ACL在網(wǎng)絡(luò)安全中應(yīng)用仿真實(shí)驗(yàn)

梁賓

摘要：ACL作為熱門的網(wǎng)絡(luò)技術(shù)之一，被廣泛應(yīng)用于網(wǎng)絡(luò)管理領(lǐng)域中。文章結(jié)合企業(yè)對網(wǎng)絡(luò)的常用訪問控制需求，并利用思科Packet Tracer仿真，模擬了ACL在網(wǎng)絡(luò)安全中的應(yīng)用。

關(guān)鍵詞：ACL；網(wǎng)絡(luò)安全；仿真

1 ACL概述

1.1 ACL基本概念

訪問控制列表（Access Control List， ACL），工作在OSI參考模型的第3層，用于通過建立的訪問規(guī)則對進(jìn)出網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行訪問控制，進(jìn)而達(dá)到對網(wǎng)絡(luò)的控制和保護(hù)目的。訪問控制列表每條語句組成一個規(guī)則，決定數(shù)據(jù)包的運(yùn)行通過或拒絕通過。

ACL可分為標(biāo)準(zhǔn)的訪問控制列表和擴(kuò)展的訪問控制列表兩類，標(biāo)準(zhǔn)的訪問控制列表基于源地址做過濾策略，適應(yīng)場合有限，不能進(jìn)行復(fù)雜的條件過濾。擴(kuò)展的訪問控制列表可通過源IP地址、目的IP地址、端口號、協(xié)議等諸多信息來規(guī)定數(shù)據(jù)包的處理動作，對經(jīng)過的數(shù)據(jù)流進(jìn)行判斷、分類和過濾。通過訪問控制列表可以實(shí)現(xiàn)控制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能；提供訪問權(quán)限，實(shí)現(xiàn)訪問控制等功能，是目前重要的安全保護(hù)技術(shù)，被廣泛應(yīng)用于互聯(lián)網(wǎng)。

1.2 ACL工作原理

ACL可以工作在路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備上，主要采用數(shù)據(jù)包過濾技術(shù)。以路由器為例，當(dāng)數(shù)據(jù)包到達(dá)路由器的轉(zhuǎn)發(fā)端口時，首先判斷該端口是否有ACL，沒有則直接轉(zhuǎn)發(fā)；如果有則匹配ACL的轉(zhuǎn)發(fā)規(guī)則，根據(jù)轉(zhuǎn)發(fā)規(guī)則來決定數(shù)據(jù)包permit或deny；如果permit，則直接轉(zhuǎn)發(fā)；如果deny則丟棄該數(shù)據(jù)包并向數(shù)據(jù)源發(fā)送目標(biāo)不可達(dá)的ICMP報文或終止TCP的連接請求。工作原理如圖1所示。

1.3 ACL使用原則

在配置和使用ACL時由于每個接口、每個方向、每種協(xié)議只能設(shè)置一個ACL，同時ACL按順序比較，直找到符合條件的那條以后就不再繼續(xù)比較，因此應(yīng)注意以下3點(diǎn)原則。

（1）最小權(quán)限原則：即只給予受控對象完成任務(wù)所必須的最小權(quán)限。（2）最靠近受控對象原則：即所有的網(wǎng)絡(luò)層訪問權(quán)限控制要盡量距離受控對象最近。（3）默認(rèn)丟棄原則：即每個訪問控制列表最后都隱含了一條deny any規(guī)則。

2 ACL在網(wǎng)絡(luò)安全中應(yīng)用場景設(shè)計

為研究ACL在網(wǎng)絡(luò)安全中的應(yīng)用，這里設(shè)計如下的企業(yè)應(yīng)用場景。

某企業(yè)有管理部、員工部、財務(wù)部3個部門，另企業(yè)架設(shè)了自己的FTP服務(wù)和Web服務(wù)器。網(wǎng)絡(luò)拓?fù)淙鐖D2所示，其中

為仿真ACL的網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)保護(hù)、訪問控制等安全功能，提出如下網(wǎng)絡(luò)安全需求：（1）內(nèi)網(wǎng)、外網(wǎng)都可以訪問企業(yè)的Web服務(wù)器，但FTP服務(wù)器只能被校內(nèi)訪問。（2）管理部可以訪問員工部、財務(wù)部，但員工部不能訪問財務(wù)部。（3）管理部可以訪問外網(wǎng)wwwl和www2服務(wù)器，員工部只能訪問wwwl，而財務(wù)部拒絕訪問一切外網(wǎng)[1]。

3 ACL關(guān)鍵配置

鑒于篇幅有限，本部分配置僅為ACLE置部分的關(guān)鍵代碼。

（1）限制外網(wǎng)對FTP的訪問，仿真保護(hù)特定的內(nèi)網(wǎng)目標(biāo)。

Router（config）#access-list 101 deny tcp any host 192.168.4.2eq 21

Router（config）#access-list 101 permit ip any any

Router（config）#int sl/0

Router（config-if）#ip access-group 101 in

（2）管理部可以訪問員工部、財務(wù)部，但員工部不能訪問財務(wù)部，仿真內(nèi)網(wǎng)的訪問控制。

Switch（config）#access-list 1 permit 192.168.1.00.0.0.255Switch（config）#access-list 1 deny 192.168.2.00.0.0.255Switch（config）#access-list 1 permit anySwitch（config）#int vlan 30Switch（config-if）#ip access-group 1 out

（3）管理部可以訪問外網(wǎng)www1和www2服務(wù)器，員工部只能訪問www1，而財務(wù)部拒絕訪問一切外網(wǎng)，仿真外放的訪問控制和隔離。

Router（config）#access-list 102 permit ip 192.168.1.00.0.0.255 any

Router（config）#access-list 102 permit tcp 192.168.2.00.0.0.255 host 222.222.222.2eq 80

Router（config）#access-list 102 deny ip 192.168.2.00.0.0.255 any

Router（config）#access-list 102 deny ip 192.168.3.00.0.0.255 any

Router（config）#access-list 102 permit ip any anyRouter（config）#int f0/0Router（config-if）#ip access-group 102 inRouter#show ip access-lists 102

Extended IP access list 102permit ip 192.168.1.0 0.0.0.255 any（15 match（es））permit tcp 192.168.2.0 0.0.0.255 host 222.222.222.2eqwww（5 match（es））

deny ip 192.168.2.0 0.0.0.255 any（12 match（es））deny ip 192.168.3.0 0.0.0.255 anypermit ip any any（47 match（es））

4 仿真結(jié)果驗(yàn)證

無ACL時內(nèi)網(wǎng)和外網(wǎng)都可正常訪問內(nèi)網(wǎng)的FTP；配置ACL后的內(nèi)網(wǎng)可正常訪問，PC3則無法訪問，實(shí)現(xiàn)了保護(hù)內(nèi)網(wǎng)FTP目的。

無ACL時，內(nèi)網(wǎng)都可正常訪問財務(wù)部；配置ACL后，員工部PC1訪問被阻斷，實(shí)現(xiàn)了內(nèi)網(wǎng)訪問控制目標(biāo)。

無ACL時，內(nèi)網(wǎng)都能正常訪問外網(wǎng)的www1和www2；配置ACL后，PC0仍能正常訪問，而PC1只能正常訪問wwwl，PC2無法訪問wwwl、www2，實(shí)現(xiàn)了訪問控制和財務(wù)網(wǎng)絡(luò)隔離目標(biāo)。

5 結(jié)語

此次ACL的網(wǎng)絡(luò)安全應(yīng)用的仿真實(shí)驗(yàn)充分證明了ACL對網(wǎng)絡(luò)安全起到很好的控制和保護(hù)作用，但是ACL也具有一定的局限性，無法達(dá)到對所有節(jié)點(diǎn)的權(quán)限控制，所以在網(wǎng)絡(luò)安全中可以結(jié)合其他技術(shù)一起達(dá)到網(wǎng)絡(luò)安全防御的作用。

[參考文獻(xiàn)]

[1]石峰.訪問控制列表ACL在校園網(wǎng)中的作用分析[J].電腦知識與技術(shù)，2017（33）：70-71.