鄧?guó)?/p>

（甘肅電器科學(xué)研究院，甘肅 天水 741000）

1 三層網(wǎng)絡(luò)交換機(jī)ACL技術(shù)的概念及特點(diǎn)

1.1 H3C三層網(wǎng)絡(luò)交換機(jī)ACL研究背景

采用H3C三層網(wǎng)絡(luò)交換機(jī)訪問控制列表（ACL）技術(shù),對(duì)網(wǎng)絡(luò)核心層進(jìn)行升級(jí),采用兩臺(tái)H3C品牌型號(hào)為S7508E-X核心交換機(jī)組成高可靠虛雙機(jī)級(jí)聯(lián)，網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，網(wǎng)絡(luò)連接科學(xué)合理，極大提高了網(wǎng)絡(luò)的安全與穩(wěn)定性。網(wǎng)絡(luò)核心層交換機(jī)承擔(dān)著信息化系統(tǒng)中重要的處理解析任務(wù)，甘肅電器科學(xué)研究院于2014年進(jìn)行了全面的網(wǎng)絡(luò)改造升級(jí)，通過此次升級(jí)改造，實(shí)現(xiàn)了內(nèi)外網(wǎng)絡(luò)的完全隔離，消除設(shè)備運(yùn)行的風(fēng)險(xiǎn)，提升了網(wǎng)絡(luò)整體運(yùn)行性能，保證了企業(yè)資源管理（SAP）、產(chǎn)品數(shù)據(jù)管理（PDM）、制造執(zhí)行系統(tǒng)（MES）等重要服務(wù)器的安全性，也一定程度上提高網(wǎng)絡(luò)整體的穩(wěn)定性，有效保證了生產(chǎn)經(jīng)營(yíng)的順利進(jìn)行。

1.2 H3C三層網(wǎng)絡(luò)交換機(jī)ACL研究意義

網(wǎng)絡(luò)安全防護(hù)、解決網(wǎng)絡(luò)故障是一項(xiàng)復(fù)雜而艱巨的工作，針對(duì)單位內(nèi)外網(wǎng)隔離以及復(fù)雜多變的網(wǎng)絡(luò)情況，不同用戶在工作中對(duì)網(wǎng)絡(luò)的使用分配情況不同，不同服務(wù)器之間的訪問需求又有區(qū)別；外網(wǎng)服務(wù)器與內(nèi)網(wǎng)服務(wù)器之間需要相互訪問，那么在外網(wǎng)服務(wù)器與內(nèi)網(wǎng)服務(wù)器訪問時(shí)，外網(wǎng)服務(wù)器在互聯(lián)網(wǎng)上運(yùn)行時(shí)存在著較大的風(fēng)險(xiǎn)的，容易受到病毒，如木馬程序的攻擊等會(huì)造成數(shù)據(jù)的泄露，服務(wù)器崩潰等情況。外網(wǎng)服務(wù)器如果受到外部的攻擊，內(nèi)網(wǎng)主要業(yè)務(wù)服務(wù)器則極有可能受到病毒的感染攻擊，進(jìn)而使整個(gè)網(wǎng)絡(luò)都會(huì)面臨病毒的攻擊。網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)極高，一旦發(fā)生意外，將造成嚴(yán)重的后果，一系列生產(chǎn)業(yè)務(wù)將停滯，影響面廣[1-2]。熟悉掌握交換機(jī)等網(wǎng)絡(luò)設(shè)備的使用以及配置過程在網(wǎng)絡(luò)建設(shè)中有著重大意義。

1.3 主要研究?jī)?nèi)容

運(yùn)行ACL策略手段有效地管理網(wǎng)絡(luò)運(yùn)行，并保證各VLAN之間的互相訪問。側(cè)重于研究ACL策略組的配置過程，配置完成后所到達(dá)的效果以及目的。它可以隔離內(nèi)網(wǎng)與外網(wǎng)的相互通信，保證內(nèi)網(wǎng)環(huán)境的數(shù)據(jù)安全，有效隔離外網(wǎng)病毒、木馬等有害程序?qū)?nèi)網(wǎng)的侵入，并保證內(nèi)網(wǎng)當(dāng)VLAN受到外部攻擊的同時(shí)，確保其他VLAN的安全性，給系統(tǒng)管理員清除病毒攻擊程序贏得時(shí)間[3]。本單位網(wǎng)絡(luò)環(huán)境分為內(nèi)外網(wǎng)，服務(wù)器數(shù)量較多，其中包括SAP服務(wù)器、PDM、文件服務(wù)器、域控制器、Web服務(wù)器、MES系統(tǒng)、BPM系統(tǒng)等。一旦病毒侵入內(nèi)網(wǎng)中，將對(duì)單位的網(wǎng)絡(luò)系統(tǒng)構(gòu)成重大危害，所以有效地利用此項(xiàng)技術(shù)，對(duì)保證本單位網(wǎng)絡(luò)環(huán)境的穩(wěn)定運(yùn)行至關(guān)重要。

1.4 主要研究方法

本單位的網(wǎng)絡(luò)運(yùn)行情況分為內(nèi)網(wǎng)和外網(wǎng)2種工作模式，內(nèi)網(wǎng)需要與外界網(wǎng)絡(luò)完全隔離，避免重要數(shù)據(jù)的泄露與網(wǎng)絡(luò)的安全，主要運(yùn)行于產(chǎn)品研發(fā)、產(chǎn)品生產(chǎn)等部門，主要運(yùn)行的服務(wù)器有SAP服務(wù)器、PDM服務(wù)器、域服務(wù)器、殺毒服務(wù)器、Web服務(wù)器等。外部網(wǎng)絡(luò)需要連接互聯(lián)網(wǎng)運(yùn)行，主要運(yùn)行于BPM服務(wù)器采購(gòu)、銷售部門等。而SAP與BPM服務(wù)器需要在內(nèi)網(wǎng)與外網(wǎng)環(huán)境內(nèi)同時(shí)運(yùn)行，所有需要與內(nèi)網(wǎng)與外網(wǎng)互相通信，那么合理地運(yùn)用ACL訪問控制策略，就能有效地解決兩個(gè)網(wǎng)絡(luò)之間并行的問題，并且保證服務(wù)器與網(wǎng)絡(luò)之間的穩(wěn)定運(yùn)行，節(jié)省網(wǎng)絡(luò)運(yùn)行成本。通過對(duì)單位核心交換機(jī)中進(jìn)行配置相關(guān)的ACL策略，讓核心交換訪問控制策略配合網(wǎng)絡(luò)防火墻、上網(wǎng)行為管理等網(wǎng)絡(luò)安全設(shè)備，有效預(yù)防網(wǎng)絡(luò)安全事故的發(fā)生，控制病毒在局域網(wǎng)內(nèi)的擴(kuò)散，在實(shí)際的工作中有著深遠(yuǎn)的意義。

2 網(wǎng)絡(luò)結(jié)構(gòu)組成及特殊性分析

2.1 網(wǎng)絡(luò)結(jié)構(gòu)組成

本單位目前網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，其中包括基地、園區(qū)2個(gè)部分的網(wǎng)絡(luò)組成?；氐木W(wǎng)絡(luò)情況為原始老網(wǎng)絡(luò)，網(wǎng)絡(luò)結(jié)構(gòu)較為單一，網(wǎng)絡(luò)中主要運(yùn)行的服務(wù)器包括ERP服務(wù)器、文件服務(wù)器、銷售管理系統(tǒng)等。經(jīng)過多年的運(yùn)行，老網(wǎng)絡(luò)環(huán)境出現(xiàn)了較多的問題，局域網(wǎng)運(yùn)行速度緩慢，由于結(jié)構(gòu)復(fù)雜多變，進(jìn)行大規(guī)模的網(wǎng)絡(luò)改造所需費(fèi)用較大，失去了改造價(jià)值，所以本單位于天水市產(chǎn)業(yè)園區(qū)電工基地內(nèi)廠區(qū)進(jìn)行了新網(wǎng)絡(luò)的建設(shè)。基地與園區(qū)網(wǎng)絡(luò)通過電信提供的專線實(shí)現(xiàn)了兩地網(wǎng)絡(luò)的互通。主體網(wǎng)絡(luò)現(xiàn)在位于園區(qū)，2014年進(jìn)行了主體機(jī)房的搬遷工作。本單位網(wǎng)絡(luò)的復(fù)雜性主要是分為內(nèi)外網(wǎng)2個(gè)部分，由于單位設(shè)計(jì)部門有嚴(yán)格的保密要求，所以設(shè)計(jì)部門的網(wǎng)絡(luò)是與外界網(wǎng)絡(luò)完全隔離的，因此為內(nèi)部網(wǎng)絡(luò)的建設(shè)包括AD 域服務(wù)器搭建、Web網(wǎng)站服務(wù)器、PDM系統(tǒng)（數(shù)據(jù)圖紙管理系統(tǒng)）、SAP系統(tǒng)、賽門鐵克（Symantec)殺毒系統(tǒng)、MES 系統(tǒng)、WMS 系統(tǒng)、BPM系統(tǒng)等。這些系統(tǒng)在實(shí)際的應(yīng)用中主要是針對(duì)內(nèi)網(wǎng)用戶的，那么單位內(nèi)外網(wǎng)用戶在收發(fā)郵件、辦理各種業(yè)務(wù)時(shí)就必須與外界通信，就會(huì)造成對(duì)內(nèi)網(wǎng)信息安全的影響，通過對(duì)H3C交換機(jī)進(jìn)行ACL策略組網(wǎng)絡(luò)配置后，就能實(shí)現(xiàn)內(nèi)外網(wǎng)的安全隔離，有效地解決原始網(wǎng)絡(luò)通過兩臺(tái)核心交換機(jī)、兩臺(tái)路由器才能實(shí)現(xiàn)的問題。

2.2 單位采用的H3C交換機(jī)型號(hào)

核心層：H3C S7508E-X

匯聚層：H3C S5500-EI、H3C S5500、防火墻F100-M-G、網(wǎng)絡(luò)7層防火墻AF-1820

接入層：H3C S5120-EI、H3C S5120-LI、深信服AF-1820、深信服VPN-2050-L、無(wú)線AP WA2610i-GN。

網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)涫疽鈭D（如圖1所示）。

圖1 單位網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D

設(shè)備接口連接表見表1。

表1 網(wǎng)絡(luò)設(shè)備接口連接表

2.3 VLAN組成

核心交換機(jī)S7508E-X,Telnet 登錄地址：10.212.200.98,所有VLAN是由核心交換進(jìn)行劃分，用于隔離各個(gè)部門之間的訪問控制，實(shí)現(xiàn)網(wǎng)絡(luò)的安全性，如果局域網(wǎng)內(nèi)其中一臺(tái)客戶端被病毒感染，那么這臺(tái)電腦所攜帶的網(wǎng)絡(luò)病毒只可能傳播到這臺(tái)客戶端所在的VLAN 區(qū)域，其他VLAN的計(jì)算機(jī)不會(huì)受到任何的影響（設(shè)備間連接如表1所示），這樣就確保了服務(wù)器的安全，也確定了病毒發(fā)生的區(qū)域，可以及時(shí)徹底殺除病毒。VLAN劃分情況主要如下：

外網(wǎng)VLAN 為vlan113--vlan114,外網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)之間可以共享文件、打印機(jī)等。

注：其中10.212.0.0代表了內(nèi)網(wǎng)用戶的所有VLAN,10.100.0.0代表的外網(wǎng)用戶所在的VLAN,其中內(nèi)外網(wǎng)用戶是完全隔離的。

2.4 核心交換機(jī)實(shí)現(xiàn)的功能以及ACL策略組安全防護(hù)策略在實(shí)際中的應(yīng)用

采用1H3C核心交換機(jī)S7508E-X，實(shí)現(xiàn)了單位內(nèi)外網(wǎng)的完全隔離，使網(wǎng)絡(luò)速度從原來的百兆網(wǎng)絡(luò)升級(jí)到千兆網(wǎng)絡(luò)，客戶端訪問服務(wù)器速度更快更穩(wěn)定。通過對(duì)VLAN的合理應(yīng)用，有效地控制了網(wǎng)絡(luò)病毒的發(fā)生和傳播，保障了網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。ACL策略組訪問數(shù)據(jù)控制列表（Access Control Lists）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL策略組適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等[4]。信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是單位網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問進(jìn)行控制的目的。簡(jiǎn)而言之，ACL策略組可以過濾網(wǎng)絡(luò)中的流量，是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段[5]。由于單位網(wǎng)絡(luò)情況的特殊化；內(nèi)網(wǎng)服務(wù)器與外網(wǎng)服務(wù)器支架需要同步傳輸數(shù)據(jù)，但是SAP服務(wù)也需要穩(wěn)定的網(wǎng)絡(luò)安全環(huán)境，如何使兩者之間能夠既能保證安全方面的問題，又能保證2個(gè)系統(tǒng)之間的正常通信，這就是目前我們急需要解決的問題。所以在進(jìn)行了多方面的調(diào)研后采用了使用ACL管理策略解決這一問題。配置ACL策略組后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL策略組,禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò)，或者只能使用FTP服務(wù)。ACL策略組既可以在路由器上配置，也可以在具有ACL策略組功能的業(yè)務(wù)軟件上進(jìn)行配置。ACL策略組是物聯(lián)網(wǎng)中保障系統(tǒng)安全性的重要技術(shù)，在設(shè)備硬件層安全基礎(chǔ)上，在軟件層面對(duì)設(shè)備間的通信進(jìn)行訪問控制，使用可編程方法指定訪問規(guī)則，防止非法設(shè)備破壞系統(tǒng)安全，非法獲取系統(tǒng)數(shù)據(jù)。

3 ACL策略編寫命令

策略ACL3001編寫如下，主要功能是實(shí)現(xiàn)各個(gè)網(wǎng)段之間的隔離，控制計(jì)算機(jī)病毒的傳播。

Rule 1 deny ip source 10.212.203.0 0.0.0.255 destination 10.212.204.0 0.0.0.255

策略ACL3002編寫如下，主要功能是實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證公司設(shè)計(jì)部門數(shù)據(jù)的安全性，防止病毒攻擊。

策略ACL3003編寫如下，主要功能應(yīng)用在BPM系統(tǒng)中，保證BPM系統(tǒng)與SAP系統(tǒng)的正常通信，同時(shí)與外網(wǎng)用戶通信，讓外網(wǎng)用戶可以正常訪問到BPM系統(tǒng)。

以上是部分ACL策略組的內(nèi)容，其中ACL3001 VLAN之間不能互相通信的功能。ACL3002實(shí)現(xiàn)了內(nèi)外網(wǎng)的完全隔離，ACL3003則實(shí)現(xiàn)了BPM系統(tǒng)在實(shí)際應(yīng)用中的特殊性要求，其中BPM系統(tǒng)（外網(wǎng)運(yùn)行的銷售系統(tǒng)服務(wù)器）既要與內(nèi)網(wǎng)內(nèi)的SAP系統(tǒng)（內(nèi)網(wǎng)ERP管理服務(wù)器）、PDM（數(shù)據(jù)圖紙管理系統(tǒng)）實(shí)現(xiàn)通信，與SAP系統(tǒng)實(shí)展數(shù)據(jù)同步，又存在特殊性，就是需要與外網(wǎng)用戶通信以及在內(nèi)網(wǎng)中進(jìn)行使用。那么ACL策略就很好地實(shí)現(xiàn)了這一需求，使得業(yè)務(wù)數(shù)據(jù)倉(cāng)庫(kù)（BDW）系統(tǒng)與SAP實(shí)現(xiàn)了數(shù)數(shù)同止，又與全國(guó)各地的銷售分部實(shí)現(xiàn)了通信。

4 啟示與建議

通過以上的介紹，可以看出H3C交換機(jī)ALC策略組的實(shí)施應(yīng)用在單位網(wǎng)絡(luò)建設(shè)中發(fā)揮著不可或缺的作用。熟練掌握各項(xiàng)交換功能的配置及其應(yīng)用，可以實(shí)現(xiàn)復(fù)雜的網(wǎng)絡(luò)需求，有效利用網(wǎng)絡(luò)資源，減少受到網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，防止木馬病毒入侵。當(dāng)局域網(wǎng)受到外部病毒等惡意程序攻擊時(shí)，為網(wǎng)絡(luò)管理員解決問題爭(zhēng)取時(shí)間，并且隨著以后網(wǎng)絡(luò)規(guī)模的擴(kuò)大，熟練掌握配置方法是有效利用網(wǎng)絡(luò)資源，提高客戶端訪問服務(wù)器的速度，加強(qiáng)網(wǎng)絡(luò)環(huán)境安全，ACL策略組網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全方面發(fā)揮了一定的作用，也滿足于提升企業(yè)信息發(fā)展方面的需求，在推進(jìn)單位信息化建設(shè)及網(wǎng)絡(luò)信息安全有著重要的意義。

通過對(duì)ACL策略組的應(yīng)用，使單位的網(wǎng)絡(luò)運(yùn)行得到了很好保障。在今后的工作中，需要對(duì)單位網(wǎng)絡(luò)中存在的突出問題進(jìn)一步分析，對(duì)ACL策略組的應(yīng)用進(jìn)一步完善，對(duì)多設(shè)備的運(yùn)行情況做好備份。目前，單位的ACL策略組使用過程中還存在一定的問題，由于策略組設(shè)置較多，網(wǎng)絡(luò)在訪問中需經(jīng)過交換機(jī)對(duì)數(shù)據(jù)流反復(fù)進(jìn)行處理，這樣對(duì)網(wǎng)絡(luò)運(yùn)行速度就造成了一定的影響。下一步，將在這些方面進(jìn)行深入研究，盡可能地減少網(wǎng)絡(luò)負(fù)載，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。