內外網隔離中ACL技術的運用

◆王茂鋼

（廣東省工業貿易職業技術學校 廣東 528237）

0 引言

網絡管理人員通常會利用防火墻技術、包過濾技術等來保護網絡設備，以防止其受到網絡攻擊，從而確保用戶正常使用網絡資源。而從網絡建設方來講，在大量使用多個廠商提供的網絡設備產品的情況下，如果僅僅購買防火墻技術來達到隔離內外網的目的，成本相對較高。尤其是在后續網絡升級擴展時，需要更多的費用投入，這種方式不適用于中小型企業單位。隨著網絡通信技術的快速發展與應用，很多廠商研發生產的路由設備都對訪問控制列表的包過濾技術存在基本支持，從而在很大程度上提高了網絡安全水平。

1 訪問控制列表概述

1.1 訪問控制列表及其工作原理

ACL即訪問控制列表，其功能是通過在網絡設備中設定有限語句序列，以實現對網絡設備中數據包的有效過濾。具體來講，訪問控制列表就是充分利用包過濾技術，將網絡設備中報文的協議號、源端及目的端地址、源端及目的端口號等，同應用過的訪問控制列表進行表相對比，以實現允許報文通過，或拒絕報文通過的功能[1]。當報文到達目的端后，網絡設備會全面檢查收到的報文，如果報文符合訪問控制列表中的一定規則，就將該語句動作執行。而若報文與訪問控制列表中的規則不符，就對訪問表內下一條語句進行檢查，如果所有語句都與訪問列表中的規則不符，就以缺省規則允許或拒絕該報文通過。

1.2 訪問控制列表的分類

從訪問控制列表數據包過濾對象的角度來看，可將訪問列表分為標準訪問控制列表、擴展訪問控制列表、命名訪問控制列表、基于時間訪問控制列表以及自反訪問控制列表等類型。

1.3 訪問控制列表的配置方法

對于訪問控制列表的運用，一定要做好兩點工作：第一點是從具體需要出發，進行訪問控制列表的精準編寫。第二點是要在對應接口中應用訪問控制列表。若要運用具有時間段的訪問控制列表，就應先對時間段進行合理定義，并在訪問控制列表規則編寫過程中，將所定義時間段加入進去。

2 標準訪問控制列表實驗設計

本文只通過標準訪問控制列表來表述內外網隔離的實現過程，不再贅述其余類型的訪問控制列表。標準訪問控制列表過濾命令序列的設計，建立在數據包源 IP地址信息基礎上，該訪問控制列表主要用于對特定源網段的數據包進行有效過濾，采用訪問控制列表表號允許或通過源地址反向掩碼作為命令格式，來執行特定源網段的允許和通過動作，從而實現對數據包的過濾[2]。

網絡仿真的首要任務是進行網絡拓撲結構的搭建。在利用Cisco Packet Tracer 6.0軟件進行網絡拓撲結構搭建過程中，通過R0、S0、SERVER、PC1—PC3進行內網模擬，通過R1和PC4進行外網模擬，并利用R0和R1實現內網與外網間的連接（如圖1）。

PC1—PC3地址網段使用私有性質的，也就是192.168.0.0/24，PC4地址網段使用公有性質的，也就是服務提供商提供的地址，本例所用地址的網段為210.100.100.0/30、218.200.200.0/30。在合理配置后實現了以下幾點：第一點，通過在內網PC機間進行虛擬局域網劃分，實現對廣播風暴的隔離。第二點，可通過內網PC進行外網訪問。第三點，可通過外網PC對R0公有地址進行訪問，但不能對內網PC機也就是私有地址進行訪問。

3 標準訪問控制列表仿真實驗結果分析

3.1 訪問控制列表在內網訪問外網PC機時的運用

內網PC1—PC3、SERVER所用地址來自私有網段，經過PAT（即端口地址轉換）進行地址轉換，并通過轉換后的公網地址（210.100.100.1）進行外網訪問。但從外網 PC的情況來看，在執行過標準訪問控制列表后，內外網之間是處于隔離狀態的，也就是說外網PC機無法對內網PC進行訪問，但可對內網公有IP地址210.100.100.1進行訪問。PC1所發出的ICMP探測報文跟蹤到達PC4所經過的路徑，通過四跳之后成功到達218.200.200.1，也就是PC4，這就可以看出內網PC1與PC4之間是能夠實現連通的[3]。以此類推，PC2—PC3與PC4之間也能夠實現連通。究其原因，是由于內網R0向PC1—PC3發出的報文先傳送到R0，通過訪問控制列表行有效轉換，然后再將其傳遞給下一跳路由，也就是外網R1的f0/0接口（210.100.100.2）。

圖1 標準訪問控制列表實現內外網隔離示意圖

3.2 訪問控制列表在外網訪問內網PC機時的運用

PC4將4個ICMP探測報文發送到PC1，最終返回的是目的主機不可達（Destinationhost unreachable）的4個報文，從這里可以得知，外網是無法主動發送數據包給內網的。究其原因，是由于外網R1通過訪問控制列表，先對PC4所發來的數據包先進行規則匹配，但192.168.10.1所在網段始終處于被拒絕狀態，因此無法通過R1進行轉發，也就是說R1拒絕轉發到192.168.0.0/24、172.16.0.0/24網段的數據包。以此類推，PC4發送到PC2—PC3的數據包也是處于被拒絕狀態的。

3.3 訪問控制列表在訪問內網所提供服務時的運用

在內外網處于隔離狀態時，達到訪問控制目的。例如內網SERVER發布WWW、FTP服務，內網PC機與SERVER可在同一個區域內進行自由訪問，因此PC1—PC3可利用“Desktop-Web Broswer”對SERVER所提供的WWW服務進行有效訪問，利用PC4的“Desktop-CommandPrompt”對FTP服務進行有效訪問[4]。但外網PC要想達成訪問目的，就只能充分運用訪問控制列表與PAT轉換后的公網地址（210.100.100.1）。

對內外網主機之間的連通性進行測試后能夠得知，內網 PC能夠在訪問控制列表與PAT技術轉換之后，有效利用公有IP對外網進行訪問，而外網PC能夠對內網公有IP地址終端（也就是R0的f0/0接口）進行訪問，但對于內網主機卻不可以進行訪問。當內網與外網處于隔離狀態時，內網通過網絡服務發布，外網通過訪問公有IP，都能實現對內網終端與服務進行隔離的最終目的。

4 結束語

訪問控制列表是控制網絡訪問的主要方式之一，加強對訪問控制列表的研究，對進一步保護網絡設備安全等方面，有著十分重要的意義。因此，網絡管理人員必須充分了解和掌握訪問控制列表的工作原理，并從網絡設備的實際性能出發，對訪問控制列表進行靈活配置，從而充分發揮訪問控制列表的實際功能，將內外網有效隔離，進而有效增強網絡設備的性能。