淺析通過路由器ACL功能加固局域網安全的措施

李江靈

摘 要：隨著IT技術的飛速發展和深入應用。計算網絡在人們生活中扮演者越來越不可或缺的角色。不管是企業還是政府、學校、商業領域網絡都成為產品代言的依托。正因為網絡的重要性、普通性及開放性使得網絡容易受到外界的攻擊。因此網絡安全問題成為困擾各行各業的主要技術問題。雖然面對當前的網絡社會和法制社會我國出臺一套相應安全的網絡法制體系。只是從人為因素上規范網絡的使用。但致命的問題還在于技術。所以本文從網絡安全中局域網安全區分析如何通過現有的網絡硬件比如路由器的ACL功能去如何加固局域網的安全。

關鍵詞：路由器；ACL功能；局域網；安全措施

1 ACL概述

ACL是Access？Control？List（訪問控制列表）的英文縮寫。在介紹標準訪問控制列表之前我們應該明白路由器是工作在OSI七層參考模型的網際層，而網際層是基于IP地址協議的數據傳輸。標準訪問控制列表是一種基于包過濾的流控制技術，在路由器中被采用，它可以有效的在三層上控制網絡用戶對網絡資源的訪問，既可以具體到兩臺網絡設備間的網絡應用，也可以按照網段進行大范圍的訪問控制管理。通過實施標準訪問控制列表，可以有效的部署企業網絡出網策略，也可以用來控制對局域網內部資源的訪問能力，保障資源安全性，但會增加路由器開銷，也會增加管理的復雜度和難度，是否采用標準訪問控制列表技術，是管理效益與網絡安全之間的一個權衡。初期僅在路由器上支持標準訪問控制列表，近些年來已經擴展到三層交換機，部分二層交換機如2950之類也開始提供標準訪問控制列表的支持。

2 ACL工作原理

ACL（Access Control List，訪問控制列表），是應用在路由器接口上的指令列表，這張表中包含了匹配關系、條件和查詢語句，這些指令通過路由器哪些數據包分組可以接收，哪些數據包分組需要拒絕。訪問控制列表又可分為（標準訪問控制列表）和（擴展訪問控制列表）。其中標準訪問控制列表是基于源地址做為判斷依據。擴展標準訪問控制列表是基于源地址、目標地址、源端口、目標端口等做為判斷依據。不論是標準訪問控制列表還是擴展標準訪問控制列表，標準訪問控制列表只是一個框架結構，其目的是為了對某種訪問進行控制，使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。

3 ACL實際應用案例解析

問題：假設我們在構建大學校園網的時候，只允許行政人員上班時間只能訪問互聯網上的WEB，FTP和電子郵件等常用服務。拒絕BT、電驢、在線電影、網絡游戲甚至QQ、MSN等與工作無關的數據，如圖1

問題分析：只允許行政人員上班時間只能訪問互聯網上的WEB，FTP和電子郵件等常用服務。可以用三層交換機 ACL 實現在交換機上劃分VLAN，案列中具體劃分為VLAN1、2、3、4。

目的是為了實現VLAN間通信，端口VLAN分配：0/1-4：VLAN 1； 0/5：VLAN 2常用的服務如下：Web ： TCP 80（HTTP）、443（HTTPS）；FTP ： TCP 20（FTP-Data）、21（FTP-Connect）；E-Mail ： TCP 25（SMTP）、110（POP3）、143（IMAP4）；DNS ：UDP 53、TCP 53；Telnet ：TCP 23；MSN Messenger：TCP 1863；Ping （ICMP type 8），……

因此我們就可以創建一張訪問控制列表，在訪問控制列表中開放相應的服務，禁止不相關服務就可以實現，具體如下：

ip access-list extended port_permit（創建訪問控制列表）

permit tcp any any eq 20

permit tcp any any eq 21

permit tcp any any eq 23

permit tcp any any eq 25

permit tcp any any eq 53

permit udp any any eq 53

permit tcp any any eq 80

permit tcp any any eq 110

permit tcp any any eq 143

permit tcp any any eq 443

permit tcp any any eq 1863

permit icmp any any 8

deny ip any any （隱含拒絕所有，可不用配置）

將訪問控制列表應用到接口：

interface Vlan 1

ip access-group port_permit in

interface Vlan 2

ip access-group port_permit in

用戶訪問外網時，數據包會發送至缺省網關，即相應 vlan interface接口。在數據包入站時，三層交換機根據配置在vlan interface入站方向 （in） 的ACL過濾數據。

4 使用ACL加固局域網安全措施

我們在架構具體網絡時根據所選用設備的不同而采用相應的安全措施，在使用ACL訪問控制列表時我們可以視具體情況采用以下三種方法：

①標準IP地址訪問控制列表： 一個標準IP地址訪問控制列表匹配IP地址包中的源地址或源地址中的一部分，可對相配的包裝采取拒絕或允許兩個操作。編號范圍從1到99的訪問控制列表是標準IP地址訪問控制列表。

②擴展IP地址訪問控制列表： 擴展IP地址訪問控制列表比標準IP地址訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP地址優先級等。編號范圍從100到199的訪問控制列表是擴展IP地址訪問控制列表。

③命名的地址訪問控制列表： 所謂命名的地址訪問控制列表是以列表名代替列表編號來定義地址訪問控制列表，同樣包括標準和擴展兩種列表，定義過濾的句子與編號方式中相類似。 實際依據具體的需要而選用不同的控制列表。

總之，路由器訪問表是網絡防御外來安全威脅的第一關，它是通過允許或拒絕信息流通過路由器的接口來實現的一種機制。通過人為配置ACL后，可以限制網絡流量，允許特定設備訪問，指定轉發特定端口數據包等。如可以配置ACL，禁止局域網內的設備訪問外部公共網絡，或者只能使用FTP服務。ACL既可以在路由器上安裝，也可以在具有ACL功能的應用軟件上進行安裝。

參考文獻：

[1]鮑蓉主編.網絡工程教程[M].中國電力出版社 .

[2]雷震甲主編.網絡工程師教程[M].清華大學出版社.

[3]車世安，賀全榮.局域網組建、管理及維護實用教程[M].清華大學出版社.

[4]《IEEE802.1X技術白皮書V10》.北京港灣網絡有限公司產品部.

[5]田園主編.網絡安全教程[M].人民郵電出版社.

[6]魏亮編著.路由器原理與應用[M].人民郵電出版社.