摘 要：隨著中小企業(yè)信息化水平的不斷提高，中小企業(yè)信息安全問(wèn)題越來(lái)越為嚴(yán)重，針對(duì)大型企業(yè)提供的信息安全技術(shù)和設(shè)備，雖然能為中小企業(yè)提供相應(yīng)的信息安全能力，但其專業(yè)性較強(qiáng)、成本較高，增加了中小企業(yè)的負(fù)擔(dān)。ACL技術(shù)即訪問(wèn)列表控制技術(shù)，僅需利用路由器即可實(shí)現(xiàn)網(wǎng)絡(luò)安全控制，成本低廉實(shí)現(xiàn)簡(jiǎn)單，能很好的滿足中小企業(yè)信息安全的需要，具有極高的應(yīng)用價(jià)值。本文以Cisco路由器為例，就如何通過(guò)ACL配置利用路由器實(shí)現(xiàn)網(wǎng)絡(luò)安全策略進(jìn)行探討，可供中小企業(yè)借鑒。

關(guān)鍵詞：Cisco路由器；ACL配置；網(wǎng)絡(luò)安全；訪問(wèn)控制

中圖分類號(hào)：TP393.08

信息化技術(shù)能有利的提升企業(yè)經(jīng)營(yíng)效率，是整個(gè)社會(huì)經(jīng)濟(jì)發(fā)展的必由之路。近年來(lái)，我國(guó)中小企業(yè)信息化水平得到了極大的提高，大多數(shù)中小企業(yè)都構(gòu)建起了自身的網(wǎng)絡(luò)系統(tǒng)，運(yùn)用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、信息化技術(shù)進(jìn)行企業(yè)經(jīng)營(yíng)管理，對(duì)促進(jìn)我國(guó)中小企業(yè)競(jìng)爭(zhēng)能力的提升起著重要作用。

1 ACL技術(shù)基本原理

1.1 ACL技術(shù)實(shí)現(xiàn)途徑

ACL技術(shù)是利用路由器和交換機(jī)接口的指令列表，來(lái)控制端口進(jìn)出數(shù)據(jù)包的技術(shù)。這種技術(shù)適用于所有被路由協(xié)議之中，僅需要對(duì)訪問(wèn)控制列表進(jìn)行關(guān)系匹配、條件查詢，即可進(jìn)行訪問(wèn)控制。這種技術(shù)是一種包過(guò)濾技術(shù)，通過(guò)讀取包頭信息與定義好的匹配規(guī)則進(jìn)行比較實(shí)現(xiàn)包過(guò)濾，允許和拒絕相應(yīng)的訪問(wèn)，從而達(dá)到訪問(wèn)控制的需要。在ACL工作過(guò)程中，當(dāng)收到數(shù)據(jù)包后路由器先對(duì)數(shù)據(jù)包進(jìn)行檢查，如果數(shù)據(jù)包可路由則通過(guò)訪問(wèn)控制列表找出接口，如果該出口沒(méi)有被編入ACL則直接從該口送出，如果被編入ACL則進(jìn)行匹配執(zhí)行，進(jìn)行相應(yīng)的處理。

1.2 ACL技術(shù)常見類型

目前常用的ACL技術(shù)可分為標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表兩類，進(jìn)一步可細(xì)分為標(biāo)準(zhǔn)IP訪問(wèn)控制列表、擴(kuò)展IP訪問(wèn)控制列表、命名IP訪問(wèn)控制列表三種。標(biāo)準(zhǔn)訪問(wèn)列表控制級(jí)別相對(duì)較低，只根據(jù)分組內(nèi)源地址或一部分進(jìn)行控制，編號(hào)范圍在1-99之間。擴(kuò)展IP訪問(wèn)控制列表?yè)碛懈嗥ヅ漤?xiàng)，包括源地址、源端口、目的地址、目的端口、IP優(yōu)先級(jí)、協(xié)議類型等，擴(kuò)充性和靈活性更強(qiáng)，其編號(hào)在100-199之間。命名IP訪問(wèn)控制列表則是以列表名來(lái)代替IP編號(hào)，這種方式突破了99個(gè)標(biāo)準(zhǔn)列表和100個(gè)擴(kuò)展列表的數(shù)目限制，能直觀的反映訪問(wèn)列表完成的功能，擴(kuò)展較為容易。

1.3 ACL技術(shù)實(shí)現(xiàn)規(guī)則

在ACL配置中極為靈活，應(yīng)用中必須注意一些基本規(guī)則。在權(quán)限賦予中，只能給予受控對(duì)象完成任務(wù)所需的最小權(quán)限，如果只是滿足部分條件則訪問(wèn)拒絕。在訪問(wèn)控制過(guò)程中，ACL匹配是采用自上而下逐條匹配的方式，當(dāng)發(fā)現(xiàn)符合條件時(shí)則立即執(zhí)行，而不會(huì)繼續(xù)對(duì)下面的ACL語(yǔ)句進(jìn)行檢測(cè)，因此要保證匹配規(guī)則最靠近受控對(duì)象。在ACL語(yǔ)句中，默認(rèn)的最后一條是丟充所有不符合條件的數(shù)據(jù)包，采用默認(rèn)丟棄原則，在實(shí)際應(yīng)用中要根據(jù)需要進(jìn)行修正，避免造成不必要的問(wèn)題。同時(shí)，ACL所采用的是包過(guò)濾技術(shù)，其過(guò)濾依據(jù)為第三層和第四層包頭信息，對(duì)具體個(gè)人、權(quán)限級(jí)別等的識(shí)別能力不足，在實(shí)際應(yīng)用中還需要結(jié)合其它訪問(wèn)權(quán)限控制策略共同進(jìn)行，而不能僅依靠ACL技術(shù)來(lái)進(jìn)行網(wǎng)絡(luò)安全管理。

2 Cisco路由器ACL配置實(shí)踐

2.1 案例簡(jiǎn)介

某企業(yè)將網(wǎng)絡(luò)結(jié)構(gòu)分為客戶接待和管理層兩部分，應(yīng)用企業(yè)內(nèi)部服務(wù)器進(jìn)行企業(yè)信息管理。企業(yè)內(nèi)部所有接入企業(yè)內(nèi)網(wǎng)的計(jì)算機(jī)都可以聯(lián)網(wǎng)，客戶接待部計(jì)算機(jī)與管理層計(jì)算機(jī)之間、路由器之間均可以互相訪問(wèn)?？蛻魴C(jī)不能直接訪問(wèn)企業(yè)內(nèi)部服務(wù)器，管理層可以訪問(wèn)企業(yè)內(nèi)部服務(wù)器，但不同管理職能部門，包括如財(cái)務(wù)部、業(yè)務(wù)部等所的訪問(wèn)權(quán)限需要進(jìn)行控制，外網(wǎng)對(duì)企業(yè)內(nèi)部服務(wù)器的訪問(wèn)權(quán)限也需要進(jìn)行控制。該企業(yè)路由器采用Cisco1841，有服務(wù)器一臺(tái)，客戶接待部計(jì)算機(jī)8臺(tái)，管理層計(jì)算機(jī)12臺(tái)，管理層計(jì)算機(jī)分為4個(gè)部門，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1：

圖1

2.2 ACL配置分析

在該企業(yè)中，路由器以端口E0連接行政部，網(wǎng)段為192.168.1.0；以端口E1連接人事部，網(wǎng)段為192.168.2.0；以端口E2連接財(cái)務(wù)部，網(wǎng)段為192.168.3.0；以端口E3連接后勤部，網(wǎng)段為192.168.4.0；以端口E4連接客戶接待部，網(wǎng)段為192.168.5.0；以端口E5連接服務(wù)器，網(wǎng)段為192.168.6.0。路由器E0-E5端口IP地址分別為192.168.1.1、192.168.2.1、192.168.3.1、192.168.4.1、192.168.5.1、192.168.6.1。其中，行政部計(jì)算機(jī)三臺(tái)，IP地址分別為192.168.1.11、192.168.1.12、192.168.1.13；人事部計(jì)算機(jī)兩臺(tái)，IP地址分別為192.168.2.11、192.168.2.12；財(cái)務(wù)部計(jì)算機(jī)四臺(tái)，IP地址分別為192.168.3.11、192.168.3.12、192.168.3.13、192.168.3.14；后勤部計(jì)算機(jī)三臺(tái)，IP地址分別為192.168.4.11、192.168.4.12、192.168.4.13；客戶接待部計(jì)算機(jī)八臺(tái)，IP地址分別為192.168.5.11-192.168.5.18；服務(wù)器兩臺(tái)，IP地址分別為192.168.6.11和192.168.6.12。需要利通過(guò)路由器利用ACL配置，來(lái)實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全策略，對(duì)行政部、財(cái)務(wù)部、人事部、后勤部、客戶接待部對(duì)網(wǎng)絡(luò)和數(shù)據(jù)安全的不同要求進(jìn)行安全控制。由于篇幅原因，本文僅只對(duì)部分ACL配置進(jìn)行概述。

2.3 構(gòu)建單向訪問(wèn)控制策略

在本企業(yè)應(yīng)用中，財(cái)務(wù)部計(jì)算機(jī)主要用于財(cái)務(wù)管理工作，存儲(chǔ)處理企業(yè)財(cái)務(wù)數(shù)據(jù)，這些數(shù)據(jù)不能讓客戶接待部所訪問(wèn)，但財(cái)務(wù)部需要從客戶接待部采集相關(guān)財(cái)務(wù)信息，需要訪問(wèn)客戶接待部計(jì)算機(jī)，因此需要構(gòu)建單向訪問(wèn)控制策略。

配置成功后，客戶接待部所處的192.168.4.0網(wǎng)段不能訪問(wèn)財(cái)務(wù)部的192.168.3.0網(wǎng)段，但財(cái)務(wù)部網(wǎng)段也不能訪問(wèn)客戶接待部網(wǎng)段。因?yàn)槁酚善鱁2端口的訪問(wèn)控制策略阻止了客戶接待部發(fā)送和回復(fù)的所有數(shù)據(jù)包，需要采用擴(kuò)展訪問(wèn)控制列表來(lái)構(gòu)建起單向訪問(wèn)控制策略。

通過(guò)配置，當(dāng)TCP連接建立時(shí)，數(shù)據(jù)包在路由器E4端口in方向上檢查通過(guò)，則數(shù)據(jù)包可以通過(guò)，但如果是192.168.4.0網(wǎng)段向192.168.3.0網(wǎng)段發(fā)起數(shù)據(jù)包，則不被確認(rèn)而拒絕通過(guò)。通過(guò)單向訪問(wèn)配置，則客戶接待部計(jì)算機(jī)不能任意訪問(wèn)財(cái)務(wù)部計(jì)算機(jī)，而財(cái)務(wù)部計(jì)算機(jī)可以訪問(wèn)客戶接待部計(jì)算機(jī)。

2.4 服務(wù)器資源訪問(wèn)控制策略

客戶服務(wù)部計(jì)算機(jī)連接入內(nèi)部網(wǎng)絡(luò)，即表示客戶服務(wù)部計(jì)算機(jī)可以訪問(wèn)內(nèi)部服務(wù)器資源，該企業(yè)內(nèi)部服務(wù)器分別為FTP服務(wù)器和WWW服務(wù)器，F(xiàn)TP服務(wù)器提供企業(yè)信息資源的存儲(chǔ)管理服務(wù)，WWW服務(wù)器提供WWW服務(wù)?？蛻舴?wù)部計(jì)算機(jī)不需要訪問(wèn)企業(yè)內(nèi)部信息資源，僅需要提供WWW服務(wù)。

參考文獻(xiàn)：

[1]莫林利.使用ACL技術(shù)的網(wǎng)絡(luò)安全策略研究及應(yīng)用[J].華東交通大學(xué)學(xué)報(bào)，2009（12）.

[2]白帆，羅進(jìn)文.訪問(wèn)控制列表的配置與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2009（08）.

作者單位：長(zhǎng)慶鉆井總公司，西安 710018