基于ＡＣＬ構建計算機網絡安全體系

摘要：為了保證網絡的安全，需要加強對用戶端數據的驗證、控制，保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。因此，通過對ACL的應用分析，在路由器下通過ACL過濾網絡中信息的流量，成為構建網絡安全體系的一種技術手段。

關鍵詞：ACL；IP；計算機網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0336-02

Computer Network Security System Building on ACL

MA Ting

(Jiangsu Union Technical Institute，Lianyungang Vocational Technology Academy of Finance Economics，Lianyungang 222003，China)

Abstract: Inorder to reinforce and control the data coming from a consumer，we must authorize a consumer to be able to visit the specially appointed network resource by safety tactics.Therefore，fliterating the information of network by ACL under the router become a technology means of structuring network security system.

Key words: ACL; IP; safety of network

1 引言

如今，網絡信息安全越來越受到大家的重視，構建網絡安全系統的技術手段，管理制度等方面都在逐步加強。網絡用戶通過實施ACL技術來控制對局域網內部資源的訪問能力，保障內部資源的安全性，進而可以有效地部署網絡安全。ACL技術是一種基于包過濾的流控制技術，可以對入站接口、出站接口及通過路由器中繼的數據包進行安全檢測。所以，本文就路由器下通過訪問控制列表(ACL)實現計算機網絡安全體系的應用加以分析。

2 ACL訪問控制列表及類型

ACL（access control list）即訪問控制列表，是路由器接口的指令列表，由一系列語句組成，這些語句主要包括匹配條件和采取的動作，即允許或禁止兩個內容。ACL是基于某種協議的，如IP協議等，用戶必須針對路由器所支持的協議定義ACL，從而控制這些協議的數據包。分類：

1) 標準ACL：檢查數據包源地址，允許或拒絕基于網絡、子網或主機的IP地址的所有通信流量通過路由器的出口。這樣就可以允許或阻止來自某一網絡的所有通信流量。

2) 擴展ACL：檢查數據包的源地址和目的地址，還可以檢查數據包的特定協議類型、源端口號、目的端口號等。對同一個地址，擴展訪問控制列表可以允許使用某些協議的通信流量通過，而拒絕使用其他協議的流量通過。

3 ACL的執行過程(見圖1)

ACL通過過濾數據包并且丟棄不允許的數據包來控制與管理流量。一個端口執行哪條ACL，需要按照列表中的條件語句執行順序來判斷。在路由選擇進行以前，應用在接口進入方向的ACL(內向ACL)起作用；在路由選擇決定以后，應用在接口離開方向的ACL(外向ACL)起作用。數據包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配，則不管是第一條還是最后一條語句，數據都會立即發送到目的接口。在執行到訪問列表的最后，還沒有與其相匹配的語句，數據包將被隱含的deny語句所丟棄。

4 ACL的配置

4.1 通配符掩碼

ACL中IP地址和通配符掩碼要配合使用，通配符掩碼告訴路由器只允許那些與ACL中設定的地址匹配的地址通過。32位的IP地址與32位的通配符掩碼逐位進行比較，通配符掩碼為0的位要求IP地址的對應位必須匹配，為1的位所對應的IP地址位不必匹配，例如表1所示。

通配符掩碼的兩種特殊形式：通配符掩碼0.0.0.0，只表示一個IP地址，可以用host簡寫形式；而通配符掩碼255.255.255.255，表示所有IP地址，用any簡寫形式。

4.2 訪問列表配置

1) 第一步是在全局配置模式下，使用access-list命令，在實現過程中應給每一條訪問控制列表加上相應的編號，使通過接口的數據包進行匹配，然后決定被通過還是拒絕。

標準ACL的語法為：Router(config)#access-list[access-list-number] [deny|

permit] [source-address][source-wildcard][log]；

擴展ACL的語法為:Router(config)#access-list[access-list-number] [deny|

permit] [protocol] [source-address][destination-ip-address][操作符][protocol-information][log]

其中：access-list-number：為ACL的編號。常用的是標準IP ACL(1～99)或(1300～1999)之間的一個數字。擴展IP ACL(100～199)或(2000～2699)之間的一個數字。

deny|permit：deny表示匹配的數據包將被過濾，permit表示允許匹配的數據包通過；

source-address：源地址；

destination-ip-address：目標地址；

source-wildcard：通配符掩碼；

protocol:協議，如ICMP，TCP，UDP等；

protocol-information：表示協議信息(如端口號、消息類型)；

操作符號：eq(表等于)，gt(大于)，lt(小于)和neq(非等于)等；

Log：訪問列表日志，如果出現該關鍵字，則對匹配訪問列表中條件的報文作日志。

2) 第二步是在接口配置模式下，使用access-group命令，把配置好的訪問列表應用到某個接口上。語法為：

Router (config-if)# [protocol]access-group[access-list-number][in|out]

其中， in|out表示通過接口進入或離開路由器的報文，缺省為out。

例如：要阻止源主機為192.168.0.24的一臺主機通過Ethernet 0，而允許其他的通信流量通過該端口，可以采用標準IP訪問控制列表。

首先我們在全局配置模式下定義一條拒絕192.168.0.24主機通過的語句，通配符掩碼可以使用0.0.0.0：

Router(config)#access-list 1 deny 192.168.0.24 0.0.0.0

或者通配符掩碼使用host：Router(config)#access-list 1 deny host 192.168.0.24

或者通配符掩碼使用缺省值來表示一臺主機：

Router(config)#access-list 1 deny 192.168.0.24

Router(config)#access-list 1 permit any

然后將其訪問列表應用到接口中：

Router(config)#interface ethernet 0

Router(config-if)#ip access-group 1 in

再如：要阻止192.168.0.24主機的Telnet流量流入，而允許其Ping流量流入。則可以采用擴展IP訪問控制列表。

因為Ping命令使用網絡層的ICMP協議，所以讓ICMP協議通過：

Router(config)#access-list 101 permit icmp 192.168.0.24 0.0.0.0 any

而Telnet使用端口23，所以將端口號為23的數據包拒絕：

Router(config)#access-list 101 deny tcp 192.168.0.24 0.0.0.0 any eq 23

Router(config)#access-list 101 permit ip any any

然后將其訪問列表應用到接口中：

Router(config)#interface ethernet 0

Router(config-if)#ip access-group 101 in

需要注意的是：在一個接口可以配置兩條命令進行雙向控制，一條為in，一條為out，兩條命令執行的訪問列表編號可以相同，也可以不同。但是，在一個接口的一個方向上，只能有一個進行控制。

3) 第三步檢驗

用show ip access-list[access-list-number]命令來查看訪問控制列表，并在計算機的命令提示符下用Ping/Telnet命令進行測試。

Router(config)#show ip access-list 1

4.3 訪問列表注意事項

1) 注意訪問列表中語句的次序，要先在全局狀態配置ACL表，再在具體接口上進行配置。

2) 注意隱含的deny any語句，在deny某個網段后要permit其他網段。

5 結論

在計算機網絡安全體系中，最重要的安全要素在網絡通信通道的出入口上。內部網絡通過路由器的廣域網接口與Internet相連，再通過此路由器的局域網接口接入內部網絡，而合理有效地利用ACL訪問控制列表可以更方便、更安全地保護計算機網絡及信息資源。

參考文獻：

[1] 斯桃枝.路由與交換技術[M].北京:北京大學出版社，2008.

[2] 王群.非常網管：網絡管理[M].北京:人民郵電出版社，2006.

[3] 黎連業，張維，向東明.路由器及其應用技術[M].北京:清華大學出版社，2004.

[4] 王群.局域網一點通——TCP/IP管理及網絡互聯[M].北京:人民郵電出版社，2004.

[5] 魏亮.路由器原理與應用[M].北京:人民郵電出版社，2005.