實現基于華為路由器的網絡安全訪問
2008-01-01 00:00:00李啟明肖晶
智能計算機與應用 2008年1期
摘要:利用華為路由器。合理有效地使用時間段配置等命令。制訂安全保護策略,實現了對內部網絡訪問的安全有效控制。
關鍵詞:華為路由器 配置 安全策略
中圖分類號:TP393.2 文獻標識碼:B 文章編號:1002-2422(2008)01-25-02
華為路由器為了過濾數據包,通過配置訪問控制列表ACL(Access Control List)定義一系列的規則,決定什么樣的數據包能夠通過。ACL有四種形式,分別是基本訪問控制列表、基于接口的訪問控制列表、基于MAC(Media AccessContr01)地址的訪問控制列表和高級訪問控制列表。
1 使用原理
基于時間段命令的配置就是在控制列表中對應的ACL規則加入有效時間范圍來更合理有效地控制網絡。需要控制的每條ACL規則都可單獨定義一個時間范圍,然后就能在定義的訪問規則上應用了,并且對于不同的訪問表都是相對獨立的。
2 命令細節
每條需要的規則用time-range/undo time-range命令來指定時間范圍,然后在所有視圖下執行display命令可以顯示配置后ACL和時間段的運行情況,通過查看顯示信息確認配置的效果。命令格式為:
time-range time-name[start-time to end-time][days][fromtimel date1][to time2 date2]
undo time-range time-mmle[start-time to end-time][days][from time1 date1][to time2 date2]
display time-range{all time-name}每個命令和參數的詳細情況和使用如下:
命令time-range用來定義一個時間段,描述一個特殊的時間范圍。
命令undo time-range用來刪除一個時間段。
參數time-name:時間段的名字。
由time-runge time-name[from timel dateI][to time2 date2]命令指定為絕對時間的時間范圍。
由time-range time-name[start-time to end-time][days]命令指定為周期的時間范圍。
其中to為關鍵字,在關鍵字前后的時間要以24小時制:hh:mm(小時:分鐘)表示,日期要按照月/日/來表示。也可以都省略,如果省略,表示與之相聯系的permit或de-ny語句立即生效,并一直作用到end處的時間為止。
在time-range time-name[start-time to end-time][days][from timel date1][to time2 date2]命令中既包含絕對時間段又包含周期時間段,周期時間段只在絕對時間段范圍內有效。例如:
(1)名為test的ACL規則從2007年1月1日早1點開始起作用,直到2007年1月31日晚24點停止作用,語句如下:
[Quidway]time-range test from 0:00 01/01/2007 to 24:00 01/31/2007:
(2)要表示每天的早8點到晚5點可用這樣的語句:
[Quidway]time-range test 08:00 to 17:00 daily;
(3)從2007年5月1日08:00起,到2007年12月1日20:00之間,在每個周一的上午09:00到17:00之間有效,語句為:
[Quidwayl time-range test 09:00 to 17:00 Monday from 08:00 05/01/2007 to 20:00 12,01/2007
組合時間范圍定義,使對應的ACL規則訪問時間在列表中變得的靈活,實現網絡的安全時間控制,對于網絡管的管理和安全都是十分有益的。
3 應用范例
路由器的兩個以太網接口EO和E1,分別連接著192,168,1,0和192,168,2,0兩個子網絡。還有一個串口S1,連入Internet。為了防止瀏覽非法網頁影響正常的工作,使192,168,1,0子網內的機器在工作時間(每周一到周五的早8點到晚5點)不能進行WEB瀏覽。而對192,168,2,0子網的機器不做限制,對其中高級訪問控制列表的ACL規則加上入下時間段命令來實現功能:
[Quidway]ac1 number 3001
[Quidway-acl-adv-3001]rule permit tep source 192,168,1,0 0,0,255,255 destination-port eq WWW time-range config1 8:00 to 17:00 working-day
因為高級訪問控制列表可針對協議的特性進行過濾,進而控制了WEB訪問的HTTP協議,所以以上時間段命令實現了要求的功能。
4 結束語
利用華為路由器基于時間段和協議的配置命令,實現內部網絡用戶對各類網絡的訪問控制,可以有效地保護內部網絡。
