陳存田

摘要：隨著網絡技術的高速發(fā)展，各行業(yè)系統(tǒng)領域都已建成較為成熟系統(tǒng)網絡。在網絡系統(tǒng)的使用過程中，系統(tǒng)漏洞、網絡攻擊等網絡安全問題問題日漸突出。以山西省地震局行業(yè)網外聯單位區(qū)域為例，通過運用ACL訪問控制技術從OSI七層模型的網絡和傳輸層面解決該區(qū)域的安全授權訪問需求，以保證山西地震行業(yè)網安全有序運行提供必要的技術手段。

關鍵詞：訪問控制列表（acl）;網絡安全控制;山西地震行業(yè)網

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）08-0228-02

1 概述

隨著網絡技術的高速發(fā)展，各行業(yè)系統(tǒng)領域都已建成較為成熟系統(tǒng)網絡，基本實現了辦公網絡化。與此同時在各行業(yè)系統(tǒng)網絡的運行使用過程中各種安全問題日益凸顯，如何安全健康的使用網絡成為各行業(yè)領域網絡運維人員高度關注和急需解決的問題。既要防止未經授權的非法訪問數據入侵內部Intranet，也要防止各行業(yè)系統(tǒng)領域主機未經授權訪問外部網絡造成的信息泄密等。路由器作為網絡互連的網絡通信設備，在路由器的相關接口上運用ACL訪問控制技術可以很好地解決此類非授權的非法訪問，從而起到有效保護網絡的作用。ACL訪問控制技術適用于所有路由協(xié)議，通過在路由器中運用此種技術可以起到網絡安全訪問、網絡流量控制等作用。對于企業(yè)政府等行業(yè)在不增加防火墻安全設備的前提下，不失為一種安全可行的解決方案。

2 ACL的概述

ACL全稱訪問控制列表（Access Control List），是由一個或者多個用于報文過濾的規(guī)則組成的規(guī)則集合。常用在路由器或交換機接口的指令列表，用來控制端口進出的數據包的技術。

2.1 ACL的基本原理

ACL主要使用包過濾技術，其主要工作于OSI七層模型中的網絡層和傳輸層。通過讀取進出路由器或者交換機端口數據包頭中的源地址、目的地址、源端口號、目的端口號、協(xié)議類型等信息，來達到對數據包的過濾控制。ACL過濾技術是按照事先定義好的訪問控制列表集合中的規(guī)則順序執(zhí)行，具體詳見下圖ACL工作流程圖。

2.2 ACL的功能

網絡中的結點分為資源結點和用戶結點兩大類，其中資源結點提供服務或數據，而用戶結點訪問資源結點所提供的服務與數據。ACL的主要功能就是一方面保護資源結點，阻止非法用戶對資源結點的訪問;另一方面限制特定的用戶結點對資源結點的訪問權限。概括起來主要有以下四點主要功能：

（1）ACL可以限制網絡流量，提高網絡性能;

（2）ACL提供對通信流量的控制手段;

（3）ACL是提供網絡安全訪問的基本手段;

（4）ACL可以在路由器或者交換機端口處決定進出該端口的數據被轉發(fā)或丟棄。

2.3 配置ACL的基本原則

ACL訪問控制列表在各廠商設備中的運行規(guī)則各有不同。相同的是都是順序從上至下執(zhí)行列表集合，根據語句中描述的條件去匹配數據包，一旦匹配上就結束本次執(zhí)行過程不再繼續(xù)向下執(zhí)行剩余語句。不同的是訪問控制列表的語法運用規(guī)則不同。有的是除非允許，全部禁止，有的是除非禁止，全部允許。

2.4 訪問控制列表的分類

目前ACL訪問控制列表的分類有兩種，標準ACL和擴展ACL。

標準ACL是基于數據包的源地址進行過濾，使用的numer編號范圍2000-2999。擴展ACL是基于數據包源地址、目的地址、協(xié)議類型及所使用的端口號進行過濾，使用的numer編號范圍3000-3999。擴展acl在應用上更加靈活方便。各設備廠家系統(tǒng)軟件中針對訪問控制列表的語法語句略有不同，具體語法語句格式本文在本文中不進行詳細敘述。本文以華為路由器ACL訪問控制命令語法格式為例進行說明。

標準ACL訪問控制語句：acl number （2000-2999）

配置標準ACL訪問控制規(guī)則，允許源 IP 地址為 10.14.2.1的報文通過，并且通過命令查看列表類型。

system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule 0permit source 10.14.2.1 0

[Sysname-acl-basic-2000] display acl 2000

Basic ACL 2000， named -none-， 1 rule，

ACL's step is 5

rule 0 permit source10.14.2.1 0 （5 times matched）

擴展ACL訪問控制語句：acl number （3000-3999）

配置擴展ACL 訪問控制規(guī)則，允許 10.14.2.0網段的主機向 10.16.5.0網段的主機發(fā)送端口號為80的TCP報文。

system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000]rule 0 permit tcp source 10.14.2.00.0.255.255 destination 10.16.5.00.0.255.255 destination-port eq 80

[Sysname-acl-adv-3000] display acl 3000

Advanced ACL 3000， named -none-， 1 rule，

ACL's step is 5

rule 0 permit tcp source 10.14.2.0 0.0.255.255 destination 10.16.5.0 0.0.255.255? destination-port eq www （5 times matched）

3 ACL訪問控制技術實例應用

山西省地震局為中國地震局與山西省政府雙重領導的管理體制，承擔山西省防震減災政府行政管理職能。省政府設立山西省防震減災領導組作為防震減災協(xié)調領導機構，組長為省政府分管副省長;領導組辦公室設在省地震局，履行防震減災公共管理與社會服務職能;震時領導組自動轉為省政府抗震救災指揮部，省地震局履行指揮部辦公室職責。為保證領導組成員單位之間信息共享聯動協(xié)同工作，目前領導組成員單位全部通過租用營運商專用電路建立與省地震局網絡互聯互通。

山西地震行業(yè)網經過三個“五年計劃”的發(fā)展建設，目前已經形成區(qū)域中心（省中心）--綜合臺站、市局匯聚節(jié)點--無人值守臺站的三級網絡構架的組網模式。

第一層為區(qū)域中心（省中心），負責全省地震行業(yè)數據的匯集交換與處理，上連中國地震臺網中心，下連至匯聚層的省內11個地市地震局信息節(jié)點和省局直屬的地震臺站信息節(jié)點。

第二層為匯聚層，主要由山西省各地市地震局節(jié)點和省局直屬臺站節(jié)點組成，除承擔本節(jié)點的信息服務任務外，同時承擔三級節(jié)點的匯聚任務。

第三層無人值守監(jiān)測臺站，包括測震臺站、前兆無人值守臺站、強震動臺站。屬于地震行業(yè)數據產出的最前端，產出數據通過租用電信運營商專用電路，傳輸至匯聚層。

區(qū)域中心（省中心）處于網絡架構的最頂層。

防震減災領導組成員單位通過租用電信運營商PTN專線方式與省地震局建立網絡互聯，實現數據共享。隨著近年來區(qū)域中心業(yè)務的不斷增加，網絡規(guī)模及結構都出現了變化，經過調研分析，重新劃分了外聯單位接入區(qū)域功能，明晰該區(qū)域與我局互連網絡邊界。在不增加防火墻等安全設備的前提下，在外聯單位區(qū)域接入核心交換機9306接口G2/0/16配置ACL訪問控制策略，明確成員單位授權訪問資源。

3.1 ACL訪問控制策略制定原則

防震減災領導組成員單位接入區(qū)域原接入方式較為簡單，成員單位通過租用電信運營商的PTN專用線路接入山西省地震局區(qū)域中心網絡。通過劃分三層vlan方式為其分配IP地址，完成與省地震局區(qū)域中心網絡的互聯互通。這種接入方式缺點是每個成員單位都單獨占用一個vlan地址段，在成員單位側互連設備只為一臺普通工作主機，通過廣泛調研及技術論證在不增加防火墻等安全設備的前提下，我局技術人員重新調整這部分區(qū)域接入方式，將原來每個單位占用一個VLAN IP地址段統(tǒng)一調整成統(tǒng)一的IP地址段即10.14.200.X ，同時在核心交換機9306 G2/0/16 接口上部署訪問控制策略，成員單位只能訪問我局服務資源區(qū)域即10.14.2.X段的主機，其他未授權資源區(qū)域全部禁止訪問。

具體的訪問控制策略如下：

（1）明確授權訪問的地址及授權訪問區(qū)域。

acl number 3001

rule 5 permit ip source 10.14.200.0 0.0.0.255 destination 10.14.2.0 0.0.0.255

rule10 deny ip

（2）過濾限制敏感端口及病毒端口等。

acl number 3000

rule 0 deny tcp destination-port eq 5554

rule 1 deny tcp destination-port eq 9996

rule 2 deny tcp destination-port eq 135

rule 3 deny udp destination-port eq 135

rule 4 deny tcp destination-port eq 137

rule 5 deny udp destination-port eqnetbios-ns

rule 6 deny tcp destination-port eq 138

rule 7 deny udp destination-port eqnetbios-dgm

rule 8 deny tcp destination-port eq 139

rule 9 deny udp destination-port eqnetbios-ssn

rule 10 deny tcp destination-port eq 593

rule 11 deny tcp destination-port eq 4444

rule 12 deny tcp destination-port eq 8998

rule 13 deny tcp destination-port eq 445

rule 14 deny udp destination-port eq 445

（3）定義數據流分類及行為關聯兩組訪問控制策略，匹配感興趣數據流。

ACL number 3000 、ACL number3001

traffic classifier wailiandanwei operator or precedence 30

if-matchacl 3001

traffic behavior wailianguize

traffic policy wailian

classifierc_deny behavior b_deny

classifierwailiandanwei behavior wailianguize

（4）運行策略至路由器G2/0/16接口

interface Vlanif2200

descriptionwailiandanwei

ip address 10.14.200.253 255.255.255.0

vrrpvrid 200 virtual-ip 10.14.200.254

vrrpvrid 200 priority 105

interface GigabitEthernet2/0/16

descriptionTO_boda-SWitch-tieluju-shengjunqu-gaopaolv

port link-type access

port default vlan 2200

traffic-policywailian inbound

port-mirroring to observe-port 1 both

（5）測試結果

在外聯單位區(qū)域配置主機終端IP地址10.14.200.8登錄10.14.2.100 門戶網站IP地址正常訪問，通過ping命令測試其他網段地址及互聯網地址均無法訪問。

4 總結

通過重新規(guī)劃設置外聯區(qū)域運用ACL訪問控制技術實現了成員單位的安全接入，使省中心局域網區(qū)域劃分更加合理邊界更加清晰。從網絡安全的角度看，實現了對我局授權資源的安全訪問，保護了整網的安全有效運行。但是ACL訪問控制技術只能過濾網絡層和傳輸層面對進出網絡設備的數據包進行過濾，還需聯動配合其他網絡安全設備才能全方位多層面地對進出網絡的數據包進行全面的分析過濾，實現對我局網絡資源訪問的安全可信訪問。

參考文獻：

[1] 王達.華為路由器學習指南[M].北京：人民郵電出版社，2014.

[2] 莫林利.使用ACL技術的網絡安全策略研究及應用[J].華東交通大學學報，2009，26（6）：79-82.

【通聯編輯：光文玲】