◆王茂鋼

（廣東省工業(yè)貿(mào)易職業(yè)技術(shù)學(xué)校 廣東 528237）

0 引言

網(wǎng)絡(luò)管理人員通常會(huì)利用防火墻技術(shù)、包過(guò)濾技術(shù)等來(lái)保護(hù)網(wǎng)絡(luò)設(shè)備，以防止其受到網(wǎng)絡(luò)攻擊，從而確保用戶正常使用網(wǎng)絡(luò)資源。而從網(wǎng)絡(luò)建設(shè)方來(lái)講，在大量使用多個(gè)廠商提供的網(wǎng)絡(luò)設(shè)備產(chǎn)品的情況下，如果僅僅購(gòu)買防火墻技術(shù)來(lái)達(dá)到隔離內(nèi)外網(wǎng)的目的，成本相對(duì)較高。尤其是在后續(xù)網(wǎng)絡(luò)升級(jí)擴(kuò)展時(shí)，需要更多的費(fèi)用投入，這種方式不適用于中小型企業(yè)單位。隨著網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展與應(yīng)用，很多廠商研發(fā)生產(chǎn)的路由設(shè)備都對(duì)訪問控制列表的包過(guò)濾技術(shù)存在基本支持，從而在很大程度上提高了網(wǎng)絡(luò)安全水平。

1 訪問控制列表概述

1.1 訪問控制列表及其工作原理

ACL即訪問控制列表，其功能是通過(guò)在網(wǎng)絡(luò)設(shè)備中設(shè)定有限語(yǔ)句序列，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備中數(shù)據(jù)包的有效過(guò)濾。具體來(lái)講，訪問控制列表就是充分利用包過(guò)濾技術(shù)，將網(wǎng)絡(luò)設(shè)備中報(bào)文的協(xié)議號(hào)、源端及目的端地址、源端及目的端口號(hào)等，同應(yīng)用過(guò)的訪問控制列表進(jìn)行表相對(duì)比，以實(shí)現(xiàn)允許報(bào)文通過(guò)，或拒絕報(bào)文通過(guò)的功能[1]。當(dāng)報(bào)文到達(dá)目的端后，網(wǎng)絡(luò)設(shè)備會(huì)全面檢查收到的報(bào)文，如果報(bào)文符合訪問控制列表中的一定規(guī)則，就將該語(yǔ)句動(dòng)作執(zhí)行。而若報(bào)文與訪問控制列表中的規(guī)則不符，就對(duì)訪問表內(nèi)下一條語(yǔ)句進(jìn)行檢查，如果所有語(yǔ)句都與訪問列表中的規(guī)則不符，就以缺省規(guī)則允許或拒絕該報(bào)文通過(guò)。

1.2 訪問控制列表的分類

從訪問控制列表數(shù)據(jù)包過(guò)濾對(duì)象的角度來(lái)看，可將訪問列表分為標(biāo)準(zhǔn)訪問控制列表、擴(kuò)展訪問控制列表、命名訪問控制列表、基于時(shí)間訪問控制列表以及自反訪問控制列表等類型。

1.3 訪問控制列表的配置方法

對(duì)于訪問控制列表的運(yùn)用，一定要做好兩點(diǎn)工作：第一點(diǎn)是從具體需要出發(fā)，進(jìn)行訪問控制列表的精準(zhǔn)編寫。第二點(diǎn)是要在對(duì)應(yīng)接口中應(yīng)用訪問控制列表。若要運(yùn)用具有時(shí)間段的訪問控制列表，就應(yīng)先對(duì)時(shí)間段進(jìn)行合理定義，并在訪問控制列表規(guī)則編寫過(guò)程中，將所定義時(shí)間段加入進(jìn)去。

2 標(biāo)準(zhǔn)訪問控制列表實(shí)驗(yàn)設(shè)計(jì)

本文只通過(guò)標(biāo)準(zhǔn)訪問控制列表來(lái)表述內(nèi)外網(wǎng)隔離的實(shí)現(xiàn)過(guò)程，不再贅述其余類型的訪問控制列表。標(biāo)準(zhǔn)訪問控制列表過(guò)濾命令序列的設(shè)計(jì)，建立在數(shù)據(jù)包源 IP地址信息基礎(chǔ)上，該訪問控制列表主要用于對(duì)特定源網(wǎng)段的數(shù)據(jù)包進(jìn)行有效過(guò)濾，采用訪問控制列表表號(hào)允許或通過(guò)源地址反向掩碼作為命令格式，來(lái)執(zhí)行特定源網(wǎng)段的允許和通過(guò)動(dòng)作，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過(guò)濾[2]。

網(wǎng)絡(luò)仿真的首要任務(wù)是進(jìn)行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的搭建。在利用Cisco Packet Tracer 6.0軟件進(jìn)行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)搭建過(guò)程中，通過(guò)R0、S0、SERVER、PC1—PC3進(jìn)行內(nèi)網(wǎng)模擬，通過(guò)R1和PC4進(jìn)行外網(wǎng)模擬，并利用R0和R1實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)間的連接（如圖1）。

PC1—PC3地址網(wǎng)段使用私有性質(zhì)的，也就是192.168.0.0/24，PC4地址網(wǎng)段使用公有性質(zhì)的，也就是服務(wù)提供商提供的地址，本例所用地址的網(wǎng)段為210.100.100.0/30、218.200.200.0/30。在合理配置后實(shí)現(xiàn)了以下幾點(diǎn)：第一點(diǎn)，通過(guò)在內(nèi)網(wǎng)PC機(jī)間進(jìn)行虛擬局域網(wǎng)劃分，實(shí)現(xiàn)對(duì)廣播風(fēng)暴的隔離。第二點(diǎn)，可通過(guò)內(nèi)網(wǎng)PC進(jìn)行外網(wǎng)訪問。第三點(diǎn)，可通過(guò)外網(wǎng)PC對(duì)R0公有地址進(jìn)行訪問，但不能對(duì)內(nèi)網(wǎng)PC機(jī)也就是私有地址進(jìn)行訪問。

3 標(biāo)準(zhǔn)訪問控制列表仿真實(shí)驗(yàn)結(jié)果分析

3.1 訪問控制列表在內(nèi)網(wǎng)訪問外網(wǎng)PC機(jī)時(shí)的運(yùn)用

內(nèi)網(wǎng)PC1—PC3、SERVER所用地址來(lái)自私有網(wǎng)段，經(jīng)過(guò)PAT（即端口地址轉(zhuǎn)換）進(jìn)行地址轉(zhuǎn)換，并通過(guò)轉(zhuǎn)換后的公網(wǎng)地址（210.100.100.1）進(jìn)行外網(wǎng)訪問。但從外網(wǎng) PC的情況來(lái)看，在執(zhí)行過(guò)標(biāo)準(zhǔn)訪問控制列表后，內(nèi)外網(wǎng)之間是處于隔離狀態(tài)的，也就是說(shuō)外網(wǎng)PC機(jī)無(wú)法對(duì)內(nèi)網(wǎng)PC進(jìn)行訪問，但可對(duì)內(nèi)網(wǎng)公有IP地址210.100.100.1進(jìn)行訪問。PC1所發(fā)出的ICMP探測(cè)報(bào)文跟蹤到達(dá)PC4所經(jīng)過(guò)的路徑，通過(guò)四跳之后成功到達(dá)218.200.200.1，也就是PC4，這就可以看出內(nèi)網(wǎng)PC1與PC4之間是能夠?qū)崿F(xiàn)連通的[3]。以此類推，PC2—PC3與PC4之間也能夠?qū)崿F(xiàn)連通。究其原因，是由于內(nèi)網(wǎng)R0向PC1—PC3發(fā)出的報(bào)文先傳送到R0，通過(guò)訪問控制列表行有效轉(zhuǎn)換，然后再將其傳遞給下一跳路由，也就是外網(wǎng)R1的f0/0接口（210.100.100.2）。

圖1 標(biāo)準(zhǔn)訪問控制列表實(shí)現(xiàn)內(nèi)外網(wǎng)隔離示意圖

3.2 訪問控制列表在外網(wǎng)訪問內(nèi)網(wǎng)PC機(jī)時(shí)的運(yùn)用

PC4將4個(gè)ICMP探測(cè)報(bào)文發(fā)送到PC1，最終返回的是目的主機(jī)不可達(dá)（Destinationhost unreachable）的4個(gè)報(bào)文，從這里可以得知，外網(wǎng)是無(wú)法主動(dòng)發(fā)送數(shù)據(jù)包給內(nèi)網(wǎng)的。究其原因，是由于外網(wǎng)R1通過(guò)訪問控制列表，先對(duì)PC4所發(fā)來(lái)的數(shù)據(jù)包先進(jìn)行規(guī)則匹配，但192.168.10.1所在網(wǎng)段始終處于被拒絕狀態(tài)，因此無(wú)法通過(guò)R1進(jìn)行轉(zhuǎn)發(fā)，也就是說(shuō)R1拒絕轉(zhuǎn)發(fā)到192.168.0.0/24、172.16.0.0/24網(wǎng)段的數(shù)據(jù)包。以此類推，PC4發(fā)送到PC2—PC3的數(shù)據(jù)包也是處于被拒絕狀態(tài)的。

3.3 訪問控制列表在訪問內(nèi)網(wǎng)所提供服務(wù)時(shí)的運(yùn)用

在內(nèi)外網(wǎng)處于隔離狀態(tài)時(shí)，達(dá)到訪問控制目的。例如內(nèi)網(wǎng)SERVER發(fā)布WWW、FTP服務(wù)，內(nèi)網(wǎng)PC機(jī)與SERVER可在同一個(gè)區(qū)域內(nèi)進(jìn)行自由訪問，因此PC1—PC3可利用“Desktop-Web Broswer”對(duì)SERVER所提供的WWW服務(wù)進(jìn)行有效訪問，利用PC4的“Desktop-CommandPrompt”對(duì)FTP服務(wù)進(jìn)行有效訪問[4]。但外網(wǎng)PC要想達(dá)成訪問目的，就只能充分運(yùn)用訪問控制列表與PAT轉(zhuǎn)換后的公網(wǎng)地址（210.100.100.1）。

對(duì)內(nèi)外網(wǎng)主機(jī)之間的連通性進(jìn)行測(cè)試后能夠得知，內(nèi)網(wǎng) PC能夠在訪問控制列表與PAT技術(shù)轉(zhuǎn)換之后，有效利用公有IP對(duì)外網(wǎng)進(jìn)行訪問，而外網(wǎng)PC能夠?qū)?nèi)網(wǎng)公有IP地址終端（也就是R0的f0/0接口）進(jìn)行訪問，但對(duì)于內(nèi)網(wǎng)主機(jī)卻不可以進(jìn)行訪問。當(dāng)內(nèi)網(wǎng)與外網(wǎng)處于隔離狀態(tài)時(shí)，內(nèi)網(wǎng)通過(guò)網(wǎng)絡(luò)服務(wù)發(fā)布，外網(wǎng)通過(guò)訪問公有IP，都能實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端與服務(wù)進(jìn)行隔離的最終目的。

4 結(jié)束語(yǔ)

訪問控制列表是控制網(wǎng)絡(luò)訪問的主要方式之一，加強(qiáng)對(duì)訪問控制列表的研究，對(duì)進(jìn)一步保護(hù)網(wǎng)絡(luò)設(shè)備安全等方面，有著十分重要的意義。因此，網(wǎng)絡(luò)管理人員必須充分了解和掌握訪問控制列表的工作原理，并從網(wǎng)絡(luò)設(shè)備的實(shí)際性能出發(fā)，對(duì)訪問控制列表進(jìn)行靈活配置，從而充分發(fā)揮訪問控制列表的實(shí)際功能，將內(nèi)外網(wǎng)有效隔離，進(jìn)而有效增強(qiáng)網(wǎng)絡(luò)設(shè)備的性能。