嚴峻+黃瑞

摘 要：基于ACL（Access Control List，訪問控制列表）的包過濾防火墻是將制定出的不同區(qū)域間訪問控制策略部署在路由器端口處過濾進出數(shù)據(jù)包，達到對訪問進行控制，維護網(wǎng)絡(luò)安全的目的。文章在模擬組建互聯(lián)網(wǎng)環(huán)境基礎(chǔ)上，根據(jù)常見網(wǎng)絡(luò)安全業(yè)務需求，以華為R1760路由器ACL配置及部署為例，對基于ACL的包過濾防火墻實驗設(shè)計、部署及結(jié)果進行了詳盡描述。

關(guān)鍵詞：ACL；包過濾；防火墻

中圖分類號：TP393 文獻標志碼：A 文章編號：1673-8454（2014）14-0073-04

一、引言

對于局域網(wǎng)的保護，防火墻技術(shù)是一種行之有效的和廣泛使用的安全技術(shù)，根據(jù)防火墻所采用的技術(shù)不同，主要分為包過濾型、應用代理型和監(jiān)測型。其中包過濾作為最早發(fā)展起來的一種技術(shù)，通過對流經(jīng)路由器的所有數(shù)據(jù)包逐個檢查，查看源、目的IP地址、端口號以及協(xié)議類型（UDP/TCP）等，并依據(jù)所制定的ACL來決定數(shù)據(jù)包是通過還是不通過，進而可以隔離風險區(qū)域與安全區(qū)域的連接，同時不會妨礙人們對風險區(qū)域的訪問。由于包過濾防火墻技術(shù)大多是在網(wǎng)絡(luò)層和傳輸層實現(xiàn)，處理速度快，對應用透明，簡單實用，實現(xiàn)成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全，應用非常廣泛。因此，作為計算機網(wǎng)絡(luò)安全實驗教學的一個重要環(huán)節(jié)——基于ACL的包過濾防火墻實驗設(shè)計，對提高學生深刻理解包過濾防火墻工作原理、ACL類別及規(guī)則設(shè)計、策略部署位置及方向選擇知識，掌握利用ACL對路由器端口進行數(shù)據(jù)包過濾，維護局域網(wǎng)安全具有重要作用。

二、基于ACL的包過濾防火墻實驗設(shè)計

1.基于ACL的包過濾防火墻工作原理

ACL是為了保證內(nèi)網(wǎng)的安全性，根據(jù)具體安全需求設(shè)定安全策略，并將其部署在路由器的接口上，通過匹配數(shù)據(jù)包信息與訪問表參數(shù)，來決定允許數(shù)據(jù)包通過還是拒絕數(shù)據(jù)包通過某個接口來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達到對訪問進行控制的目的。

ACL是由一系列語句組成的列表，這些語句主要包括匹配條件、采取的動作（一個是拒絕deny，即拒絕數(shù)據(jù)包通過，過濾掉數(shù)據(jù)包；一個是允許permit，即允許數(shù)據(jù)包通過，不過濾數(shù)據(jù)包）兩個內(nèi)容。利用ACL可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，控制網(wǎng)絡(luò)通信流量等，同時也是網(wǎng)絡(luò)訪問控制的基本安全手段。其工作原理如圖1所示。

常用的ACL可分為標準訪問列表和擴展訪問列表兩種。標準訪問列表只檢查數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機的IP地址的所有通信流量通過路由器的出口。擴展IP訪問列表，它不僅檢查數(shù)據(jù)包的源地址，還要檢查數(shù)據(jù)包的目的地址、特定協(xié)議類型、源端口號、目的端口號等。所有訪問控制列表都有一個編號，兩種控制列表按照編號區(qū)分，標準控制列表編號范圍為1-99，擴展訪問控制列表為100-199。

2.實驗設(shè)計

（1）試驗人員及軟硬件配備

試驗分兩個實驗小組，每組4人，分別模擬一個局域網(wǎng)環(huán)境。每組硬件配備：華為S3026E交換機（24個10/100Base-TX以太網(wǎng)接口）1臺，華為R1760低端路由器（廣域網(wǎng)接口：1個同/異步串口S0，局域網(wǎng)接口：一個10/100M以太網(wǎng)接口E0）1臺，計算機2臺；V35串行線纜一對；雙絞線若干條。

（2）試驗環(huán)境設(shè)計

每個實驗小組以交換機作為中心節(jié)點，連接2臺PC，形成一個星狀網(wǎng)絡(luò)拓撲結(jié)構(gòu)，利用雙絞線將交換機與路由器以太網(wǎng)接口相連，模擬一個小型局域網(wǎng)環(huán)境。兩個實驗小組之間利用V35串行線纜通過R1760低端路由器同/異步串口相連，模型形成一個互聯(lián)網(wǎng)環(huán)境，實驗拓撲結(jié)構(gòu)如圖2所示。

（3）實驗要求及涉及的知識點

①每個實驗小組4名成員，分別承擔網(wǎng)絡(luò)環(huán)境組建、網(wǎng)絡(luò)設(shè)備參數(shù)設(shè)計、ACL設(shè)計、網(wǎng)絡(luò)設(shè)備配置工作。每個小組成員按照自己分配的工作內(nèi)容完成實驗預習，并以小組為單位討論相互之間工作的銜接及配置過程中的實驗現(xiàn)象。

②局域網(wǎng)1內(nèi)，PCA配置成為Web服務器，PCB為一般客戶機；局域網(wǎng)2內(nèi)，PCC配置成為Ftp服務器，PCD為一般客戶機，同PCB一樣承擔實驗測試工作。

③本實驗涉及到協(xié)議、端口、路由器工作原理及內(nèi)外網(wǎng)端口的控制、包過濾防火墻工作原理、ACL類別及規(guī)則設(shè)計、ACL部署方法及方向選擇等知識。

（4）基于ACL的包過濾防火墻配置步驟

①定義對特定數(shù)據(jù)流的訪問控制規(guī)則，即定義訪問控制列表ACL。

②將特定的規(guī)則應用到具體的接口上，過濾特定方向的數(shù)據(jù)流。

三、基于ACL的包過濾防火墻實驗的實現(xiàn)

1.設(shè)備配置

（1）計算機配置

局域網(wǎng)1為202.200.1.0網(wǎng)段，網(wǎng)內(nèi)各主機IP相關(guān)參數(shù)配置：PCA 202.200.1.1，PCB 202.200.1.2；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關(guān)：202.200.1.254。同時，主機PCA運行IIS，提供Web、Ftp兩種服務支持。局域網(wǎng)2為202.200.0.0網(wǎng)段，網(wǎng)內(nèi)各主機IP相關(guān)參數(shù)配置：PCC 202.200.0.1，PCD 202.200.0.2；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關(guān)：202.200.0.254。

（2）路由器配置

路由器R1串口S0：192.168.1.1/24，以太口E0： 202.200.1.254/24。路由器R2串口S0：192.168.1.2/24，以太口E0： 202.200.0.254/24。兩臺路由器都運行RIP協(xié)議，動態(tài)生成路由表。

2.ACL規(guī)則設(shè)計、部署及實驗結(jié)果

（1）源地址過濾實例

允許局域網(wǎng)2中主機PCC訪問外網(wǎng)，禁止主機PCD訪問外網(wǎng)。標準ACL規(guī)則設(shè)計、部署及實驗結(jié)果如下所示。

部署方案1：路由器R2上建立acl1，將acl1部署在R2串行接口S0處，方向參數(shù)選擇outbound。

……

acl 1 match-order auto

rule normal permit source 202.200.0.1 0.0.0.0

// 允許PCC訪問外網(wǎng)

rule normal deny source 202.200.0.2 0.0.0.0

// 禁止PCD訪問外網(wǎng)

……

interface Serial0

link-protocol ppp

ip address 192.168.1.2 255.255.255.0

firewall packet-filter 1 outbound

……

在主機PCC、PCD上運行ping程序，發(fā)現(xiàn)PCC可以訪問局域網(wǎng)1內(nèi)主機，PCD不能訪問。

部署方案2：將acl1部署在R2以太網(wǎng)接口E0處，方向參數(shù)選擇inbound，實驗效果同方案1。

……

interface Ethernet0

ip address 202.200.0.254 255.255.255.0

firewall packet-filter 1 inbound

……

部署方案3：路由器R1上建立acl1，將acl1部署在R1串行接口S0處，方向參數(shù)選擇inbound，實驗效果同方案1。

……

interface Serial0

clock DTECLK1

link-protocol ppp

ip address 192.168.1.1 255.255.255.0

firewall packet-filter 1 inbound

……

部署方案4：將acl1部署在R1以太網(wǎng)接口E0處，方向參數(shù)選擇outbound，實驗效果同方案1。

……

interface Ethernet0

ip address 202.200.1.254 255.255.255.0

firewall packet-filter 1 outbound

……

（2）目的地址過濾實例

只允許局域網(wǎng)2中主機PCC訪問局域網(wǎng)1中特定主機PCA。擴展ACL規(guī)則設(shè)計、部署及實驗結(jié)果如下所示。

路由器R2上建立acl101，將acl101部署在R2串行接口S0處，方向參數(shù)選擇outbound。

……

acl 101 match-order auto

rule normal permit ip source 202.200.0.1 0.0.0.0 destination 202.200.1.1 0.0.0.0

// 只允許PCC訪問特定主機PCA

rule normal deny ip source 202.200.0.0 0.0.0.255 destination 202.200.1.0 0.0.0.255

// 禁止局域網(wǎng)2中其它主機訪問局域網(wǎng)1

……

interface Serial0

link-protocol ppp

ip address 192.168.1.2 255.255.255.0

firewall packet-filter 101 outbound

……

在主機PCC、PCD上運行ping程序，發(fā)現(xiàn)PCC只能訪問PCA。也可以將ACL101部署在R2的E0口，或R1的S0、E0口，并選擇恰當?shù)倪^濾方向，實驗結(jié)果同上。

（3）協(xié)議過濾實例

僅允許目的為WWW服務器PCA的WWW請求報文輸入，禁止目的為Ftp服務器PCA的Ftp請求報文和其它輸入流量。擴展ACL規(guī)則設(shè)計、部署及實驗結(jié)果如下所示。

路由器R2上建立acl102，將設(shè)計的規(guī)則3部署在R2串行接口S0處，方向參數(shù)選擇outbound。

……

acl 102 match-order auto

rule normal permit tcp source any destination 202.200.1.1 0.0.0.0 destination-port equal www logging

// 允許目的為PCA的WWW請求報文輸入

rule normal deny tcp source any destination 202.200.1.1 0.0.0.0 destination-port equal ftp logging

// 禁止目的為PCA的ftp請求報文輸入

rule normal deny ip source any destination any

// 禁止其它一切報文輸入

……

interface Serial0

link-protocol ppp

ip address 192.168.1.2 255.255.255.0

firewall packet-filter 102 outbound

……

在主機PCC、PCD上打開IE，發(fā)現(xiàn)只能訪問PCA上的WWW服務，而無法訪問FTP服務。也可以將ACL 102部署在R2的E0口，或R1的S0、E0口，并選擇恰當?shù)倪^濾方向，實驗結(jié)果同上。

3.實驗現(xiàn)象總結(jié)

（1）ACL執(zhí)行原則

多條ACL之間采用深度優(yōu)先的原則，即描述的地址范圍越小，優(yōu)先級越高，先匹配列表序號大的規(guī)則。若一個數(shù)據(jù)包與該規(guī)則相匹配，那么后面的語句就將被忽略，不再進行檢查。如果跟該規(guī)則不匹配，它才被交給ACL較小序號的列表規(guī)則進行比較。所有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。因此，在進行ACL規(guī)則設(shè)計時要注意它們之間的先后順序。

（2）ACL端口數(shù)據(jù)過濾方向選擇

在路由器R1上設(shè)置ACL，如將其部署在串口S0上，數(shù)據(jù)包過濾方向選擇outbound，其規(guī)則作用效果與以下幾種部署方式效果相同：將列表部署在路由器R1以太口E0上，數(shù)據(jù)包過濾方向選擇inbound；將列表部署在路由器R2串口S0上，數(shù)據(jù)包過濾方向選擇inbound；將列表部署在路由器R2串口E0上，數(shù)據(jù)包過濾方向選擇outbound。

在路由器R2上設(shè)置ACL，如將其部署在串口S0上，數(shù)據(jù)包過濾方向選擇 inbound，其規(guī)則作用效果與以下幾種部署方式效果相同：將列表部署在路由器R2以太口E0上，數(shù)據(jù)包過濾方向選擇outbound；將列表部署在路由器R1串口S0上，數(shù)據(jù)包過濾方向選擇outbound；將該規(guī)則部署在路由器R1串口E0上，數(shù)據(jù)包過濾方向選擇inbound。

因此，對于ACL過濾方向參數(shù)Outbound、Inbound的選擇應站在路由器角度進行，在路由選擇進行以前，應用在接口進入方向的ACL起作用；在路由選擇決定以后，應用在接口離開方向的ACL起作用。

（3）ACL部署位置選擇

標準ACL部署位置應盡量靠近目的端。由于標準ACL只使用數(shù)據(jù)包的源地址來判斷數(shù)據(jù)包，所以它只能以源地址來區(qū)分數(shù)據(jù)包，源相同而目的不同的數(shù)據(jù)包也只能采取同一策略。因此，將其靠近源會阻止報文流向其它端口。

擴展ACL不僅使用數(shù)據(jù)包的源地址作為判斷條件，還使用目的地址、協(xié)議號為判斷條件。所以，它可以更加詳細的區(qū)分數(shù)據(jù)包，更好的控制用戶訪問。因此，擴展ACL部署位置應盡量靠近源端，以免訪問列表影響其他接口上的數(shù)據(jù)流。

四、結(jié)束語

本文以基于ACL的包過濾防火墻設(shè)計為實驗內(nèi)容，在搭建模擬互聯(lián)網(wǎng)實驗環(huán)境的基礎(chǔ)上，針對常見局域網(wǎng)絡(luò)安全服務需求，分別進行標準ACL設(shè)計和擴展ACL 設(shè)計，并將ACL在華為R1760路由器上進行部署驗證，實現(xiàn)了安全需求和報文的有效過濾。通過本實驗，提高了學生對包過濾防火墻工作原理、ACL類別及規(guī)則設(shè)計、策略部署位置及方向選擇知識的認識，掌握了利用ACL對路由器端口進行數(shù)據(jù)包過濾的安全防護方法，以及利用計算機網(wǎng)絡(luò)設(shè)備進行安全管理與服務管理控制的實踐操作能力。

參考文獻：

[1]張小川，付存君.基于Linux下防止IP欺騙的SYN攻擊防火墻的設(shè)計與實現(xiàn)[J].科學技術(shù)與工程，2013（1） ：244-247.

[2]趙紅敏，王建新，張青龍.基于組件的包過濾防火墻虛擬實驗平臺設(shè)計與實現(xiàn)[J].計算機與信息技術(shù)，2009（6）：69-72.

[3]錢愛增.基于路由器的包過濾防火墻實驗教學設(shè)計[J].中國教育信息化，2009（5）：77-79.

[4]何巍，張紅兵，夏春和.包過濾防火墻在仿真平臺中的研究與實現(xiàn)[J].航空計算技術(shù)，2006，36（6）：83-86.

（編輯：魯利瑞）