基于eNSP的網(wǎng)絡(luò)安全訪問控制策略的仿真設(shè)計與實現(xiàn)

◆甘衛(wèi)民 周偉

（廣州大學(xué)華軟軟件學(xué)院 廣東 510900）

在互聯(lián)網(wǎng)發(fā)達的今天，網(wǎng)絡(luò)服務(wù)器承載數(shù)據(jù)訪問壓力越來越大，網(wǎng)絡(luò)安全問題越發(fā)重視。在中小型企業(yè)網(wǎng)絡(luò)中，硬件式的防火墻投入成本較高，訪問控制列表（ACL）技術(shù)規(guī)則靈活，在路由器上定義相應(yīng)參數(shù)設(shè)置，使數(shù)據(jù)包有選擇的通過路由器達到過濾效果，起到軟件式防火墻技術(shù)的作用。ACL應(yīng)用在中小型網(wǎng)絡(luò)中越來越得到重視，它不僅降低了組網(wǎng)成本，同時也能使數(shù)據(jù)訪問安全得到保障[1]。

1 ACL定義

訪問控制列表ACL規(guī)則靈活多變，設(shè)備可以定義一系列不同的ACL規(guī)則，對不同類型的數(shù)據(jù)報文進行分類處理，從而可以對網(wǎng)絡(luò)訪問行為進行控制、防止網(wǎng)絡(luò)攻擊、提高網(wǎng)絡(luò)性能、限制網(wǎng)絡(luò)流量等。保障了網(wǎng)絡(luò)傳輸?shù)目煽啃院头€(wěn)定性[2]。

2 ACL分類[3]

ACL分類如表1所示。

表1 ACL分類表

3 ACL規(guī)則定義

系統(tǒng)是根據(jù)什么樣的順序來選擇規(guī)則進行報文匹配的呢？因為每個ACL可以定義多個規(guī)則，路由器設(shè)備根據(jù)定義的ACL規(guī)則來過濾數(shù)據(jù)流量。

每條規(guī)則都有一個規(guī)則ID（rule-id）來標(biāo)識，規(guī)則ID可由系統(tǒng)按步長值自動生成，也可以用戶配置，在定義一個ACL規(guī)則時，按照規(guī)則ID從小到大排序。如果不指定規(guī)則ID時，具體間隔大小由步長來設(shè)定。在華為路由設(shè)備中，ACL的步長默認設(shè)定為5，即ACL規(guī)則ID分配是按照5、10、15、20……來分配的。當(dāng)然用戶也可以根據(jù)規(guī)則ID把新規(guī)則插入到某一規(guī)則組的位置。

4 ACL規(guī)則匹配[4]

ACL的規(guī)則主要有兩種規(guī)則分別為“permit”和“deny”。一個ACL規(guī)則可以由多條的“permit|deny”語句構(gòu)成，規(guī)則內(nèi)容可能存在重復(fù)或矛盾。在華為設(shè)備中主要支持兩種規(guī)則匹配順序，即配置順序（config）和自動排序（auto）。當(dāng)數(shù)據(jù)包和ACL的規(guī)則進行匹配的時，規(guī)則的優(yōu)先級是由規(guī)則的匹配順序來決定，規(guī)則之間重復(fù)或矛盾是由ACL的優(yōu)先級來處理。

（1）配置順序：按ACL規(guī)則編號（rule-id）從小到大的順序進行匹配。

（2）自動排序：按“深度優(yōu)先”的原則進行匹配。

“深度優(yōu)先”即根據(jù)規(guī)則的精確度排序，匹配條件限制越嚴格越精確。若“深度優(yōu)先”的順序相同，則匹配該規(guī)則時按rule-id從小到大排列。

5 網(wǎng)絡(luò)設(shè)計與ACL實現(xiàn)

通過eNSP搭建實驗網(wǎng)絡(luò)，網(wǎng)絡(luò)拓撲及主要參數(shù)如圖1所示。網(wǎng)絡(luò)拓撲主要LEFT，MID，RIGHT三個區(qū)域來進行配置。

圖1中型企業(yè)網(wǎng)絡(luò)拓撲結(jié)構(gòu)

5.1 業(yè)務(wù)需求

通過以上網(wǎng)絡(luò)拓撲，現(xiàn)要求完成以下網(wǎng)絡(luò)安全控制服務(wù)需求：所有服務(wù)器均開啟HTTP和FTP服務(wù)，Public服務(wù)器同時開啟DNS服務(wù)，對其他三個服務(wù)器提供地址解析。

（1）Vlan10內(nèi)所有設(shè)備，不能訪問vlan150-Server，只能通過http訪問vlan100-Server。

（2）Vlan20-pc1，不能訪問vlan100-Server，可以完全訪問Vlan150的網(wǎng)絡(luò)。

（3）Vlan100-pc1，可以訪問vlan150-Server，不能訪問vlan20-Server。

（4）Vlan10網(wǎng)絡(luò)和Vlan20網(wǎng)絡(luò)只能通過FTP訪問public服務(wù)器。

（5）Vlan100網(wǎng)絡(luò)和Vlan150網(wǎng)絡(luò)只能通過HTTP訪問Public服務(wù)器。

（6）所有網(wǎng)絡(luò)的DNS服務(wù)都由public服務(wù)器提供。

（7）網(wǎng)絡(luò)中所有節(jié)點都能夠ping通網(wǎng)絡(luò)中的主機。

5.2 網(wǎng)絡(luò)配置實現(xiàn)

通過以上網(wǎng)絡(luò)拓撲，完成各設(shè)備相關(guān)參數(shù)配置，使整個網(wǎng)絡(luò)能夠達到互通狀態(tài)。

（1）主機配置Ip地址與對應(yīng)網(wǎng)關(guān)設(shè)置（略）。

（2）MID網(wǎng)關(guān)路由器配置：

5.3 ACL配置

6 結(jié)束語

通過以上網(wǎng)絡(luò)綜合實驗仿真，經(jīng)反復(fù)測試達到我們預(yù)期的業(yè)務(wù)目標(biāo)需求，對于中小型企業(yè)網(wǎng)絡(luò)，ACL軟件式防火墻應(yīng)用降低了使用硬件式的防火墻組網(wǎng)的成本。在不需要加入硬件式防火墻的同時也能使網(wǎng)絡(luò)安全得到保證，使網(wǎng)絡(luò)流量得到控制。