基于ACL的邊界路由策略的應用研究

張 博

(中國聯合網絡通信有限公司吉林省分公司,吉林長春,130021)

基于ACL的邊界路由策略的應用研究

張 博

(中國聯合網絡通信有限公司吉林省分公司,吉林長春,130021)

通過某科研所對邊界路由策略需求的分析,針對ACL的基本功能實現和其在禁 ping,封端口,封 ip段等邊界路由中使用的安全策略進行了分析與研究。

ACL;路由策略

本文在對 acl功能和原理研究的基礎上,對其在某科研所的邊界路由器上的策略進行分析與研究。

1 ACL

ACL(Access ControlList,ACL)又名訪問控制列表。ACL是路由器和接口的指令列表,用來控制端口進出的數據包。ACL可以過濾網絡中的數據流量,是控制訪問的一種網絡技術手段。它可用于指定信息點之間進行通信,內部外部網絡之間進行通信,可通過安全策略來阻止非授權用戶的訪問,達到對訪問進行控制的目的,以保證內部網洛的安全性。以 H3C設備為例,ACL基本命令如下：

acl numberacl-number[nameacl-name][match-order{auto|config}]

rule[rule-id]{deny|permit}[fragment|logging|source{sour-addr sour-wildcard|any}|t ime-rangetimename|vpn-instancevpn-instance-name]

2 某科研所基本情況

為不透漏某科研所的真實 ip和便于進行本工程的科學研究,對實際問題進行了簡化和虛擬。這里假定科研所使用的外部 ip地址為：202.1.1.1,內部架設的服務器 ip地址為：192.168.1.1,其他科研所使用的外ip地址為：202.1.1.2,合作企業的外 ip地址為 202.1.1.3。

把實際問題工程化為：可以允許 192.168.1.0網段的 ip數據包訪問外部網絡;192.168.1.1與 202.1.1. 1內外網地址進行轉換,并允許 202.1.1.2和 202.1.1.3訪問內部服務器 192.168.1.1。

網絡交互拓撲如圖所示：

圖1 某科研所與外界網絡交互的拓撲圖

3 ACL基本功能實現

3.1 配置ACL主要內容

[router]acl number 3000

3.2 ACL在防火墻和地址轉換中的應用

4 ACL安全策略應用

4.1 禁 ping

黑客入侵時,大多使用 Ping命令來檢測主機,如果 Ping不通,就可以一定程度的保護網絡的信息,防止黑客的攻擊。

[router-acl-adv-3000]rule deny icmp source any destination any

4.2 封端口

封端口常用于通過限制某款軟件的通信信道使用的端口號而起到阻止使用該款軟件的作用,或者用于防止病毒的攻擊和傳播。

防止Blaster蠕蟲病毒是防止 tcp的 4444號端口和 udp協議的 69號端口。

用于控制振蕩波的掃描和攻擊是封 tcp協議中的 445號端口、5554端口、9995端口、9996端口,控制Wor m_MSBlast.A蠕蟲的傳播是封掉 udp協議的 1434端口。

4.3 封 ip段

有些軟件或病毒具有啟用隨機端口進行連線的能力,如 QQ默認情況下使用 udp協議的 4000端口和6000端口,如果這兩個端口被禁止的話,它會自動尋找其它端口,比如,用 tcp協議的 10XX的端口(隨機的)連接到服務器,這就要求我們查封它的服務器所在的 ip阻止通信。

5 結 語

使用ACL配置邊界路由策略,可以對 ip數據包的出入進行很好的控制,起到防攻擊,保護內網安全的作用。ACL還有很多功能,這里只針對該項目的實際情況對ACL的應用做了分析與研究。

[1] 唐子蛟.基于ACL的網絡安全管理的應用研究[J].四川理工學院學報,2009,2(1)：48-51.

[2] 范萍.基于ACL的網絡層訪問權限控制技術研究[J].華東交通大學學報,2004,21(4)：89-92.

[3] 劉明輝.基于Web挖掘的網站優化系統的研究[J]長春大學學報,2009(6)：35-37.

責任編輯：吳旭云

A research on the application of border routing strategies based on ACL

ZHANGBo
(Jilin Branch of China Unicom,Changchun 130021,China)

Aiming at the basic function ofACL,this article studies the security strategiesof border routing including banningping command,prohibiting the specified port communications and specified ip address through analyzing the requirements of the border routing in a certain scientific research institute.

ACL;routing strategy

TP393

A

1009-3907(2010)06-0084-02

2010-01-09

張博(1981-),女,吉林長春人,助理工程師,碩士研究生,主要從事計算機安全研究。