談ACL技術在明清檔案數字化工作中的應用

胡芳芳

（中國第一歷史檔案館 北京 100031）

1 引言

自2011年起，某單位進行了大規模的明清檔案整理和數字化工作，其中，檔案的數字化加工工作對網絡數據的高速傳輸、數據傳輸的安全性和完整性都有很高的要求。隨著網絡規模的擴大和流量的增加，網絡訪問控制列表（即Access Control List，以下簡稱ACL）的靈活運用可以有效防止非法用戶對網絡的訪問，同時也可以控制流量、節約網絡資源，本文結合該單位實際，談ACL技術在明清檔案數字化工作中的應用。

2 基本概念的梳理

網絡環境，是指將分布在不同地點的多個計算機物理上進行互聯，依據某種協議互相通信，實現軟、硬件及其網絡文件共享的系統。

網絡環境是單位信息化建設的一個重點，也是現代化管理軟件運用的平臺。由于單位的網絡建設需要花費大量的資金投入，運行和維護費用高，網絡應用與技術開發難度大，以及硬件更新換代快的特點，需要從本單位的實際出發，根據工作實際的需要，科學構建合理高效實用的網絡環境，保證單位網絡切實為工作服務，提高網絡效率。

訪問控制列表（即Access Control List，以下簡稱ACL）是路由器和交換機的重要功能之一，是基于包過濾的軟件防火墻，根據網絡中數據包所含的信息，決定是否允許數據包通過，從而簡單高效地實現對網絡的保護[1]。

ACL是由一系列語句組成，這些語句主要包括匹配條件和采取的動作（允許或者拒絕）兩個部分。當交換機的端口接收到報文后，即根據當前端口上應用的ACL規則對報文的字段進行分析，在識別出特定的報文之后，根據預先設定的策略允許或禁止相應的數據包通過。

由ACL定義的數據包匹配規則，也可以被其它需要對流量進行區分的功能引用，如QoS中流分類規則的定義。ACL通過一系列的匹配條件對數據包進行分類，這些條件可以是數據包的源地址、目的地址、端口號等。根據應用目的，可將ACL分為以下四種：

A.基本ACL：只根據數據包的源IP地址制定規則。

B.高級ACL：根據數據包的源IP地址、目的IP地址、IP承載的協議類型、協議特性等三、四層信息制定規則。

C.二層ACL：根據數據包的源MAC地址、目的MAC地址、802.1p優先級、二層協議類型等二層信息制定規則。

D.用戶自定義ACL：以數據包的頭部為基準，指定從第幾個字節開始與掩碼進行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文。

ACL在交換機上的應用支持兩種應用方式：

A.基于硬件的應用：即ACL被下發到硬件。例如配置Qos功能時引用ACL，對報文進行流分類，在這種情況下，交換機對匹配此ACL的報文采取的動作由Qos中流行為定義的動作決定。

B.基于軟件的應用：ACL被上層軟件引用，在這種情況下，交換機對匹配此ACL的報文采取的動作由ACL規則中定義的動作決定。[2]

3 核心交換機上ACL的實現

考慮到某單位檔案整理和數字化項目的啟動，會擴大網絡規模，本單位內有更多的機器需要連入局域網，同時引入社會力量加入此項工作，需要更多的計算機為外包公司工作服務。根據實際情況采用的是核心層-接入層兩層的網絡結構。配備了高性能的核心交換機，對辦公網絡和數據加工網絡進行整合，同時搭配大量的接入層交換機，把館內所有的終端計算機接入網絡。網絡核心層主要作用是高速轉發通信，提供網絡優化、可靠的骨干傳輸結構，通過核心交換的接口、VLAN、協議設計等，確保整合后的網絡環境安全可信。網絡的高性能和高可靠性是設計的重點。網絡接入層是底層網絡的接口，相對結構簡單，目的是允許終端用戶連接到網絡，因此接入層交換機具有低成本和高端口密度特性

為了局域網的安全和工作的需要，辦公區內的計算機之間可以互訪，各個外包公司之間不可以互相訪問。辦公區和外包公司都可以訪問特定VLAN的服務器。為實現此功能，我們配置了高級的IPv4 ACL。

下面以A外包公司的網絡控制為例講述網絡訪問控制的實現。A外包公司劃為VLAN16，終端計算機的IP為192.168.160.XXX，A外包公司內部之間可以互相訪問，并且可以訪問虛擬服務器，上傳下載檔案資料。其具體實現是通過ACL 3000實現，并通過在A外包公司所屬于的VLAN內下發，可實現入方向的報文匹配。如下所示，

acl number 3000

rule 0 permit ip source 192.168.160.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

rule 1 permit ip source 192.168.160.0 0.0.0.255 destination 192.168.160.0 0.0.0.255

rule 2 deny ip

interfacevlan 16

ip address 192.168.160.254 255.255.255.0

packet-filter 3000 inbound

我們實現的ACL都是軟件實現的ACL，為了具體看到匹配信息，可以通過命令行，看到底層的ACL匹配原則。通過匹配原則可以看到，Rule 0的意思是任何IPv4報文，進入核心交換機的任何端口，如果是來自于VLAN16,，同時滿足源IP地址是192.168.160.XXX，目的IP地址是192.168.20.XXX，則允許通過。Rule 1的意思是任何IPv4報文，進入核心交換機的任何端口，如果是來自于VLAN16，入方向的報文滿足源IP地址和目的IP地址都是192.168.20.XXX，則允許通過。

4 ACL在病毒防范上的運用

2017年5 月全球爆發了勒索病毒。病毒制造者通過美國NSA泄露的黑客武器庫攻擊Windows操作系統的漏洞。病毒通過加密技術鎖死文件，限期繳納贖金，否則刪除文件。由于采用了非對稱的加密算法，一旦中毒很難進行數據恢復。

根據某網絡公司安全中心分析，國內傳播的勒索病毒是由名為“永恒之藍”的黑客武器，借助互聯網或企業內網（即局域網），通過遠程掃描并攻擊未進行防護的445等端口，在計算機及服務器進行傳播。

將館內殺毒軟件客戶端升級到可查殺“勒索病毒”的最新版本，對封閉445等端口、計算機補丁升級、防病毒應急工具包等技術手段在科內計算機上小范圍試用

局域網全部交換機下發訪問控制策略，禁止向445端口等收發報文

各個端口下發如下規則：

acl number 3700

rule 0 deny tcp destination-port eq 135

rule 5 deny tcp destination-port eq 137

rule 10 deny tcp destination-port eq 138

rule 15 deny tcp destination-port eq 139

rule 20 deny tcp destination-port eq 445

結合殺毒軟件升級、windows系統升級，很好的杜絕了勒索病毒的蔓延。

5 結語

ACL技術是交換機上的關鍵技術，靈活有效的運用，有利于科學構建合理高效實用的網絡環境，保證單位網絡切實為工作服務，提高網絡效率。

[1]陸軍.應用訪問控制列表技術增強網絡安全計算機安全[J].2011.01.