应用华为访问控制列表(ACL)技术，触发Python脚本程序对设备下达最新配置命令进行管控，同时向设备管理人员发送电子邮件报警；第三显示阶段，将已经成功拦截的网络连接信息以列表的形式显示在平台上.文献[14] 应用PBR(Policy Based Routing,策略路由)、ACL、浮动路由等技术对京平、京秦高速公路省界收费站网络拓扑结构进行改造，使收费系统数据、ETC(Electronic Toll Collection，电子不停车收费系统)门架系统数据按照指定路由在网络中传输，在有限的资源下，实现了路段内各个收费站网络安全接入的基本技术要求.文献[15]虚拟了一个中型企业网络的模型，根据搭建的网络拓扑，基于华为eNSP模拟器建立ACL相关规则过虑网络流量，实现了该模型的网络设计与安全服务，当网络中的设备进行通信时，能使网络数据传输的安全得到可靠保障.

图1 基于ACL的网络安全访问控制方法分类图

从以上研究成果来看，众多学者对基于ACL的网络安全机制进行了广泛的研究，但没有充分考虑企业网内部访问安全和区域划分及设备远程控制，基于这些问题，本文在ACL的基础上，基于Telnet协议、OSPF(Open Shortest Path First开放式最短路径优先)协议和MSTP(Multiple Spanning Tree Protocol，多生成树协议)搭建网络，并在华为eNSP模拟器进行仿真实验，实现了中小企业的网络安全访问制.

1 相关技术

本文针对中小型企业面临的网络数据安全问题，利用OSPF协议进行企业网内部区域的划分，将Telnet技术和ACL技术相结合，通过IP地址的判断，进行企业内部路由器的权限的管理；利用MSTP和VRRP(Virtual Router Redundancy Protocol，虚拟路由冗余协议)技术增加冗余和带宽，增强网络的可靠性，从而实现对网络交换机的访问权限以及对常见病毒入侵和攻击的过滤，保护整个企业网络安全.

1.1 ACL基本原理

1.1.1 ACL组成

ACL(Access Control Lists,访问控制列表)由一组规则组成，通过将数据包与ACL规则匹配，设备可以排除某些数据包[4].一条ACL的结构组成由图1所示.

图1 ACL的组成

1.1.2 ACL的匹配顺序

ACL可以包含多个“deny | permit”语句.每个语句用来描述一个规则.这些规则可能重复或不一致.其中，允许和拒绝规则是不一致.如果规则之间存在重复或不一致，则报文匹配结果与ACL匹配顺序密切相关[5].

设备支持两种ACL匹配顺序：config顺序(配置模式)和auto顺序(自动模式)，默认的ACL匹配顺序为config模式[6].

(1)配置顺序

配置顺序，即系统根据ACL规则编号从小到大进行匹配.规则编号越小，匹配越容易.

如果在配置规则时指定了规则编号，则规则编号越小，规则插入越早，匹配规则就越快.

如果在配置规则时未指定规则编号，则系统会自动为该规则分配一个编号.该数字是大于当前ACL最大规则编号的最小整数，并且是步长的整数倍，因此该规则最后匹配.

(2)自动顺序

自动排序是指系统使用“深度优先”的原则，对从高精度到低精度的规则进行排序，并以高精度顺序匹配数据包.规则中定义的匹配项越严格，则规则越准确.换句话说，优先级越高，系统将匹配得越快.

1.1.3 ACL的匹配机制

ACL的匹配机制具体如下[7]：

首先，系统检查是否在设备上设置了ACL.

(1)当ACL不存在，那么返回ACL匹配结果会显示为：不匹配.

(2)如果存在ACL，请检查设备是否配置了ACL规则.

①如果该规则不存在，则返回ACL匹配的结果，所示为：不匹配.

②如果该规则存在，系统将在ACL中搜索编号最小的规则.

③授权规则匹配，则搜索停止，返回ACL匹配结果，所示为：匹配(允许)；

④拒绝规则匹配，则搜索停止，返回ACL匹配结果，所示为：匹配(拒绝)；

⑤当未匹配上规则，将会继续向下查找规则，以此循环.如果直到查到最后一条规则，报文仍未匹配上，将会返回ACL匹配结果显示为：不匹配.

⑥从整个ACL匹配过程中，我们可以看到，数据包与ACL规则匹配后，会产生两个匹配结果，即“匹配”和“不匹配”.

(3)匹配(命中规则)：该ACL存在，并且在ACL中找到满足匹配条件的规则.不管匹配动作是“允许”还是“拒绝”，它都被称为“匹配”，并且匹配许可规则不被简单地认为是“匹配”.

(4)缺少规则(未命中)：表示没有ACL，ACL中没有规则，或者遍历了ACL中的所有规则，没有找到满足匹配条件的规则，以上三种情况称为“不匹配”.

1.2 多生成树协议

MSTP(Multiple Spanning Tree Protocol，多生成树协议)是一种将STP和VLAN相结合而使用的新的协议，它允许在一个环境中运行多个生成树的协议.MSTP协议区别与STP协议是可以将多个相同VLAN映射到同一实例.他解决了不同VLAN必须运用在同一棵生成树的问题，同时还具有端口迁移快的优点[3].

在MSTP协议中，通常把二层网络规划成若干个域，而每个域中，又将其中的VLAN划分成若干组，每组VLAN具有相同的任务.MSTP技术可以增加冗余和带宽，减少资源占有率，实现负载均衡.

1.3 Telnet技术

Telnet协议是TCP/IP协议中的应用层协议[3].Telnet的操作模式如下：服务器/客户端.提供从一个Telnet客户端远程登录到另一台Telnet服务器的方法.需要在Telnet服务器和Telnet客户端之间建立TCP连接到Telnet服务器的默认端口号是23.

VRP(华为网络操作系统)同时支持Telnet服务器功能和Telnet客户端功能.VRP系统允许用户首先登录到特定设备，然后将该设备用作Telnet客户端，以通过Telnet远程登录到网络上的其他设备，从而进行网络维护，如图2所示.

图2 Telnet二级连接

2 网络三层架构

搭建企业网络，保障网络安全一般通过网络三层架构进行配置.相对应的三层架构中所需的网络设备配置是整个网络中的核心.

2.1 网络接入层设计

网络中接入层一般是网络中直接面向终端连接或者用户访问的部分.接入层实现了与终端连接，使其可以进行带宽分配和业务通讯.标准ACL一般部署在目的设备近的地方，放在接入层.

接入层交换机是接入层中最常见的设备.接入层交换机一般是最简单的二层网络结构.可以直接面向用户，使用尤其广泛.在企业中一般作为部门内部通信连接为主，即插即用又十分易于使用和维护.使用接入层交换机可以有效地处理内部数据交换的需求.

2.2 网络汇聚层设计

企业中汇聚层起到承上启下的作用.可以为接入层的数据提供传输、分发、汇聚的作用.汇聚层通过划分vlan来与网络进行隔离，起到保护核心层免受网段问题的蔓延和影响.扩展ACL一般部署在源设备近的地方，放在汇聚层.

汇聚层交换机可以完成各种协议转换，用来确保不同的协议区域在核心层运行.一般汇聚层交换机属于三层交换机作用，可以完成网关和三层路由器的转发功能.相对于接入层交换机，汇聚层具有更高的性能.

2.3 网络核心层设计

在网络中，数据转发和路由表维护都是在核心层上完成的.核心层属于网络主干部分，保障整个网络的性能.可以实现骨干网络间的数据传输.

与网络接入层和汇聚层相比，它具有更强的性能，更高的吞吐量，更高的带宽.核心层的部署也是网络架构的重点，着重考虑冗余性设计.

3 网络拓扑搭建

针对当前企业面临的安全问题，结合网络三层架构，将ACL规则、MSTP、Telnet协议和OSPF协议相结合，搭建网络拓扑结构，网络拓扑结构如图3所示，具体要求为：

图3 企业中ACL功能的实现

研发部.与办公室进行对接.组网搭建时需要构建与办公室通信协议.研发部与办公室搭建area2区域，完成数据通信，同时保护财务部与服务器信息安全，研发部无法与财务部通信并只能通过http服务器访问内部服务器.

财务部.与办公室进行对接，组网搭建需要保证与办公室的互通，构建area3保障数据的通信.为了保护内部服务器信息安全，只能通过http服务器访问，并不支持访问外网.

办公室.作为企业核心部门，可以登录管理企业路由器，保障内网和外网数据的流通，可以管理财务部和研发部.并可以访问企业内部服务器，保障数据安全.

企业内部路由器搭建area区域，通过OSPF协议来划分，有效地实现链路状态.

3.1 OSPF区域划分设计

将企业网络划分成4块区域，每个区域内通过OSPF协议完成数据互通的工作.通过划分区域很容易规划内部网络结构和确定网络架构中的各个分层.

area0区域：将连接办公室、研发部的路由器和连接财务部、内部服务器的路由器建立area0区域.这是企业网络组网中的核心部分.area0区域的路由器需要完成各项协议的转换和数据传输的工作，构建基本ACL可以对源地址进行包过滤.

area1区域：将连接外部网络的路由器和外网建立为area1区域.这是企业内部与外部通信需要经过的路由器，在area1区域构建高级ACL可以对源地址和目的地址进行安全防护.

area2和area3区域：是将企业内部门间进行区域划分，有利于部门内部和部门间的数据通信.不仅可以在区域内部完成数据交互，也能跨区域完成数据交互.

3.2 Telnet远程登录设计

办公室作为企业内部的核心部门，需要对企业网络安全进行日常维护工作和问题发生及时响应.在办公室设置Telnent技术可以对企业内路由器进行管理和维护.使整个网络规划设计完整运行.同时将Telnet技术和ACL技术相结合，有权限的IP地址可以通过Telnet远程登陆，保证企业内网安全.

使用Telnet技术完成对企业内部R1、R2、R3的远程登录操作.从而完成日常维护的工作.通过设置密码的方式，保障远程登录的安全，防止权限不够的部门恶意进入路由器，破坏企业内部数据传输安全.

3.3 二层交换机设计

研发部和财务部在企业中需要经常进行数据交换，必须保证区域线路通畅.为了保障数据传输的稳定性和连续性，在研发部和财务部的area3区域添加二层交换机.并且采用MSTP+VRRP架构增加冗余和带宽.从而减少资源占有率，实现负载均衡.多线路模式也解决了单线路模式下，一旦线路故障，数据无法传输的问题.

4 仿真实现过程

首先根据需求进行设备类型选型，然后根据拓扑结构和要求利用华为eNSP模拟器模拟真实的实验网络环境，最后对网络通信权限和网络攻击进行验证，看构建的网络能否防御攻击，具体仿真实现步骤如下.

4.1 网络设备的选型

在设备选型上需考虑到使用华为相关的网络设备，通过对本次网络设计的分析，构建组网需要用到的设备需要满足接入层、汇聚层、核心层的要求.

接入层：接入层作为直接连接终端，服务用户的部分.使用接入层交换机可以有效地进行工作.华为S3700系列企业交换机针对企业用户可以接入多种应用场景，支持静态路由、vlan集中管理等优点，配备下行24个(扩容到48)个百兆端口，上行4个千兆端口.在接入层可以起到多主机设备接入的优势.

汇聚层：汇聚层需要实现多种协议，并在接入层和核心层之间做到承上启下的工作.在汇聚层交换机的选取上采用华为S5700系列企业交换机.相比于接入层交换机，汇聚层交换机应该具有万兆上行接口，高密度千兆端口满足企业网络汇聚层的工作.用来完成更多协议的转换.并且在数据传输中具有处理带宽更高的能力.

核心层.核心层作为整个网络规划的重点，在设备的选型上尤为重要.在核心层使用华为AR2200系列企业路由器.而路由器的性能更强、吞吐量更高、实现高可靠性，可以完成核心层的工作需求.

网络设备选型及数量如表1所示.

表1 设备选型及数量

本节通过对企业内部网络安全进行需求分析，完成企业内部网络拓扑三层架构的设计，之后对组网每一个环节进行详细的设计和说明，最终完成网络规划设计和相关网络设备的选型.

4.2 组网配置

结合网络规划的前期分析和网络拓扑图的搭建，相应地将ACL规则和OSPF协议相结合，按照对应要求完成网络安全访问控制策略的实现.整体组网搭建要求和网络配置构建工作为：

(1)企业内部网络运行内部网关协议(OSPF)；

(2)R1、R2、R3只允许被办公室访问并管理；

(3)办公室和研发部可以访问外网，财务部不能访问外网；

(4)财务部和研发部只能访问服务器的http服务；

(5)area0 采用区域认证；

(6)area3采用MSTP+VRRP架构增加冗余和带宽.

先对部门内部的IP地址和网关配置，之后对企业内部网络设备按照需求进行配置，完成组网和功能实现工作.下面给出主要配置过程.

4.2.1 部门和内部服务器的IP地址和网关的配置

先针对企业内部各部门的IP地址，子网掩码和网关进行配置.保障部门内部的IP地址划分正确和内部网络连接正常.

办公室配置IP地址分别为：192.168.10.0/24，网关为：192.168.10.1；

服务器配置IP地址分别为：192.168.20.0/24，网关为：192.168.20.254；

研发部配置IP地址分别为：192.168.30.0/24，网关为：192.168.30.254；

财务器配置IP地址分别为：192.168.40.0/24，网关为：192.168.40.254.

4.2.2 配置各区域OSPF协议

[R1]ospf 1\创建OSPF

[R1-ospf-1]area 0.0.0.0\创建area区域

[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher\配置OSPF区域认证

[R1-ospf-1-area-0.0.0.0]area 0.0.0.1\创建另一个area区域

[R1-ospf-1-area-0.0.0.0]ospf enable 1 area 0.0.0.0 \配置OSPF协议

[R1-ospf-1-area-0.0.0.0]traffic-filter outbound acl 1000

……

4.2.3 配置ACL实现组网需求

[R2]ospf\创建OSPF

[R2-ospf-1]area 0.0.0.1\创建area区域

[R2-ospf-1-area-0.0.0.1]user-interface con 0\配置Console口登录认证功能

[R2-ui-console0] authentication-mode password\在vty下用passrod设置密码

[R2-ui-console0]acl 2000 inbound\acl 2000 作用在接口进入方向

[R2-ui-console0] authentication-modeaaa\创建本地用户并启用AAA验证

[R2-ui-console0]user-interfacevty 16 20\代表允许5个用户登录

[R2-ui-console0]acl 2001 inbound

……

4.2.4 配置多生成树协议

[SW1]stp region-configuration\进入MST域视图

[SW1-mst-region] region-name chxy\名称设置为chxy

[SW1-mst-region] revision-level 15\级别设置为15

[SW1-mst-region] instance 1 vlan 10\ instance1包括vlan10

[SW1-mst-region] instance 2 vlan 20\ instance2包括vlan20

[SW1-mst-region] active region-configuration\激活以上配置

[SW1-mst-region] local-user chxy privilege level 15

[SW1-mst-region] local-user chxy service-type telnet \配置Telnet协议

……

4.3 网络通信验证

(1)配置完成后，财务部和研发部可以通过HttpClient访问内部服务器，通过访问http://192.168.40.1的地址访问服务器文件，验证结果如图4所示.

图4 财务部通过http访问内部服务器

(2)研发部，办公室用于企业内部与外部通讯正常，可以ping通外部网络，正常访问外网.外网访问财务部被ACL包过滤出去，保护数据安全.同时财务部防止网络攻击，数据传输做到只出不进.

(3)办公室可以和研发部、财务部、内部服务器通信，并且可以通过telnet协议远程直接登录企业路由进行管理控制，验证如图5所示.

图5 办公室远程登录R2路由器

(4)area3区域配置MSTP协议之后，可以保证研发部和财务部访问外网时可以自动切换线路，保证通讯正常.解决单线路冗余，堵塞，中断等问题的发生.

4.4 ACL的配置问题及解决方案

4.4.1 查看ACL的生效顺序

在任意视图下执行命令display acl …或者在ACL视图下执行命令display this，可以查看ACL规则的生效顺序：

ACL在config模式下：编号越小规则越优先；

ACL在auto模式下：编号越小规则越优先；

ACL6在config模式下：编号越小规则越优先；

ACL6在auto模式下：排名最高的规则先生效，规则以数字的升序排列.

4.4.2 流策略中应用的ACL不支持哪些报文进行过滤

流策略中应用的ACL不支持过滤发送给CPU进行处理的协议报文.

VRRP使用的协议数据包是目的IP地址为224.0.0.18的组播数据包.数据包到达设备后，将被发送到CPU进行处理.因此，未启用流策略ACL.对于此数据包，成员路由器仍可以协商主备关系；

DHCP客户端与服务器交换DHCP消息以获得有效的动态IP地址.流策略ACL未被启用，因为消息在到达设备时即被发送到CPU进行处理.消息和设备无法阻止一个接口下的用户将通过DHCP自动获得IP地址；

用户主机对设备执行ping操作时，ICMP数据包到达设备后会被发送到CPU进行处理，因此未为该数据包启用流策略ACL，并且用户主机将设备发送到设备且不能阻止执行ping操作.

通过将ACL应用于本地攻击防护黑名单，可以过滤发送到CPU进行处理的协议数据包.

(1)在系统视图下，执行命令，可以进入攻击防范策略视图；

(2)执行命令可以创建黑名单；

(3)执行命令应用防攻击策略.

本节通过规划网络拓扑图，在华为eNSP上进行网络实验，通过vlan间通讯、单臂路由、ACL策略配置，使R1路由器无法ftp远程服务器.ACL设计和实现顺利进行，为以后网络的完善和规划巩固基础.

5 小 结

本文通过对中小型企业面临的网络数据安全问题，首先利用OSPF协议对企业园区进行区域划分，在网络中心办公室可以利用Telnet协议远程管理和控制路由器的配置工作，在其他办公区域利用MSTP和VRRP技术增加冗余和带宽，增强网络的健壮性，最后在网络的核心层配置ACL，实现企业网络的安全访问控制.在后期的设计上，可以结合机器学习和深度学习，设计针对网络用户入侵行为的智能化检测方案，以支持企业数字化和智能化的发展.