路由器訪問控制列表在計算機局域網網絡安全中的應用

金陵科技學院 王 貴

訪問控制列表作為提升網絡安全性能的有效對策，是指一種用來過濾和控制進出路由器數據流的先進技術，在實踐應用中既能控制網絡流量速度，又可以提升網絡系統運行性能。因此，本文在了解計算機局域網網絡安全和訪問控制列表相關理論知識的基礎上，根據近年來路由器訪問控制情況分析，如何在計算機局域網網絡安全中合理應用路由器訪問控制列表。

1 介紹

根據近年來計算機技術革新發展情況分析可知，局域網網絡安全得到了全社會的關注。本文研究以異構系統下的網絡環境為依據，分析判斷其所包含的訪問控系統設計與實現，由于各系統之間的通信都是利用網絡平臺進行的，所以很容易在違規操作下被截獲或遺漏。而解決這一問題最有效的方法就是實施數據加密，利用密文傳遞數據信息，這樣接受放在獲取信息之后，會按照原有算法和密鑰實施解密。最終保障整體操作過程都處在安全的環境中，從基礎上保障數據傳輸的安全性。以常用的橢圓曲線公鑰密鑰算法SM2算法為例，選用這種模式對信任證實施加密和解密處理，可以確保信任證在應用傳遞期間一直處在安全且穩定的環境中。具體加密算法和操作步驟如下所示：

假設M代表需要傳遞的信息和等待加密的信息，Klen代表M的比特長度，G代表橢圓曲線的一個基點，屬于素數，n代表基點G的階，KDF是指密鑰的派生函數，PB代表用戶B的公鑰。那么要想對明文M實施加密，而作為加密者的用戶A要進行下述操作：

A2要計算橢圓曲線點：

同時將C1的數據類型轉變為比特串。

A3要計算橢圓曲線點：

假設S代表無窮遠點，那么就要報錯并退出。

A4要計算橢圓曲線點：

并將坐標x2，y2的數據類型轉變成比特串。

A5計算：

假設t代表全是0的比特串，那么就要重新返回A1進行操作。

A8輸出密文：

C代表經過加密之后的密文。

且具體操作流程圖如圖1所示。

圖1 加密算法的操作流程圖

而在解密過程中，結合如圖2所示的操作流程圖分析可知，假設Klen代表密文中C2的比特長度，M代表解密之后的明文，為了正確解密加密之后的密文，解密者用戶B要進行下述運算：

圖2 解密操作流程圖

B1計算橢圓上的點C1，假設不是報錯就要退出。

B2計算橢圓曲線點：

假設S是無窮遠點，那么要報錯退出。

B3計算：

并將坐標x2，y2的數據類型轉變成比特串。

B4計算：

假設t代表全是0的比特串，那么就要報錯退出。

B5從C中獲取比特串C2，并計算：

B6計算：

從C中獲取比特串C3，假設u≠C3，那么就要報錯退出。

B7輸出銘文M1

2 如何在計算機局域網網絡安全中應用路由器訪問控制列表

首先，預防病毒傳播與黑客攻擊。在處理網絡系統漏洞時，部分病毒會經過UDP端口和TCP端口進入到內部，并由此傳播病毒和進行不良攻擊。需要注意的是，最后一條語句非常重要，可以讓其他數據包通過，因此若是沒有這一內容，那么其他數據包必然會被拒絕進入內網，而內網同樣也無法訪問外網。

其次，預防非法探測和IP地址欺騙。結合現有網絡拓撲結構分析可知，網絡系統內部的交換機和路由器會利用E1端口實施連接，內部局域網會經過路由器的S0接口和網絡相連。IP欺騙是指創造類似其他IP地址的數據包，而黑客常用的手段就是將自己偽裝成內部或外部信任的IP地址來實施目標攻擊。由于這類行為很難被檢測出來，且需要進行有技巧的監管與分析，所以根據以往工作經驗分析，可以在路由器S0接口的入口區域設計訪問控制列表，由此預防外網黑客利用掃描工具進入內部網絡中。

再次，管控上網時間。在明確時間訪問控制列表的基礎上，設計有效的時間范圍來科學配置網絡，需要先明確時間段和具體時間范圍，而后基于拓展訪問控制列表進行應用，以此滿足不同時間段的管理需求。為了保證時間訪問控制列表具有有效性，需要提供兩方面的命令，一方面是指時間段和時間范圍，另一方面，是結合訪問控制列表的自身配置提出詳細的規則。需要注意的是，一個時間范圍內只能包含一個命令時間范圍（absolute）的語句，但可以包含多個以星期為參數來定義時間范圍（periodic）的命令語句。

最后，控制訪問虛擬終端。網絡設備的安全性對整體計算機網絡系統運行都具有積極作用，加強對設備安全的管控力度，不僅能預防用戶受外部違法行為的攻擊，還可以減少不必要的經濟損失。從本質上講，網絡設備訪問控制的根本目標在于避免非法用戶進入網絡設備，并對其相關配置信息進行篡改，以此保障設備網絡可以安全穩定的運行。同時，設計vty線路能方便網絡訪問，而虛擬終端線路主要用來對路由器進行遠程訪問。通常情況下，路由器包含5條終端線路，最多可以設置16條線路。在虛擬終端線路中設計訪問控制列表時，可以支持或禁止用戶利用虛擬終端訪問進入路由器。例如，只支持部分IP地址或網絡地址可以遠程登錄到路由器內部，以此從基礎上保障網絡設備的安全性。

3 結果分析

結合某網絡系統中設計的路由器訪問控制列表形式分析，在實踐工作中要求PCL所在網絡區域只能訪問服務器中的WWW，并不能訪問FTP。因為FTP具備兩個端口，21是指控制通道，20是指數據通道，所以為了保障整體系統運行的安全性，需要同時關閉兩個端口。同時，還要在控制列表的最后添加“access-list 105 permit ip any any”命令語句，不然其他網絡區域的PC無法直接訪問主機172.16.3.3.。原因在于系統默認會在控制列表的最后添加“deny any any”。

根據上述案例分析可知，利用訪問控制列表進行安全保護工作，實現方法涉及到以下幾點內容：其一，要在全局配置模式下明確訪問列表；其二，要將具體列表運用到接口中，確保通過這一街口的數據包可以得到匹配，而后決定拒絕還是通過；其三，訪問列表語句要按照順序邏輯進行科學處理，并在列表中按照從上到下的順序進行匹配數據包。假設一個數據包頭和訪問權限表的某一個語句不匹配，那么要繼續檢查列表中的下一個語句。在執行到訪問列表的最后語句時，如果還是沒有與其相匹配的語句，那么數據包將會被隱含的拒絕語句所拒絕。

結語：綜上所述，新時代背景下，面對日益革新的市場環境，計算機局域網作為各領域建設革新的基礎內容，加強對網絡安全性的監管力度，必須要合理利用路由器訪問控制列表，只有這樣才能從基礎上保障傳輸數據的完善性和有效性，并由此避免網絡系統受違規攻擊。同時，要結合不同類型的訪問控制列表科學管控網絡系統的運輸流量，避免路由器端口處存在過多影響安全性能的不良因素。