ACL技術在民航管理信息網安全防護中的應用

杜愛華

摘要：浙江管理信息網雖然本地不接互聯網，但由于它是華東管理信息網的組成部分，有外聯單位，這就意味著來自外部的威脅可以以外聯單位為跳板，利用系統內部用戶之間的相互信任關系，攻入網絡內部。本文闡述了在浙江管理信息網網絡安全防護中，借助于ACL技術，有效地控制了特定用戶對網絡交換機的訪問以及對常見病毒端口的過濾，從而最大限度地保障了網絡安全。

關鍵詞：ACL訪問控制列表;管理信息網;交換機;安全防護

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）26-0046-02

開放科學（資源服務）標識碼（OSID）：

民航浙江管理信息網為分局日常公文管理、業務管理、門戶網站和各類應用提供安全可靠的網絡傳輸服務。該網絡平臺在本地與互聯網完全物理隔離，僅通過系統內部專用的ATM網絡與華東管理信息網互聯。提起網絡安全，人們常常關注于病毒破壞和黑客攻擊等來自互聯網的安全威脅，認為管理信息網這類與互聯網完全物理隔離的內部網絡是安全可信的。為了方便管理和應用，內部網絡之間的訪問控制相當粗放，幾乎沒有什么限制。但近年來在全國范圍各系統內網頻頻出現的網絡信息安全事件給我們敲響了警鐘：內網并沒有想象中那么安全！浙江管理信息網雖然本地不接互聯網，但由于它是華東管理信息網的組成部分，有外聯單位，這就意味著來自外部的威脅可以以外聯單位為跳板，利用系統內部用戶之間的相互信任關系，攻入相連單位的內部網絡，從而獲取相應內部服務器和交換機的控制權限，在內網中橫行無忌。由于內網用戶對服務器資源的訪問需求相對比較固定，在內部網絡部署時就未雨綢繆，充分考慮各類用戶訪問需求，做好精準的訪問控制策略，及時修補安全策略漏洞是做好網絡信息安全防范的重點。

1 ACL概述

訪問控制列表（ACL）是一種基于包過濾的訪問控制技術，它可以根據設定的條件對接口上的數據包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用于路由器和三層交換機。借助于訪問控制列表，可以有效地控制用戶對網絡的訪問，從而最大限度地保障網絡安全。ACL的定義是基于協議的，它適用于所有的路由協議，如IP、IPX等。它在路由器上讀取數據包頭中的信息，如源地址、目的地址、使用的協議、源端口、目的端口等，并根據預先定義好的規則對包進行過濾，從而達到對網絡訪問的精確、靈活控制。目前主要有三種ACL：標準ACL、擴展ACL和命名ACL。此外，有的廠商又自定義了一些分類更精確的ACL ，例如H3C 的ACL分類為：基本ACL（編號范圍：2000-2999），高級ACL（編號范圍：3000-3999），二層ACL（編號范圍：4000-4999），用戶自定義ACL（編號范圍：5000-5999）。其中應用最為廣泛的是基本ACL和高級ACL。

2 ACL在管理信息網安全防護中的應用

訪問控制列表的主要作用有：1）拒絕、允許特定的數據流通過網絡設備，如防止攻擊、訪問控制、節省帶寬等;2）對特定的數據流、報文、路由條目等進行匹配和標識，以用于其他目的路由過濾，如QoS、Route-map等。本文謹以H3C S7503E主核心交換機為例，說明ACL在民航管理信息網安全防護中的應用。

實例一：利用ACL實現某交換機只允許特定IP的遠程登錄

1） 防護需求：

為了方便運維管理人員對交換機進行參數配置修改，一般都會開啟交換機的Telnet遠程登錄服務。Telnet遠程登錄方式的密碼在傳輸過程中是明文的，存在密碼泄漏的風險。為了提高網絡安全防范閾值，不讓任何IP都能連接此交換機，我們通過ACL技術僅允許IP 10.13.40.36和10.13.42.80登錄H3C S7503E交換機。

2）配置步驟：

在H3C S7503E交換機上我們進行如下配置：

3）驗證配置：

配置完成后，嘗試從10.13.40.36、10.13.42.80登錄H3C S7503E交換機，登錄成功。而從其他IP登錄H3C S7503E交換機，無法登錄。

實例二：利用ACL實現對常見病毒端口的過濾。

1）防護需求：

配置高級ACL訪問控制列表，禁止常見的病毒端口135，137，138，139，445，3389訪問。

2）配置步驟：

為從源頭上控制被感染主機采用病毒端口進行通訊，減少對其他交換機上用戶帶來影響，我們可以在接入層交換機上進行如下配置：先創建一個序號為3001的高級ACL，然后通過QoS來下發策略。為節省篇幅，此處我們僅以禁止445、3389這兩個遠程訪問端口為例，說明ACL的過濾機制。其他端口可照此配置：

3 ACL配置注意事項

3.1 “3P”原則

在路由器上應用ACL時，可以為每種協議（Per Protocol）、每個方向（Per Direction）和每個接口（Per Interface）配置一個ACL，一般稱為“3P原則”。具體地說，一個ACL只能基于一種協議，每種協議都需要配置單獨的ACL。每個接口可以配置進方向的ACL，也可以配置出方向的ACL，或者兩者都配置，但是一個ACL只能控制一個方向。一個ACL只能控制一個接口上的數據流量，無法同時控制多個接口上的數據流量。

3.2 語句順序決定了對數據的控制順序

ACL的語句是一種自上而下的邏輯排列關系。數據匹配過程中是依次對語句進行比較，一旦匹配成功則按照當前語句控制策略處理，不再與之后的語句進行比較。因此，正確的語句順序才能得到所需的控制效果。最有限制性的語句應該放在ACL的靠前位置，可以首先過濾掉很多不符合條件的數據，節省后面語句的比較時間，從而提高路由器的工作效率。所有ACL的最后一條語句都是隱式拒絕語句，表示當所有語句都無法匹配時，將拒絕數據通過并自動丟棄數據，以防數據意外進入網絡。

4結束語

本文闡述了在民航管理信息網的網絡安全防護中，如何結合分局網絡結構特點，借助于訪問控制列表，有效地控制了特定用戶對網絡交換機的訪問以及對常見病毒端口的過濾，從而最大限度地保障了網絡安全。

隨著網絡技術的快速發展，新技術應用越來越廣泛，在防火墻、入侵防御、上網行為管理等邊界防護設備中，有了更加人性化的訪問控制策略配置界面，但在局域網網絡內部，原有的訪問控制列表因其能對網絡訪問進行精確、靈活的控制，目前仍被廣泛地應用于路由器和三層交換機。隨著分局管理信息網網絡平臺上承載的業務不斷增加，如何利用有限的網絡設備資源，靈活運用ACL技術，實現網絡間的各種訪問控制將是我們進一步實踐的方向。

【通聯編輯：光文玲】