APP下载

基于ACL实现企业网络安全

2018-05-14叶俊洪

现代职业教育·中职中专 2018年6期
关键词:访问控制数据包端口

叶俊洪

[摘 要] 网络技术的发展,使得网络应用在各行各业中得到普及,企业网络的安全管理显得日益重要。路由交换中配置ACL(访问控制列表)在一定程度上可以起到安全管理的作用。它应用在设备接口可以过滤设定类型的数据包,也可以通过设定类型的数据包,还可以封闭特定端口防范病毒,从而保障网络的安全。以实例来探讨ACL在企业网络安全中的应用。

[关 键 词] ACL访问控制列表;网络安全;企业网络

[中图分类号] TP393.08 [文献标志码] A [文章编号] 2096-0603(2018)17-0112-02

ACL的应用可以对上网的权限进行控制,还可以对各部门之间的访问进行控制,还能封闭特定端口来防范病毒。ACL的应用提高了网络的安全性,也使得网络管理效率得到提升。在网络设备路由器或三层交换机上,通过使用访问控制列表(ACL)来执行数据包过滤,可用来控制网络上数据包的传递、限制终端的通信量、限制网络特定的访问等。

一、ACL的概述

访问控制列表ACL(AccessControlList)是一种广泛使用的对数据进行过滤的网络安全技术。它对经过网络设备的数据包进行识别,对符合匹配条件的数据包允许通过或拒绝通过。这些匹配条件可以是数据包的源地址、目标地址、端口号、协议类型等等。通过ACL的应用,可以为网络的访问提供基本安全保障。

(一)1ACL的分类

主要有:标准ACL、扩展ACL、命名ACL和时间ACL。

1.标准ACL

标准ACL只匹配IP数据包中源地址或源地址中的一部分,对匹配的数据包可配置允许通过或拒绝通过两个操作。标准ACL只检查源地址,通常允许、拒绝的是完整的协议。其access-list-number为1-99或1300-1999。

2.扩展ACL

扩展ACL与标准ACL相比具有更多的匹配项,它包含有源地址、目标地址、源端口、目标端口、协议类型等。扩展ACL在应用时匹配源地址和目的地址,对匹配的数据包通常允许或拒绝某个特定的协议。其access-list-number值为100-199或2000-2699。

3.命名ACL

命名ACL是用列表名称来替代列表编号的ACL,它包括了标准ACL和扩展ACL。命名ACL语句的用法与列表编号ACL的用法基本相同,它最大的优点在于方便管理。

4.时间ACL时间

ACL可以限制在某个时间范围内才可以允许或拒绝某项服务。

(二)ACL的使用原则

在路由器中配置ACL时,一种通用规则是可对每种协议、每个方向、每个接口配置一个ACL。

二、ACL在网络中的应用

(一)企业网络拓扑图

R1连接公司生产基地,R2连接公司总部服务器,总部与生产基地之间用帧中继进行连通,主要IP地址配置如图所示。

(二)实现全网互通

1.核心交換机的主要配置命令

核心交换机的主要配置命令如下:

Switch(config-if)#interfacevlan10

Switch(config-if)#ipaddress172.16.10.254255.255.255.0Switch

(config-if)#noshutdown

同样的配置命令可以配置VLAN20、VLAN30、VLAN40

Switch(config)#routerrip

Switch(config-router)#version2

Switch(config-router)#noauto-summary

Switch(config-router)#network172.16.0.0

2.路由器R1、R2的主要配置命令

路由器R1的主要配置命令如下:

R1(config)#interfaces1/1

R1(config-if)#ipaddress202.16.60.1255.255.255.0

R1(config-if)#encapsulationframe-relay

R1(config-if)#frame-relaymapip202.16.60.2102broadcast

R1(config-if)#frame-relaylmicisco

R1(config)#routerrip

R1(config-router)#version2

R1(config-router)#noauto-summary

R1(config-router)#net172.16.50.0

R1(config-router)#net202.16.60.0

路由器R2的主要配置命令如下:

R2(config)#interfaces1/0

R2(config-if)#ipaddress202.16.60.2255.255.255.0

R2(config-if)#encapsulationframe-relay

R2(config-if)#frame-relaymapip202.16.60.1201broadcast

R2(config-if)#frame-relaylmicisco

R2(config)#routerrip

R2(config-router)#version2

R2(config-router)#noauto-summary

R2(config-router)#network202.16.60.0

R2(config-router)#network202.16.70.0

(三)网络中应用ACL,实现对交换、路由设备及网络的安全控制

1.只允许网管访问路由器R1、路由器R2的Telnet服务

R1、R2主要命令配置如下:

R1(config)#access-list10permithost172.16.30.1

R1(config)#linevty04

R1(config-line)#access-class10in

R1(config-line)#passwordabc

R1(config-line)#login

同样的命令可以配置到R2。

2.允许会计部可以访问财务服务器及WWW、FTP服务器,其他部门的计算机能访问WWW、FTP服务器,不能访问财务服务器

R2的主要配置命令

R2(config)#ipaccess-listextended101

R2(config-ext-nacl)#permitipanyhost202.16.70.253

R2(config-ext-nacl)#permitip172.16.40.00.0.0.255host

202.16.70.254

R2(config)#interfacef0/0

R2(config)#ipaccess-group101out

3.限制数据流流向

销售部管理部主机上存有敏感资料和数据,因此不能让生产部访问,但是销售部可以访问生产部的计算机,以便随时了解生产情况,要实现此功能可在核心交换上进行如下配置:

Sw(config)#access-list102denytcp192.168.10.00.0.0.255192.

168.20.00.0.0.255established

//禁止生产部访问销售部

Sw(config)#access-list102permittcpanyany

Sw(config)#intvlan10//应用在生产部所在的vlan10

Sw(config-if)#ipaccess-group100in

4.上网权限设置

限制生产部办公室机房里上QQ,那么可以在中心机房的核心交换机里设置ACL,使用扩展ACL对QQ服务器及端口进行过滤,在核心交换机上配置命令如下:

Sw(config)#ipaccess-listextendeddenyqq

Sw(config-ext-nacl)#denyudpanyhost61.144.238.145

……

Sw(config-ext-nacl)#permitipanyany

Sw(config)interfacef0/1

Sw(config-if)#ipaccess-groupdenyqqout

5.上网时间的访问控制

如禁止生产部在工作日的8:00to12:00时访问外网,R1路由器主要配置命令如下:

R1(config)#time-rangehttp

R1(config-time-range)#periodicweekday8:00to12:00

R1(config)#access-list103denytcp192.168.10.00.0.0.

255anyeqhttp

R1(config)#access-list103permittcpanyany

R1(config)#interfaces1/1

R1(config)#ipaccess-group103out

6.使用ACL禁用端口防止病毒

病毒大多是通过TCP/UDP端口来传播的,在路由器R1配置如下的访问列表:

R1(config)#ipaccess-listextendedbingdu

……

R1(config-ext-nacl)#denyudpanyanyeq445

R1(config-ext-nacl)#permitipanyany

R1(config)#interfaces1/1

R1(config-if)#ipaccess-groupbingduin

其余端口控制ACL命令与上面类似。

ACL是一种流量控制技术。流量管理的目的是阻止不需要的流量通过,同时,允许合法用户流量能够通过并能访问相应的网絡服务。ACL的配置应用,有效地实现了对数据流量的控制,在一定程度上保障了网络的安全运行。网络安全是一个复杂的问题,要考虑安全层次、技术难度及经费支出等因素,ACL应用于小中型企业网络是比较经济的做法。

参考文献:

[1]王坦,徐爱超,郭学义,等.基于ACL的网络安全策略应用研究计算机安全[J].计算机安全,2014(9).

[2]高焕超.ACL技术在网络安全中的应用电脑知识与技术[J].电脑知识与技术,2014(1).

[3]魏大新,李育龙.CISCO网络技术教程[M].电子工业出版社,2004.

猜你喜欢

访问控制数据包端口
满足法规要求的车载终端数据包加密方案分析
一种端口故障的解决方案
C#串口高效可靠的接收方案设计
云的访问控制研究
云计算访问控制技术研究综述
网络数据包的抓取与识别
为程序或设备在路由器上打开端口
校园骨干层网络交换机的访问控制技术