利用ACL打造“免費”防火墻

網絡應用與互聯網的普及在大幅提高企業生產經營效率的同時，也帶來了安全問題。如何將一個網絡有效地管理起來，盡可能地降低網絡所帶來的負面影響，這成為擺在網絡管理員面前的一個重要課題。

山東省蓬萊市供電公司是一家國營企業下屬的縣級公司。近期，我們按照上級公司的要求對本公司的局域網進行了升級改造。我們通過購置一臺Cisco 6509三層交換機作為核心層交換機，以及不同型號的Cisco交換機作為匯聚層和接入層交換機，以提高公司網絡的性能；通過購置3臺防火墻和一臺網絡單向隔離設備，對公司的業務進行網絡安全分區，共劃分為4個安全區，安全區之間通過防火墻和隔離設備進行了嚴格的訪問控制。

這次改造一定程度上滿足了上級公司對一個縣級企業信息網絡的要求，但是，它同時也存在很多不足之處，主要是安全區數目太少，對公司的業務網絡不能進行細分，因為如果要細分就需要購置更多的防火墻（或多口防火墻，但其價格昂貴）。那能不能對目前的設備進行一定程度的改造、配置來實現安全區的細分呢？答案是肯定的，即利用Cisco的ACL技術。

ACL的基本原理

和功能

網絡中常說的ACL是Cisco IOS所提供的一種訪問控制技術，初期僅在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機如Cisco 2950等也開始提供對ACL的支持，只不過所支持的特性不是那么完善而已。在其他廠商的路由器或多層交換機上也提供類似的技術，只是名稱和配置方式可能有細微的差別。本文所有的配置實例均基于Cisco IOS的ACL進行編寫。

基本原理：ACL使用包過濾技術，在路由器或交換機上讀取第三層及第四層包頭中的信息，如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。

功能：網絡中的節點有資源節點和用戶節點兩大類，其中資源節點提供服務或數據，用戶節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點，阻止非法用戶對資源節點的訪問，另一方面限制特定的用戶節點所具備的訪問權限。

實際網絡環境描述

本公司的信息網絡核心使用一臺基于IOS的多層交換機，所有的二層交換機也為可管理的基于IOS的交換機，在公司內部使用了VLAN技術，通過對業務功能和地域的不同進行綜合考慮，劃分為幾十個VLAN。具體可分為以下幾類：服務器VLAN，包括營銷服務器VLAN、生產服務器VLAN、網管服務器VLAN、多經服務器VLAN等；部室VLAN，包括信息中心VLAN、財務部VLAN、營銷部VLAN、調度所VLAN等。

由于VLAN數目眾多，在此只列舉了4個有代表性的來說明ACL的具體用法，如下圖所示，其中VLAN10為生產服務器VLAN，VLAN20為信息中心管理VLAN，VLAN30為財務部VLAN，VLAN40為調度所VLAN。

設置要求：生產服務器VLAN——VLAN10對所有VLAN提供www（80）端口，對信息中心管理VLAN——VLAN20提供所有端口，其他VLAN之間不能相互訪問，但對信息中心管理VLAN提供icmp端口（網絡維護使用）。

在具體設置中，VLAN20可以不做設置，VLAN20和VLAN40的設置相同。

Cisco的access-list（訪問列表）最基本的分別為標準訪問列表和擴展訪問列表，兩者的區別主要是前者是基于目標地址的數據包過濾，而后者是基于目標地址、源地址和網絡協議及其端口的數據包過濾。分析一下設置的要求，規則中目標地址、源地址和網絡協議及其端口都要用到，所以我們使用擴展訪問列表。