ACL技術在醫院局域網中的實施和應用

應旭鋒，葉曉景，趙雪雷，陳文迪，黃智勇解放軍第113醫院信息科，浙江寧波　315040

論著

ACL技術在醫院局域網中的實施和應用

應旭鋒，葉曉景，趙雪雷，陳文迪，黃智勇
解放軍第113醫院信息科，浙江寧波315040

訪問控制列表（Access control list），簡稱ACL，是在交換機、路由器上設置一條或多條訪問規則來管理和限制數據流的一種技術，它的作用是提高網絡運行效率及網絡服務質量，降低網絡威脅，保障網絡安全運行。該文詳細介紹了訪問控制列表的基本概念和工作原理，并以覆蓋內部局域網、醫保網等網絡組成的環境較為復雜的醫院網絡為背景，根據各種應用環境制定相應實施計劃，具體配置方法，以及ACL實施應用后給該院網絡帶來的最終效果。

ACL；局域網；網絡安全

［Abstract］Access control list，abbreviated as ACL，as a technology for managing and restricting data stream by setting one or more access rules on the switch and router，its function is to improve the network operational efficiency and network service quality，reduce the cyber threat and ensure the safe operation of network.The paper introduces the basic concept and working principle of the access control list in detail，and it brings the final effect to the network in our hospital after the ACL is implemented by making corresponding implementation plans and specific configuration methods according to the various application environments under the background of covering the complex hospital networks such as Internal LAN and medical insure net.

［Key words］ACL；LAN；Network security

該院HIS網絡始建于2000年，隨著醫院業務范圍的逐漸擴大，各種醫療設備系統軟硬件的不斷投入部署，網絡設備和網絡終端也在相應增加，網絡環境逐步擴大化、多樣化、復雜化。尤其是近幾年，信息化系統飛速發展，該院不斷新增及完善HIS系統（醫院信息化系統）、PACS系統（影像傳輸系統）、LIS系統（檢驗系統）、RIS系統（病理系統）、移動醫護系統、微信支付寶支付平臺、OA系統、智能樓宇等系統，全面覆蓋了醫療、護理、科研、管理等各方面。網絡承載的數據量日益增長，各種復雜的數據交互對該院的網絡安全構成比較大的威脅。為有效控制網絡中復雜的數據流，確保該院網絡及數據的安全，該院通過ACL來保障網絡資源不被非法訪問和使用。

1　ACL的定義

ACL（Access control list）即訪問控制列表，是客戶和網絡服務提供者之間協商一個服務級別協定（SLA Service Level Agreement），用于支持QOS（Quality of Service），提高網絡服務質量。它是一組由permit或deny以及源IP地址、目的IP地址、協議類型組成的語句，用來控制網絡的數據流向等。

2　ACL的分類

ACL按過濾范圍來分，可分為標準ACL和擴展ACL［1］。標準ACL基于源地址為過濾標準，只能粗略地限制某一大類協議，標準ACL一般配置在距離目的網絡最近的路由器上。而擴展ACL是基于協議類型、源地址、目標地址、源端口、目的端口為過濾標準，可以精確限制到某一種具體的協議，擴展ACL一般被配置在距離源網絡最近的路由器上。

3　ACL的基本原理和工作過程

訪問控制列表是應用在交換機、路由器或操作系統上的指令列表，使用包過濾技術，在路由器上讀取第二層、第三層及第四層包頭中的信息源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。適用于以下不同場合：允許或禁止對路由器交換機或來自路由器交換機的telnet訪問；QOS（服務質量）與隊列技術；策略路由；數據速率限制；路由策略；端口流鏡像；NAT（網絡地址轉換）等。

ACL工作過程如圖1所示。

圖1　

ACL的執行順序是自上而下的，當數據包到達時，數據包信息將與ACL中語句逐條匹配，每個ACL末尾都隱藏一條deny any any的拒絕語句，如果數據包跟ACL中的某個語句相匹配，那么后面的語句將被跳過，當數據包信息與末尾語句之前任意一條語句規則 （permit或deny）不匹配時，數據包將與最后一條語句匹配，然后做丟棄處理。所以應該把最詳細的ACL語句放在頂部，把不詳細的語句放在列表的底部。

4　ACL的具體應用

4.1實施計劃

創建ACL，達到如下需求。

①各業務部門之間禁止相互訪問，只能訪問服務器。減少網絡流量負載、病毒、廣播風暴等網絡威脅。②管理員計算機可以訪問所有部門計算機，并且可以telnet遠程管理網絡交換機，及時有效保障設備安全。③限制外部網絡對web服務器http，sql服務器1433，ftp服務器ftp端口的訪問。④關閉部分易被攻擊端口，防止病毒入侵、傳播。禁止非法使用tracertoute、ping等命令嗅探網絡。

4.2實施步驟

①各業務部門vlan之間禁止相互訪問，只能訪問服務器所在vlan。

Vlan1：服務器、管理員PC；IP：192.168.0.0/24

Vlan 100：1號樓PC；IP：192.168.10.0/24

Vlan 200：2號樓PC；IP：192.168.20.0/24

Vlan 300：3號樓PC；IP：192.168.30.0/24

核心交換機上配置如下：

hx（config-if）#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255

//允許vlan100訪問vlan1

hx（config-if）#access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.0.255

//允許vlan200訪問vlan1

hx（config-if）#access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.0.0 0.0.0.255

//允許vlan300訪問vlan1

hx（config）#int vlan 100

hx（config-if）#ip access-group 101 in

//將ACL應用到vlan100上

…

②管理員計算機可以訪問所有部門計算機，并且可以telnet遠程管理網絡交換機。

Vlan 700：交換機管理Vlan；IP：192.168.70.0/24

hx（config-if）#access-list 102 permit tcp 192.168.0.0 0.0.0.255 192.168.70.0 0.0.0.255 eq 23

//允許指定IP地址段通過telnet管理交換機

hx（config-if）#access-list 102 permit tcp 192.168.0.0 0.0.0.255 192.168.70.0 0.0.0.255 eq 161

//允許指定IP地址通過SNMP或HTTP協議訪問交換機

hx（config）#int vlan 700

hx（config-if）#ip access-group 102 out

//將ACL應用到交換機管理vlan700上

③與防火墻策略結合使用，共同限制醫保網等外部網絡通過前置機對web服務器http，sql服務器1433，ftp服務器ftp端口的訪問。

Route（config）#access-list 103 deny tcp any host 192.168.0.1 eq www

Route（config）#access-list 103 deny tcp any host 192.168.0.2 eq 1433

Route（config）#access-list 103 deny tcp any host 192.168.0.3 eq ftp

④在路由器里設置ACL，關閉135、136、137、138、445、1434等易被攻擊端口［2］，防止病毒通過這部分端口進行傳播，同時防止非法使用tracertoute、ping等命令嗅探網絡。

Route（config）#access-list 103 deny udp any any eq 135

Route（config）#access-list 103 deny udp any any eq 136....

Route（config）#access-list 103 deny tcp any any eq 135

Route（config）#access-list 103 deny tcp any any eq 136....

Route（config）#access-list 103 deny icmp any any echo

Route（config）#access-list 103 deny icmp any any echo-reply

Route（config）#access-list 103 deny icmp any any unreachable

Route（config）#access-list 103 deny icmp any any anypacket-too-big

Route（config）#access-list 103 deny icmp any any time-exceeded

Route（config）#access-list 103 deny icmp any any traceroute

Route（config）#access-list 103 deny icmp any any log

Route（config）#access-list 103 permit ip any any

語句的最后需要加上一條允許ACL，否則任何數據包都將無法訪問。

5　結語

網絡安全威脅既可以來自于外部網絡，也存在于內部網絡。添加適當的訪問控制列表有利于增強網絡的安全性、穩定性、高效性。該院自從應用了如上訪問控制列表，網絡的各種不穩定因素減少到了最小，工程師的維護量也明顯減輕，網絡運行效率得到顯著提升。

［1］梅申信.訪問控制列表在網絡安全中的應用［J］.甘肅科技2008，24（9）：28-30.

［2］鄺英偉.ACL在企業網絡安全中的應用［J］.福建電腦，2009 （9）：96-97.

Implementation and Application of ACL Technology in the Hospital VLAN

YING Xu-feng，YE Xiao-jing，ZHAO Xue-lei，CHEN Wen-di，HUANG Zhi-yong
Department of Information，PLA 113th Hospital，Ningbo，Zhejiang Province，315040 China

R197.32

A

1672-5654（2016）04（c）-0001-03

10.16659/j.cnki.1672-5654.2016.12.001

應旭鋒（1983.10-），男，浙江東陽人，大專，工程師，研究方向：計算機網絡與應用。

黃智勇（1971.1-），男，湖南株洲人，本科，館員，研究方向：醫院信息管理，郵箱：jd21@163.com。

2016-01-25）