【摘要】訪問控制列表ACL有多種，不同場(chǎng)合應(yīng)用不同種類的ACL。本文以實(shí)際場(chǎng)景為例，為實(shí)現(xiàn)不同的網(wǎng)絡(luò)連接目的，而做的相應(yīng)的配置，并分析了各種配置的適用范圍和優(yōu)劣。這些 ACL 技術(shù)從簡(jiǎn)到繁、從網(wǎng)絡(luò)層到應(yīng)用層，為網(wǎng)絡(luò)的邊界安全提供了靈活的解決方案。

【關(guān)鍵詞】ACL;訪問控制;路由器配置

Abstract：There are many types of access control lists（ACL）.Different kinds of ACL were suitable for different occasions.According to the different purpose of network connection，the corresponding configurations were completed.Also，this text analyzed the applicable range and advantages and disadvantages of various kinds of configuration.The ACL technology from simple to complex，during the network layer to application layer，provided a flexible solution for the boundary of the network security.

Key words：ACL;Access control;The router configuration

1.ACL控制技術(shù)概述

當(dāng)今社會(huì)，網(wǎng)絡(luò)已經(jīng)如同空氣、水等一樣對(duì)我們?nèi)祟惖纳罘浅Ｖ匾?。網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理就了所有用戶都關(guān)心的問題，如何通過硬件設(shè)備來方便有效的管理網(wǎng)絡(luò)是每個(gè)網(wǎng)絡(luò)管理員必須掌握的技能，而ACL訪問控制技術(shù)就是一種簡(jiǎn)單而又行之有效的方法。訪問控制列表簡(jiǎn)稱為ACL，訪問控制列表使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。由于ACL涉及的配置命令很靈活，功能也很強(qiáng)大，在做具體的配置前，我們需要了解ACL設(shè)置的原則。原則可概括如下：①最小特權(quán)原則，即只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限，也就是說被控制的總規(guī)則是各個(gè)規(guī)則的交集，只滿足部分條件的是不容許通過規(guī)則的;②最靠近受控對(duì)象原則，也就是說在檢查規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的ACL語句;③默認(rèn)丟棄原則，在Cisco路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了deny any any，也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點(diǎn)要特別注意，雖然可以修改這個(gè)默認(rèn)，但未改前一定要引起重視。

2.標(biāo)準(zhǔn) ACL控制

訪問控制列表ACL分很多種，不同場(chǎng)合應(yīng)用不同種類的ACL。其中最簡(jiǎn)單的就是標(biāo)準(zhǔn)訪問控制列表，他是通過使用IP包中的源IP地址進(jìn)行過濾，使用的訪問控制列表號(hào)1到99來創(chuàng)建相應(yīng)的ACL。

為了方便說明配置目的和配置過程，網(wǎng)絡(luò)背景描述如下：假設(shè)某公司分為處于異地的總部和分部，總經(jīng)理在總部負(fù)責(zé)辦公，且總部有一Web服務(wù)器，分部有一Ftp服務(wù)器，以及許多的員工PC機(jī)，其公司的網(wǎng)絡(luò)連接示意圖如圖1所示。

標(biāo)準(zhǔn)訪問控制列表是最簡(jiǎn)單的ACL，具體格式如下：access-list ACL號(hào) permit/deny host ip地址 。如現(xiàn)今要求禁止172.16.0.0/16網(wǎng)段中除總經(jīng)理的172.16.0.2這臺(tái)計(jì)算機(jī)之外的所有計(jì)算機(jī)均不得訪問192.168.0.0/24的計(jì)算機(jī)，只需要在分部的路由器上做如下配置。

Router1（config）#access-list 1 permit host 172.16.0.2

Router1（config）#access-list 1 deny any

由于Cisco默認(rèn)添加了DENY ANY的語句在每個(gè)ACL中，所以上面的access-list 1 deny any這句命令可以省略。另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在E0端口使用ip access-group 1 out命令來宣告，宣告結(jié)果和上面最后兩句命令效果一樣。

此處小結(jié)一下：標(biāo)準(zhǔn)ACL占用路由器資源很少，是一種最基本最簡(jiǎn)單的訪問控制列表格式。應(yīng)用比較廣泛，經(jīng)常在要求控制級(jí)別較低的情況下使用。如果要更加復(fù)雜的控制數(shù)據(jù)包的傳輸就需要使用擴(kuò)展訪問控制列表了，他可以滿足我們到端口級(jí)的要求。

3.擴(kuò)展 ACL控制

標(biāo)準(zhǔn)訪問控制列表是基于IP地址進(jìn)行過濾的，是最簡(jiǎn)單的ACL。那么如果希望將過濾細(xì)到端口怎么辦呢？或者希望對(duì)數(shù)據(jù)包的目的地址進(jìn)行過濾。這時(shí)候就需要使用擴(kuò)展訪問控制列表了。使用擴(kuò)展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個(gè)特定服務(wù)（例如Web，F(xiàn)tp等）。擴(kuò)展訪問控制列表使用的ACL號(hào)為100到199。

擴(kuò)展訪問控制列表是一種高級(jí)的ACL，配置命令的具體格式如下：access-list ACL號(hào) [permit deny][協(xié)議][定義過濾源主機(jī)范圍]

[定義過濾源端口][定義過濾目的主機(jī)訪問]

[定義過濾目的端口]。例如，現(xiàn)要求禁止分部的計(jì)算機(jī)訪問總部的計(jì)算機(jī)，包括那臺(tái)服務(wù)器，不過惟獨(dú)可以訪問172.16.0.254上的WWW服務(wù)，而其他服務(wù)不能訪問。

可在總部的路由器上做如下配置。

Router2（config） #access-list 101 permit

tcp any 172.16.0.254 0.0.255.255 eq www

Router2（config）int fa1/0

Router2（config-if）#ip access-group 101 out

擴(kuò)展ACL有一個(gè)最大的好處就是可以保護(hù)服務(wù)器，例如很多服務(wù)器為了更好的提供服務(wù)都是暴露在公網(wǎng)上的，這時(shí)為了保證服務(wù)正常提供所有端口都對(duì)外界開放，很容易招來黑客和病毒的攻擊，通過擴(kuò)展ACL可以將除了服務(wù)端口以外的其他端口都封鎖掉，降低了被攻擊的機(jī)率。

擴(kuò)展ACL功能很強(qiáng)大，他可以控制源IP、目的IP、源端口、目的端口等，能實(shí)現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口的IP。不過他存在一個(gè)缺點(diǎn)，那就是在沒有硬件ACL加速的情況下，擴(kuò)展ACL會(huì)消耗大量的路由器CPU資源。所以當(dāng)使用中低檔路由器時(shí)應(yīng)盡量減少擴(kuò)展ACL的條目數(shù)，將其簡(jiǎn)化為標(biāo)準(zhǔn)ACL或?qū)⒍鄺l擴(kuò)展ACL合一是最有效的方法。

4.高級(jí)ACL控制的應(yīng)用

4.1 基于名稱的訪問控制列表

不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都有一個(gè)弊端，那就是當(dāng)設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進(jìn)行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會(huì)影響到整個(gè)ACL列表。這一個(gè)缺點(diǎn)會(huì)帶來繁重的負(fù)擔(dān)，不過可以用基于名稱的訪問控制列表來解決這個(gè)問題。基于名稱的訪問控制列表的格式：ip access-list[standard extended][ACL名稱]，如果設(shè)置ACL的規(guī)則比較多的話，應(yīng)該使用基于名稱的訪問控制列表進(jìn)行管理，這樣可以減輕很多后期維護(hù)的工作，方便我們隨時(shí)進(jìn)行調(diào)整ACL規(guī)則。

4.2 反向訪問控制列表

使用訪問控制列表除了合理管理網(wǎng)絡(luò)訪問以外還有一個(gè)更重要的方面，那就是防范病毒，我們可以將平時(shí)常見病毒傳播使用的端口進(jìn)行過濾，將使用這些端口的數(shù)據(jù)包丟棄。這樣就可以有效的防范病毒的攻擊。不過即使再科學(xué)的訪問控制列表規(guī)則也可能會(huì)因?yàn)槲粗《镜膫鞑ザ鵁o效，畢竟未知病毒使用的端口是我們無法估計(jì)的，而且隨著防范病毒數(shù)量的增多會(huì)造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡(luò)訪問的速度。這時(shí)我們可以使用反向控制列表來解決以上的問題。

反向訪問控制列表屬于ACL的一種高級(jí)應(yīng)用。他可以有效的防范病毒。通過配置反向ACL可以保證AB兩個(gè)網(wǎng)段的計(jì)算機(jī)互相PING，A可以PING通B而B不能PING通A。說得通俗些的話就是傳輸數(shù)據(jù)可以分為兩個(gè)過程，首先是源主機(jī)向目的主機(jī)發(fā)送連接請(qǐng)求和數(shù)據(jù)，然后是目的主機(jī)在雙方建立好連接后發(fā)送數(shù)據(jù)給源主機(jī)。反向ACL控制的就是上面提到的連接請(qǐng)求。

反向訪問控制列表格式非常簡(jiǎn)單，只要在配置好的擴(kuò)展訪問列表最后加上established即可。

如圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)中，路由器連接了二個(gè)網(wǎng)段，分別為172.16.0.0/16，192.168.0.0/24，為了使172.16.0.0/16網(wǎng)段中的計(jì)算機(jī)免受來自192.168.0.0/24這個(gè)網(wǎng)段的病毒攻擊，做如下配置。

Router1（config）#access-list 101 permit tcp 192.168.0.0 0.0.0.255 172.16.0.0 0.0.255.255 established

//定義ACL101，容許所有來自172.16.3.0網(wǎng)段的計(jì)算機(jī)訪問172.16.4.0網(wǎng)段中的計(jì)算機(jī)，前提是TCP連接已經(jīng)建立了的。當(dāng)TCP連接沒有建立的話是不容許172.16.3.0訪問172.16.4.0的。

Router1（config）#int fa0/0

Router1（config）# ip access-group 101 out //將ACL101宣告出去

設(shè)置完畢后病毒就不會(huì)輕易的從192.168.0.0/24傳播到172.16.0.0/16的服務(wù)器區(qū)了。因?yàn)椴《疽雮鞑ザ际侵鲃?dòng)進(jìn)行TCP連接的，由于路由器上采用反向ACL禁止了192.168.0.0/24網(wǎng)段的TCP主動(dòng)連接，因此病毒無法順利傳播。

檢驗(yàn)反向ACL是否順利配置的一個(gè)簡(jiǎn)單方法就是拿172.16.0.0/16里的一臺(tái)計(jì)算機(jī)PING在192.168.0.0/24中的計(jì)算機(jī)，如果可以PING通的話再用172.16.0.0/16那臺(tái)計(jì)算機(jī)PING 172.16.0.0/16的服務(wù)器，PING不通則說明ACL配置成功。

通過上文配置的反向ACL會(huì)出現(xiàn)一個(gè)問題，那就是192.168.0.0/24的計(jì)算機(jī)不能訪問服務(wù)器的服務(wù)了，假如圖中172.16.0.254提供了WWW服務(wù)的話也不能正常訪問。解決的方法是在ESTABLISHED那句前頭再添加一個(gè)擴(kuò)展ACL規(guī)則，例如：access-list 101 permit tcp 192.168.0.0 0.0.0.255 172.16.0.0 0.0.255.255 eq www。

這樣根據(jù)“最靠近受控對(duì)象原則”即在檢查ACL規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的ACL語句。192.168.0.0/24的計(jì)算機(jī)就可以正常訪問該服務(wù)器的WWW服務(wù)了，而下面的ESTABLISHED防病毒命令還可以正常生效。

還有基于時(shí)間和流量等的控制列表就不在這里一一舉例了。

5.思考與小結(jié)

ACL技術(shù)是Cisco IOS防火墻的重要組成部分，其基于包過濾的基本網(wǎng)絡(luò)安全策略，能夠?qū)崿F(xiàn)防火墻的基本功能，在一定程度上提高了網(wǎng)絡(luò)的安全性。只有對(duì)所處網(wǎng)絡(luò)環(huán)境有深入的了解，如要明確有哪些應(yīng)用、使用哪些端口、訪問哪些地址等，這樣才能作出最合理、完善的ACL控制規(guī)則，滿足用戶的需要。

參考文獻(xiàn)

[1]潘文嬋.通過訪問控制列表分析網(wǎng)絡(luò)病毒入侵和惡意攻擊[J].信息網(wǎng)絡(luò)安全，2010（4）：59-60.

[2]陳勇兵.路由器訪問控制列表應(yīng)用與實(shí)踐[J].實(shí)驗(yàn)技術(shù)與管理，2010，27（3）：92-93.

[3]李清平.路由器和三層交換機(jī)聯(lián)合實(shí)現(xiàn)擴(kuò)展ACL[J].計(jì)算機(jī)與數(shù)字工程，2010，38（5）：170-174.

[4]王芳，韓國(guó)棟.路由器訪問控制列表及其實(shí)現(xiàn)技術(shù)研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，28（23）：5638-5639.

[5]劉建偉，張衛(wèi)東.網(wǎng)絡(luò)安全實(shí)驗(yàn)教程[M].北京：清華大學(xué)出版社，2007.

基金項(xiàng)目：武漢職業(yè)技術(shù)學(xué)院校級(jí)課題“基于IBX1000的局域網(wǎng)VoIP的設(shè)計(jì)與實(shí)踐（項(xiàng)目編號(hào)：2013LX049）”。

作者簡(jiǎn)介：張玲麗（1980—），女，湖北武漢人，碩士研究生，武漢職業(yè)技術(shù)學(xué)院電信學(xué)院講師，主要研究方向：通信技術(shù)。