ACL在中小型企業(yè)網絡中的應用

摘要：現(xiàn)如今，各個企業(yè)為了方便業(yè)務開展和提高工作效率，都將網絡應用引入企業(yè)的日常工作。但員工使用網絡的隨意性，對網絡的性能和安全造成巨大威脅。為保障網絡暢通，就要設法拒絕非法的外網訪問，嚴格控制上網時間。若通過網絡安全設備來管理整個網絡，就大大增加了企業(yè)的額外開銷。因此，對于這些問題，我們都可以通過網絡控制來完成，利用ACL訪問控制列表來進行企業(yè)網絡安全的管理與維護。

關鍵詞：網絡安全；網絡控制；ACL

Abstract: Abstract: In order to facilitate business development and improve efficiency， every enterprise introduces network application of daily work， but the employees use the net as one pleases， performance and safety of network were faced a great threat. For the smooth of network， and limit access to web sites and online time， also want to refuse illegal access， To manage the entire network by the network security equipment will greatly increase the enterprise overhead. Thus， for these problems can be accomplished through network control， using the ACL access control list to improve the enterprise network security management and maintenance.

Keywords: Network security; Network control; ACL

隨著網絡應用在企業(yè)運營中的作用越來越重要，網絡的應用為不同企業(yè)之間的合作，企業(yè)內部部門之間通信，以及資源的共享提供了途徑；但同時網絡互聯(lián)也導致了企業(yè)的資料和各部門之間數據的保密性降低，影響了企業(yè)的信息安全。因此，企業(yè)網絡的安全管理必需考慮到各部門之間的訪問控制，采用訪問控制列表ACL能夠保證企業(yè)網絡資源不被非法使用和訪問，外來入侵者不能盜竊到內部信息，并能降低企業(yè)增加網絡安全設備所付出的額外開支。

現(xiàn)以一個實例，設計中小企業(yè)網絡控制方案并實現(xiàn)：

企業(yè)有人事部、軟件開發(fā)部、網站設計部、財務部4個中心部門。企業(yè)內部有一臺主交換機，各部門可以再接普通交換機進行擴充，現(xiàn)用一臺路由器來實現(xiàn)企業(yè)內部各部門間的訪問控制及互聯(lián)網訪問控制。

一、企業(yè)網絡控制方案應實現(xiàn)的以下功能：

1.不同部門之間不能互相訪問，同部門之間的員工可以互相訪問；

2.企業(yè)管理者可以訪問所有的部門，自由訪問Internet；

3.部門的員工在特定時間段訪問Internet；

4.對服務器的訪問有限制，要區(qū)分不同部門的網絡；

5.財務部只有Email的數據被允許，而其他類型的數據流量都會被路由器禁止。這樣可以限制企業(yè)內部對外部網絡的訪問，只允許收發(fā)郵件，而不能進行其他的網絡訪問；

6.各部門禁止訪問QQ和網絡游戲，還可以限制員工瀏覽網頁、限制員工上傳企業(yè)內部的資料，從而保護企業(yè)信息的安全，限制使用BT下載工具浪費流量等；

7.控制上班期間上網時間分配。

二、該方案的以上功能通過如下步驟實現(xiàn)：

1.首先給4個部門劃分VLAN，人事、軟件開發(fā)、網站設計和財務部分別對應VLAN2，VLAN3，VLAN4 和VLAN5，再為它們分配相應的IP 網段，再根據企業(yè)的需要，如圖1所示利用基于IP 地址的擴展ACL 來控制各部門之間的訪問限制。

2.訪問控制列表保護企業(yè)網絡安全

在企業(yè)內部服務器和客戶端上使用訪問控制列表可以保護企業(yè)的內部網絡安全，使該企業(yè)的網絡連接互聯(lián)網時免受外部黑客的攻擊。然而對于企業(yè)網絡來說，不僅有外部攻擊還有內部的攻擊。內部的訪問控制列表ACL可以幫助保護網絡安全免遭內部危害，如員工盜竊企業(yè)機密文件，各企業(yè)競爭有人造成內部破壞等。

所以，我們根據企業(yè)的安全分析和業(yè)務需求分析來決定該企業(yè)的安全策略，利用ACL來為該企業(yè)構建一套網絡防火墻。

企業(yè)的網絡防火墻安全策略指明了哪些外部數據包被允許或被禁止通過，并且制定了內部網絡服務的一些規(guī)則。在路由器上設置訪問控制列表ACL來完成該企業(yè)的安全策略布局，實現(xiàn)網絡防火墻的功能，如圖2所示。

3.路由器和交換機：在企業(yè)的路由器中設置ACL可以提高安全性。在網絡傳輸中限制傳輸的類型，提高性能，減少網絡漏洞，能防止內部的攻擊，如各種木馬程序和蠕蟲病毒的攻擊。通過對病毒進行分析，了解病毒主要是通過TCP的135、136、137、138、445、4444端口，UDP的69、135、136、445端口來發(fā)動攻擊的。路由器作為內部計算機的跨網訪問的通道，可以將這些端口限制掉，便可以防止病毒通過路由器從外網進入，也可以防止內部的病毒通過路由器向外傳染病毒，同時在中心交換機上劃分的VLAN也可以防止病毒在子網之間的傳播。

Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 135

Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 136

Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 137

Router(config)#access-list 101 permit ip any any

Router(config)#int e0

Router(config-if)#ip access-group 101 in

4.財務部：由于財務部的數據庫服務器上面的數據是比較機密的，不是任何人都可以訪問上面的數據，這時就要用到訪問控制列表ACL，在列表中規(guī)定哪些主機可以訪問財務部數據庫服務器，并且此列表外的主機要想訪問財務部服務器時，就會被路由器過濾掉

access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255

access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255

access-list 101 permit ip any any

禁止人事部、軟件開發(fā)部、網站設計部訪問財務部。

5.軟件開發(fā)部：由于軟件開發(fā)部需要編寫大量程序，大部分時間用于編程，但有時候需要上網搜索資料。所以利用基于時間的ACL來限制上網的時間。只允許軟件開發(fā)部172.16.3.0網段的員工在周一到周五下午三點到五點訪問服務器172.16.5.13上的FTP資源，其他工作時間不能下載該FTP資源。

路由器配置命令：

Router#show clock

Router#clock set

Router(config)#time-range worktime定義時間段名稱為worktime

Router(config-time-rang)#absolute start 15:00 end 17:00

Router(config-time-rang)# periodic weekdays monday to firday

periodic weekend 15:00 to 17:00 定義具體時間范圍為每周一到周五的三點到五點。periodic weekdays monday to firday是定義工作日。

access-list 101 deny tcp any 172.16.5.13 0.0.0.0 eq ftp time-range aaa禁止在時間段aaa范圍內訪問172.16.5.13的FTP服務。

access-list 101 permit ip any any容許其他時間段和其他條件下的正常訪問。

int E1進入E1端口。

ip access-group 101 out 輸出方向。

基于時間的ACL比較適合于時間段的管理，通過上面的設置，172.16.3.0的用戶就只能在周一到周五下午三點到五點訪問服務器的FTP資源，其他時間均不能訪問

6.網站設計部：負責企業(yè)的主要工作，為客戶設計其要求的網站。在這里，員工是不允許上網的，但是其又需要不斷地與客戶交流。所以，部門內必須設置特定的主機，與客戶進行遠程交流。這里利用ACL在主交換機上設置一臺特定主機能過訪問外網并能過telnet。

access-list 1 permit host 192.168.2.2

access-list 1 deny any

int s0/0

ip access-group 1 out

line vty 0 4

access-list 1 in

7.人事部：人事部主要負責人事招聘，需要經常上網了解網上人力資源，了解各種人才對企業(yè)的需求。所以，在工作期間，可能會有人上QQ、玩游戲、下載文件等，造成企業(yè)流量浪費。所以，限制他們一些其他類型的數據流量，而有Email的數據流量被允許，這樣就可以限制該企業(yè)內部對外部網絡的訪問，只允許員工接收外部郵件，訪問一些固定的網址。

用ACL來禁止QQ，QQ登陸使用時8000端口（TCP/UDP）

Router(config)#access-list 101 deny udp any any eq 8000禁止QQ流量；Router(config)#access-list 101 permit udp any any允許過濾后所有UDP流量；Router(config)#access-list 101 permit tcp any any允許過濾后所有TCP流量；Router(config)#access-list 101 permit ip any any允許過濾后所有IP流量。

Router(config)#Int e0/0

Router(config)#Ip access-group 101 in

利用ACL限制BT下載

access-list 101 deny tcp any any rang 6881 6890

access-list 101 deny tcp any rang 6881 6890 any

access-liat 101 permit ip any any

8.管理服務器：主要用來管理和限制各個部門之間的訪問權限，便于管理者管理和及時了解企業(yè)數據信息。通過在管理服務器上設置ACL，管理者可以訪問所有的部門，自由訪問Internet，而其他部門則沒有權限訪問管理服務器。

access-list 101 permit ip 192.168.5.0 0.0.0.255 any

access-list 101 deny any

ip access-list extended outfilter

這樣，企業(yè)管理者可訪問所有部門并能自由上網，所有部門不能夠訪問該企業(yè)的管理服務器等功能。

該企業(yè)設置訪問控制列表后，可以限制一些部門訪問網絡的流量，提高網絡寬帶速度和性能，對數據流量起到一定的控制作用，同時也是保護網絡訪問安全的基本手段。在路由器的端口上配置訪問控制列表后，可以對進入端口、出去端口和通過路由器中繼的一些數據包進行檢測以確保安全。在各部門的交換機上設置ACL，不但禁止了各部門之間的隨意訪問，而且保護了各部門的數據安全，使各部門履行其職。

三、總結：

如果企業(yè)的部門較多，只需要在本設計上類似的擴充即可。本設計不但方便了企業(yè)的網絡管理，提高了企業(yè)網絡的安全性，更節(jié)省了企業(yè)在網絡方面的額外開支，是一種極具可行性、操作性、指導性的設計。

參考文獻

[1] 原峰山，陳立德. 網絡管理與安全. 清華大學出版社

[2] 諸 曄.用ACL實現(xiàn)系統(tǒng)的安全訪問控制[J].計算機應用與軟件.2005.22(3):111-114

[3] 范 萍，李罕偉.基于ACL 的網絡層訪問權限控制技術研究[J]. 華東交通大學學報.2004.21(4):89-92

[4] 網絡安全性設計 Merike kaeo，CCIE #1287 著 人民郵電出版社 100-105