赵阶旭

[摘 要]在网络管理中，一方面要做好日常的维护工作保持网络时刻畅通，另一方面还要确保网络的安全，并需要对网络中的流量进行控制。Cisco的访问控制列表（access control list，ACL）就提供了这一安全机制，标准ACL根据数据包中的源地址过滤数据包，扩展ACL可以基于源地址、目標地址、协议及其端口号等信息过滤数据包，更准确的把握过滤内容即实现流量控制。本文通过对路由器访问控制列表基本原理，配置原则及实现功能的介绍，探讨了命名访问控制列表中特有自反列表技术，实现流量控制，以提高网络资源安全性。

[关键词]ACL；established；自反ACL；网络安全

在网络日益开放的今天，各类网络病毒及网络攻击大量出现，内部网络的数据及其安全性也亟待解决，但如何保证数据资源的安全性已经成为公司的战略问题。网络安全采用的技术手段有很多，而通过访问控制列表对数据包进行过滤，是实现网络安全的基本手段之一。

一、访问控制列表及基本原理

ACL（access control list）是指应用到路由器或者三层交换机接口上的指令列表，通常称为访问控制列表。ACL根据定义的一系列规则过滤数据包，即允许或者拒绝数据包通过接口。ACL使得网络资源允许合法授权用户使用，避免非法用户访问。它通常用于局域网部门之间控制网络流量。

ACL一般分为最基本的两大类标准ACL和扩展ACL，另外还有命名ACL、基于时间ACL、动态ACL和自反ACL几种，这些ACL都是在两大基本列表发展而来，不同场合应用不同种类的ACL。标准ACL根据数据包中的源地址过滤数据包，扩展ACL可以基于源地址、目标地址、协议及其端口号等信息过滤数据包，更准确的把握过滤内容，提高网络安全性能。

二、自反ACL功能及应用场景

自反ACL允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址。这样您可以更加严格地控制哪些流量能进入您的网络，并提升了扩展访问列表的能力。网络管理员使用自反ACL允许从内部网络发起的会话的IP流量，同时拒绝外部网络发起的IP流量。此类ACL使路由器能动态管理会话流量。路由器检查出站流量，当发现新的连接时，便会在临时ACL中添加条目以允许应答流量进入。自反ACL仅包含临时条目。当新的IP会话开始时（例如，数据包出站），这些条目会自动创建，并在会话结束时自动删除。

在实现网络安全的策略中，当在出口网关路由上配置了ACL，拒绝INTERNET的数据访问LAN时，会导致LAN访问外部INIERNET的回包没办法通过网关进入LAN，导致LAN无法访问外网，如图2-1。这种情况下为了识别内部网络发起的IP流量，同时拒绝外部网络发起的IP流量就必须使用自反访问控制列表实现。

三、扩展访问控制列表的established参数的局限性

带established参数的扩展ACL相比，自反ACL能够提供更为强大的会话过滤。尽管在概念上与established 参数相似，但自反ACL还可用于不含ACK或RST位的UDP和ICMP。established选项还不能用于会动态修改会话流量源端口的应用程序。Permit established 语句仅检查ACK和RST位，而不检查源和目的地址。

Established参数只有当这个会话是TCP建立连接之后才进行匹配，通俗的讲内部网络发起的TCP会话出去，established初始会话初始值假设为0，外部应答包的返回值应该加1返回，应当以返回的标志比特位进行验证，凡是返回值为1的就认为是内部发出去回来的允许进入内网。相反外部网络发起的会话初始值是0，就拒绝掉该数据包进入内网，从而达到防治外部网络主动攻击内网的行为。如：

permit tcp host 23.0.0.3 eq telnet host 23.0.0.2 established 这条语句表示允许23.0.0.3用自己的23号端口对23.0.0.2的TCP请求进行回复。这条语句也可以换一种写法： permit tcp host 23.0.0.3 eq telnet host 23.0.0.2 ack rst （如图3-1TCP包首部）

理论上可以实现我们的控制效果，但是在实际应用中我们的TCP等报文头部信息特别容易伪装，目前有很多的修改头部信息的软件，快速修改报文信息可以通过Permit established 语句的检查，还有一个重要特点是非TCP报文是没有established，比如ICMP报文的回包是没办法控制的，因此扩展访问控制列表的established存在很大的局限性，所以这种方法还是没根本解决我们控制危险流量的目的。

四、自反ACL应用

如何应用自反ACL实现控制外部流量的目的呢？下面我们分析自反ACL的用法。自反ACL本质是由三个ACL组成：一内网允许出去的ACL，二外网拒绝所有的ACL ，三外部自动生成的返回ACL组成。

1）建立一个命名的访问控制列表R2（config）#ip access-list extended R1-R3

2）嵌入命名的ACL中的自反列表R2（config-ext-nacl）#permit ip any any reflect network

3）在接口e0/0的in方向应用列表R2（config-if）#ip access-group R1-R3 in

4）创建一个命名的列表R2（config）#ip access-list extended deny-all

5）设置自反列表对应项R2（config-ext-nacl）#evaluate network

6）设置列表规则R2（config-ext-nacl）#deny ip any any

7）在接口e0/1的in方向应用列表R2（config-if）#ip access-group deny-all in

8）验证：show 出三条列表，第三条为反射列表，内容为空。当用R1 ping R3时

R2#show access-lists

Extended IP access list R1-R3

10 permit ip any any reflect network

Extended IP access list deny-all

10 evaluate network

20 deny ip any any

Reflexive IP access list network

当用R1 ping R3時，自反ACL可以记录流量中的协议，并对源地址和目标地址进行交换匹配，从而可以使R1出去的流量从外网返回来。

R2#show access-lists

Extended IP access list R1-R3

10 permit ip any any reflect network （11 matches）

Extended IP access list deny-all

10 evaluate network

20 deny ip any any （15 matches）

Reflexive IP access list network

permit icmp host 192.168.2.1 host 192.168.1.1 （20 matches） （time left 294）

五、注意事项

自反ACL不能直接应用到接口，而是“嵌套”在接口所使用的扩展命名IP ACL中。自反ACL 仅可在扩展命名IP ACL中定义。自反ACL不能在编号ACL或标准命名ACL中定义，也不能在其它协议ACL中定义。自反ACL可以与其它标准和静态扩展ACL一同使用。

参考文献：

[1]粱广民，王隆杰.思科网络实验室路由、交换实验指南.电子工业出版社，2007.

[2]张国靖. 网络设备配置与调试项目实训.电子工业出版社，2015年第三版.

[3]陈勇兵.路由器访问控制列表应用于实践.实验技术与管理，2010年3月第3期.