基于eNSP的網絡安全訪問控制策略的仿真設計與實現

◆甘衛民 周偉

（廣州大學華軟軟件學院 廣東 510900）

在互聯網發達的今天，網絡服務器承載數據訪問壓力越來越大，網絡安全問題越發重視。在中小型企業網絡中，硬件式的防火墻投入成本較高，訪問控制列表（ACL）技術規則靈活，在路由器上定義相應參數設置，使數據包有選擇的通過路由器達到過濾效果，起到軟件式防火墻技術的作用。ACL應用在中小型網絡中越來越得到重視，它不僅降低了組網成本，同時也能使數據訪問安全得到保障[1]。

1 ACL定義

訪問控制列表ACL規則靈活多變，設備可以定義一系列不同的ACL規則，對不同類型的數據報文進行分類處理，從而可以對網絡訪問行為進行控制、防止網絡攻擊、提高網絡性能、限制網絡流量等。保障了網絡傳輸的可靠性和穩定性[2]。

2 ACL分類[3]

ACL分類如表1所示。

表1 ACL分類表

3 ACL規則定義

系統是根據什么樣的順序來選擇規則進行報文匹配的呢？因為每個ACL可以定義多個規則，路由器設備根據定義的ACL規則來過濾數據流量。

每條規則都有一個規則ID（rule-id）來標識，規則ID可由系統按步長值自動生成，也可以用戶配置，在定義一個ACL規則時，按照規則ID從小到大排序。如果不指定規則ID時，具體間隔大小由步長來設定。在華為路由設備中，ACL的步長默認設定為5，即ACL規則ID分配是按照5、10、15、20……來分配的。當然用戶也可以根據規則ID把新規則插入到某一規則組的位置。

4 ACL規則匹配[4]

ACL的規則主要有兩種規則分別為“permit”和“deny”。一個ACL規則可以由多條的“permit|deny”語句構成，規則內容可能存在重復或矛盾。在華為設備中主要支持兩種規則匹配順序，即配置順序（config）和自動排序（auto）。當數據包和ACL的規則進行匹配的時，規則的優先級是由規則的匹配順序來決定，規則之間重復或矛盾是由ACL的優先級來處理。

（1）配置順序：按ACL規則編號（rule-id）從小到大的順序進行匹配。

（2）自動排序：按“深度優先”的原則進行匹配。

“深度優先”即根據規則的精確度排序，匹配條件限制越嚴格越精確。若“深度優先”的順序相同，則匹配該規則時按rule-id從小到大排列。

5 網絡設計與ACL實現

通過eNSP搭建實驗網絡，網絡拓撲及主要參數如圖1所示。網絡拓撲主要LEFT，MID，RIGHT三個區域來進行配置。

圖1中型企業網絡拓撲結構

5.1 業務需求

通過以上網絡拓撲，現要求完成以下網絡安全控制服務需求：所有服務器均開啟HTTP和FTP服務，Public服務器同時開啟DNS服務，對其他三個服務器提供地址解析。

（1）Vlan10內所有設備，不能訪問vlan150-Server，只能通過http訪問vlan100-Server。

（2）Vlan20-pc1，不能訪問vlan100-Server，可以完全訪問Vlan150的網絡。

（3）Vlan100-pc1，可以訪問vlan150-Server，不能訪問vlan20-Server。

（4）Vlan10網絡和Vlan20網絡只能通過FTP訪問public服務器。

（5）Vlan100網絡和Vlan150網絡只能通過HTTP訪問Public服務器。

（6）所有網絡的DNS服務都由public服務器提供。

（7）網絡中所有節點都能夠ping通網絡中的主機。

5.2 網絡配置實現

通過以上網絡拓撲，完成各設備相關參數配置，使整個網絡能夠達到互通狀態。

（1）主機配置Ip地址與對應網關設置（略）。

（2）MID網關路由器配置：

5.3 ACL配置

6 結束語

通過以上網絡綜合實驗仿真，經反復測試達到我們預期的業務目標需求，對于中小型企業網絡，ACL軟件式防火墻應用降低了使用硬件式的防火墻組網的成本。在不需要加入硬件式防火墻的同時也能使網絡安全得到保證，使網絡流量得到控制。