利用自反ACL 實現單一方向防火墻方案設計

◆汪海濤 石靈心 戴宏明

（1.廣東科貿職業學院信息與自動化學院 廣東 510620；2.廣東輕工職業技術學院管理學院 廣東510300）

1 引言

在網絡系統中，時常需要根據網絡管理者的意圖，讓某些滿足條件的數據包可以通過，不滿足條件的數據包拒絕通過，這時就需要用到ACL。ACL 即訪問控制列表，通過定義ACL，可以實現數據包的過濾規則[1]。

ACL 的類別可以分為：標準ACL 和擴展ACL。標準ACL 只檢查數據包的源地址，擴展ACL 檢查數據包的源地址、目的地址、協議、端口。首先，根據網絡管理者的意圖定義好ACL，然后將ACL綁定在數據包通過三層設備的某個接口，那么這個ACL 過濾規則便生效了。在特殊情況下，網絡管理者要求過濾規則是用戶對Ⅰnternet發起請求的回路信息可以通過，但是來自Ⅰnternet 對用戶的主動訪問被拒絕，就需要使用自反ACL 這一特殊功能[2]。

2 自反ACL 的定義

自反訪問列表ACL（Reflexive Access Lists），Reflexive 翻譯過來即自反的意思。自反ACL 會根據一個方向的訪問控制列表，自動生成另一個反方向的控制列表，該反方向的控制列表和原本控制列表的源地址和目的地址反轉，而且源端口號和目的端口號也相應反轉的一個列表[3]。有的情況下，這個反轉的列表還匹配了時間限制，過了有效時間就會超時，這個新創建的自反列表就會消失，這樣極大地提高了網絡的安全性[4]。

自反ACL 不能直接應用到路由器或者是三層交換機的接口，而是“嵌套”在接口所使用的擴展命名ACL 中，然后網絡管理者將這個擴展命名的ACL 綁定到三層設備的某個接口。自反ACL 不能單獨定義，只能在擴展命名ACL 中定義。自反ACL 不可以在編號ACL 或標準命名ACL 中定義，也不能在其他協議ACL 中定義[5]。

3 自反ACL 的特點

自反ACL 的特點是讓出站數據包的目的地收到數據包后，發出的相應的應答流量回到該出站數據包的源地址。網絡管理者制定規則時，允許這種應答流量通過，并返回到出站數據包的源地址。但拒絕來自外部用戶對源地址主動發起的數據流量[6]。

網絡管理員使用自反ACL 來允許從內部網絡發起會話的ⅠP應答流量，同時拒絕外部網絡發起的主動ⅠP 流量。因此，自反ACL 應用在網絡三層設備中，使得網絡管理者可以動態管理會話流量。三層設備檢查出站的數據包，就會在臨時ACL 中添加條目以允許針對該出站的應答數據包進入[7]。自反ACL 只創建臨時條目，當新的會話開始，有用戶數據包出站，這些條目將自動產生，當應答信息返回到源地址，本次會話結束時三層設備自動刪除這些條目[8]。

自反ACL 相比基本的ACL 具有以下幾個優點：

（1）自反ACL 使用簡單。與標準和擴展ACL 相比，他對網絡傳輸中的數據包實施更強的控制。自反ACL 是允許高層會話信息的ⅠP 數據包過濾規則。

（2）自反ACL 可以較安全的保護內部網絡，因為他可以阻止從外部網絡主動發起的訪問內部用戶的流量，但是外網對內網用戶的應答流量可以通過。

（3）自反ACL 是臨時產生的，有用戶數據包出站，這些自反ACL 將自動產生，當Session 結束時，自反ACL 就被自動刪除。

（4）自反ACL 不能直接被定義為列表號或者是名稱，而是嵌套在一個擴展命名訪問列表下的。

4 自反ACL 實現單一方向防火墻方案設計實現

4.1 方案建設原則

本項目以自反ACL 技術為核心，實現局域網內部用戶可以訪問外網用戶，但外網用戶不能主動發起對局域網用戶的訪問，保護局域網內部用戶的安全。方案建設過程中，各個路由器之間運行路由協議，在路由器的接口上綁定自反ACL 時需要注意允許路由協議之間的路

由更新信息的通過，不然會造成整個網絡的路由通訊故障。

4.2 方案的總體規劃

本方案的網絡系統分為內部網和外網，R1 為內部網的路由器，PC1 為內網網的用戶電腦，R3 為外部網的路由器，PC2 為外部網用戶電腦。R2 處于內部網和外網的邊界，在R2 上配置自反ACL 并綁定在R2 的S1/2 接口上。實現內部網用戶PC1 可以訪問外部網用戶PC2 并得到應答信息，但是外部網用戶PC2 不能主動發起對內部網用戶PC1 的訪問請求。R1、R2 和R3 之間運行OSPF 協議，全部工作在area0 區域。內部網用戶PC1 的ⅠP 網段是192.168.1.0/24，外網PC2 的ⅠP 網段是200.1.1.0/24，R1 和R2 之間的網段是1.1.1.0/24，R2 和R3 之間的網段是2.2.2.0/24。

整個系統的拓撲圖如圖1 所示。

圖1 系統拓撲圖

4.3 方案的實現

4.3.1 先配置各個接口ⅠP 地址

配置R1 的ⅠP 地址，R1 上配置兩個接口的ip 地址，一個是局域網口f0/0，該接口ip 地址作為內網用戶PC1 的默認網關，另一個是廣域網口s1/0，該接口提供時鐘。R2 和R3 的接口ⅠP 配置和R1 類似，配置局域網口和廣域網口ⅠP 地址（如圖2 所示）。

圖2 配置接口的ip

4.3.2 配置OSPF 協議

在R1、R2 和R3 上啟用OSPF 協議，網絡系統中的所有網段都工作在area 0 區域。具體配置如圖3 所示。

圖3 OSPF 協議配置

4.3.3 自反ACL 的配置

自反ACL 當有出站數據包時，就臨時產生一個訪問性條目，該條目是有生存周期的，Session 結束則該條目被刪除。首先在R2 上配置臨時性訪問條目的生存時間，R2（config）#ip reflexive-list timeout 400，生存期為400s。然后，在R2 上配置ACLOUT 和ACLⅠN 兩個擴展命名的列表，嵌套自反的ACL。具體配置如圖4 所示。

圖4 自反ACL 配置

注意ACLOUT 和ACLⅠN 兩個擴展命名的控制列表里面都允許了對ospf 協議流量的通過，避免了由于訪問控制列表而導致整個網絡發生通信故障。定義好兩個列表后，將這兩個擴展命名列表分別綁定到路由器R2 廣域網口s1/2 的out 和in 兩個方向，這樣自反ACL就可以生效了。

4.3.4 系統測試結果

最后，設置內部網計算機PC1 的ⅠP 地址為192.168.1.1，默認網關為192.168.1.254。設置外部網計算機PC2 的ⅠP 地址為200.1.1.1，默認網關為200.1.1.254。打開PC1 的DOS 窗口，使用ping 命令發起對外部網PC2 的訪問，測試內部網主機能否訪問外部網主機。發出四個數據包，收到四個數據包，數據通信正常，如圖5 所示。表明內部網主機可以任意發起對外部網主機的訪問，并得到外網主機的回饋信息。

圖5 內網可以訪問外網的測試結果

然后，打開PC2 的DOS 窗口，使用ping 命令發起對內部網PC1的主動訪問，測試外部網主機能否主動訪問內部網主機。發出四個數據包，丟棄四個數據包，顯示無法到達的主機，如圖6 所示。表明系統的自反ACL 包過濾防火墻禁止外部網主機主動發起對內部網主機的訪問。

圖6 外網不能主動發起對內網訪問的測試結果

5 結論

ACL 技術分類較多，本文重點論述了自反ACL 技術，分析了自反ACL 和其他ACL 應用的不同點，自反ACL 列表定義的方法。在本文的系統方案中，左邊為內部網環境，右邊為外部網絡環境，根據網絡管理者意圖，要求內部網用戶可以訪問外網用戶，并且訪問過程中產生的外網用戶回饋內網用戶信息可以通過，但是外網用戶主動發起對內部網用戶信息被防火墻拒絕。最后，系統利用自反ACL 技術成功實現單一方向防火墻方案效果。