談ACL技術(shù)在明清檔案數(shù)字化工作中的應(yīng)用

胡芳芳

（中國(guó)第一歷史檔案館 北京 100031）

1 引言

自2011年起，某單位進(jìn)行了大規(guī)模的明清檔案整理和數(shù)字化工作，其中，檔案的數(shù)字化加工工作對(duì)網(wǎng)絡(luò)數(shù)據(jù)的高速傳輸、數(shù)據(jù)傳輸?shù)陌踩院屯暾远加泻芨叩囊蟆ｋS著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和流量的增加，網(wǎng)絡(luò)訪問(wèn)控制列表（即Access Control List，以下簡(jiǎn)稱ACL）的靈活運(yùn)用可以有效防止非法用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，同時(shí)也可以控制流量、節(jié)約網(wǎng)絡(luò)資源，本文結(jié)合該單位實(shí)際，談ACL技術(shù)在明清檔案數(shù)字化工作中的應(yīng)用。

2 基本概念的梳理

網(wǎng)絡(luò)環(huán)境，是指將分布在不同地點(diǎn)的多個(gè)計(jì)算機(jī)物理上進(jìn)行互聯(lián)，依據(jù)某種協(xié)議互相通信，實(shí)現(xiàn)軟、硬件及其網(wǎng)絡(luò)文件共享的系統(tǒng)。

網(wǎng)絡(luò)環(huán)境是單位信息化建設(shè)的一個(gè)重點(diǎn)，也是現(xiàn)代化管理軟件運(yùn)用的平臺(tái)。由于單位的網(wǎng)絡(luò)建設(shè)需要花費(fèi)大量的資金投入，運(yùn)行和維護(hù)費(fèi)用高，網(wǎng)絡(luò)應(yīng)用與技術(shù)開發(fā)難度大，以及硬件更新?lián)Q代快的特點(diǎn)，需要從本單位的實(shí)際出發(fā)，根據(jù)工作實(shí)際的需要，科學(xué)構(gòu)建合理高效實(shí)用的網(wǎng)絡(luò)環(huán)境，保證單位網(wǎng)絡(luò)切實(shí)為工作服務(wù)，提高網(wǎng)絡(luò)效率。

訪問(wèn)控制列表（即Access Control List，以下簡(jiǎn)稱ACL）是路由器和交換機(jī)的重要功能之一，是基于包過(guò)濾的軟件防火墻，根據(jù)網(wǎng)絡(luò)中數(shù)據(jù)包所含的信息，決定是否允許數(shù)據(jù)包通過(guò)，從而簡(jiǎn)單高效地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的保護(hù)[1]。

ACL是由一系列語(yǔ)句組成，這些語(yǔ)句主要包括匹配條件和采取的動(dòng)作（允許或者拒絕）兩個(gè)部分。當(dāng)交換機(jī)的端口接收到報(bào)文后，即根據(jù)當(dāng)前端口上應(yīng)用的ACL規(guī)則對(duì)報(bào)文的字段進(jìn)行分析，在識(shí)別出特定的報(bào)文之后，根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過(guò)。

由ACL定義的數(shù)據(jù)包匹配規(guī)則，也可以被其它需要對(duì)流量進(jìn)行區(qū)分的功能引用，如QoS中流分類規(guī)則的定義。ACL通過(guò)一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號(hào)等。根據(jù)應(yīng)用目的，可將ACL分為以下四種：

A.基本ACL：只根據(jù)數(shù)據(jù)包的源IP地址制定規(guī)則。

B.高級(jí)ACL：根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。

C.二層ACL：根據(jù)數(shù)據(jù)包的源MAC地址、目的MAC地址、802.1p優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定規(guī)則。

D.用戶自定義ACL：以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個(gè)字節(jié)開始與掩碼進(jìn)行“與”操作，將從報(bào)文提取出來(lái)的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報(bào)文。

ACL在交換機(jī)上的應(yīng)用支持兩種應(yīng)用方式：

A.基于硬件的應(yīng)用：即ACL被下發(fā)到硬件。例如配置Qos功能時(shí)引用ACL，對(duì)報(bào)文進(jìn)行流分類，在這種情況下，交換機(jī)對(duì)匹配此ACL的報(bào)文采取的動(dòng)作由Qos中流行為定義的動(dòng)作決定。

B.基于軟件的應(yīng)用：ACL被上層軟件引用，在這種情況下，交換機(jī)對(duì)匹配此ACL的報(bào)文采取的動(dòng)作由ACL規(guī)則中定義的動(dòng)作決定。[2]

3 核心交換機(jī)上ACL的實(shí)現(xiàn)

考慮到某單位檔案整理和數(shù)字化項(xiàng)目的啟動(dòng)，會(huì)擴(kuò)大網(wǎng)絡(luò)規(guī)模，本單位內(nèi)有更多的機(jī)器需要連入局域網(wǎng)，同時(shí)引入社會(huì)力量加入此項(xiàng)工作，需要更多的計(jì)算機(jī)為外包公司工作服務(wù)。根據(jù)實(shí)際情況采用的是核心層-接入層兩層的網(wǎng)絡(luò)結(jié)構(gòu)。配備了高性能的核心交換機(jī)，對(duì)辦公網(wǎng)絡(luò)和數(shù)據(jù)加工網(wǎng)絡(luò)進(jìn)行整合，同時(shí)搭配大量的接入層交換機(jī)，把館內(nèi)所有的終端計(jì)算機(jī)接入網(wǎng)絡(luò)。網(wǎng)絡(luò)核心層主要作用是高速轉(zhuǎn)發(fā)通信，提供網(wǎng)絡(luò)優(yōu)化、可靠的骨干傳輸結(jié)構(gòu)，通過(guò)核心交換的接口、VLAN、協(xié)議設(shè)計(jì)等，確保整合后的網(wǎng)絡(luò)環(huán)境安全可信。網(wǎng)絡(luò)的高性能和高可靠性是設(shè)計(jì)的重點(diǎn)。網(wǎng)絡(luò)接入層是底層網(wǎng)絡(luò)的接口，相對(duì)結(jié)構(gòu)簡(jiǎn)單，目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)具有低成本和高端口密度特性

為了局域網(wǎng)的安全和工作的需要，辦公區(qū)內(nèi)的計(jì)算機(jī)之間可以互訪，各個(gè)外包公司之間不可以互相訪問(wèn)。辦公區(qū)和外包公司都可以訪問(wèn)特定VLAN的服務(wù)器。為實(shí)現(xiàn)此功能，我們配置了高級(jí)的IPv4 ACL。

下面以A外包公司的網(wǎng)絡(luò)控制為例講述網(wǎng)絡(luò)訪問(wèn)控制的實(shí)現(xiàn)。A外包公司劃為VLAN16，終端計(jì)算機(jī)的IP為192.168.160.XXX，A外包公司內(nèi)部之間可以互相訪問(wèn)，并且可以訪問(wèn)虛擬服務(wù)器，上傳下載檔案資料。其具體實(shí)現(xiàn)是通過(guò)ACL 3000實(shí)現(xiàn)，并通過(guò)在A外包公司所屬于的VLAN內(nèi)下發(fā)，可實(shí)現(xiàn)入方向的報(bào)文匹配。如下所示，

acl number 3000

rule 0 permit ip source 192.168.160.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

rule 1 permit ip source 192.168.160.0 0.0.0.255 destination 192.168.160.0 0.0.0.255

rule 2 deny ip

interfacevlan 16

ip address 192.168.160.254 255.255.255.0

packet-filter 3000 inbound

我們實(shí)現(xiàn)的ACL都是軟件實(shí)現(xiàn)的ACL，為了具體看到匹配信息，可以通過(guò)命令行，看到底層的ACL匹配原則。通過(guò)匹配原則可以看到，Rule 0的意思是任何IPv4報(bào)文，進(jìn)入核心交換機(jī)的任何端口，如果是來(lái)自于VLAN16,，同時(shí)滿足源IP地址是192.168.160.XXX，目的IP地址是192.168.20.XXX，則允許通過(guò)。Rule 1的意思是任何IPv4報(bào)文，進(jìn)入核心交換機(jī)的任何端口，如果是來(lái)自于VLAN16，入方向的報(bào)文滿足源IP地址和目的IP地址都是192.168.20.XXX，則允許通過(guò)。

4 ACL在病毒防范上的運(yùn)用

2017年5 月全球爆發(fā)了勒索病毒。病毒制造者通過(guò)美國(guó)NSA泄露的黑客武器庫(kù)攻擊Windows操作系統(tǒng)的漏洞。病毒通過(guò)加密技術(shù)鎖死文件，限期繳納贖金，否則刪除文件。由于采用了非對(duì)稱的加密算法，一旦中毒很難進(jìn)行數(shù)據(jù)恢復(fù)。

根據(jù)某網(wǎng)絡(luò)公司安全中心分析，國(guó)內(nèi)傳播的勒索病毒是由名為“永恒之藍(lán)”的黑客武器，借助互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)（即局域網(wǎng)），通過(guò)遠(yuǎn)程掃描并攻擊未進(jìn)行防護(hù)的445等端口，在計(jì)算機(jī)及服務(wù)器進(jìn)行傳播。

將館內(nèi)殺毒軟件客戶端升級(jí)到可查殺“勒索病毒”的最新版本，對(duì)封閉445等端口、計(jì)算機(jī)補(bǔ)丁升級(jí)、防病毒應(yīng)急工具包等技術(shù)手段在科內(nèi)計(jì)算機(jī)上小范圍試用

局域網(wǎng)全部交換機(jī)下發(fā)訪問(wèn)控制策略，禁止向445端口等收發(fā)報(bào)文

各個(gè)端口下發(fā)如下規(guī)則：

acl number 3700

rule 0 deny tcp destination-port eq 135

rule 5 deny tcp destination-port eq 137

rule 10 deny tcp destination-port eq 138

rule 15 deny tcp destination-port eq 139

rule 20 deny tcp destination-port eq 445

結(jié)合殺毒軟件升級(jí)、windows系統(tǒng)升級(jí)，很好的杜絕了勒索病毒的蔓延。

5 結(jié)語(yǔ)

ACL技術(shù)是交換機(jī)上的關(guān)鍵技術(shù)，靈活有效的運(yùn)用，有利于科學(xué)構(gòu)建合理高效實(shí)用的網(wǎng)絡(luò)環(huán)境，保證單位網(wǎng)絡(luò)切實(shí)為工作服務(wù)，提高網(wǎng)絡(luò)效率。

[1]陸軍.應(yīng)用訪問(wèn)控制列表技術(shù)增強(qiáng)網(wǎng)絡(luò)安全計(jì)算機(jī)安全[J].2011.01.