ACL构建企业网安全
摘要:访问控制列表ACL(AccessControlList)通过对网络流量的控制,可过滤掉有害数据包,达到执行安全策略的目的。本文通过实例详细论述了如何利用访问控制列表来提高网络安全性能。
一、引言
随着网络上的资源越来越丰富,网络安全问题也开始突现,为此需要一种机制对网络资源的访问进行有效控制。访问控制列表ACL是网络访问控制的基本手段,它可以限制网络流量,提高网络性能。在路由器或交换机的接口上配置ACL后,可以对进出接口及通过接口中继的数据包进行安全检测。本文重点讨论如何利用ACL来提高网络安全性。
二、ACL的类型
(一)Standard或Extended IP ACLs
标准ACL只能针对源地址进行报文过滤,功能少局限性大。扩展ACL可对源地址、目的地址和上层协议数据进行过滤。
(二)MAC Extended ACLs
可对任意源/目的MAC地址的报文设置允许其通过或拒绝的条件。
(三)基于时间的ACLs
可以使ACL基于时间进行运行,如工作时间段内禁止使用QQ。
(四)Expert Extended ACLs
可实现对VLAN/网段的过滤,限制某些网络只能使用特定的应用。如,禁止学生自习时间玩网络游戏,只要给教室分配一个网段,对这个网段应用ACL,在这个时间段禁止网络游戏报文的传输即可。
三、ACL在构建企业网安全中的应用
1.限制远程的非法登录
网络管理员经常通过虚拟终端vty接口登录到路由器对其进行配置和管理,如果只有访问口令一层安全保护,而不对登录路由器的主机进行限制,这将使路由器安全性不高。如果在vty接口上应用ACL进行远程登录控制,可以很大程度增加路由器的安全性。例如,只允许192.168.1.X的主机使用Telnet登录路由器,则网络配置命令为:
router(config)#access-list 16 permit 192.168.1.0 0.0.0.255
router(config)#line vty 0 4
2.根据不同的用户群定义数据的流向
企业网建立之后可能会出现很多问题。例如,任何一台PC均能访问总经理的PC,或某员工非法进入财务处计算机等。解决这类问题的简单方法就是在关键的接口处应用ACL,对用户进行访问限制。例:允许来自特定网段(192.168.1.x)的任一主机,拒绝其它任一主机,达到某一部门数据保密的目的,实现数据的单向流动,则配置如下:
SwitchB(config)#ip access-list standard permit_host192.168.l.x
SwitchB(config-std-nacl)#permit 192.168.1.0 0.0.0.255 any
SwitchB(config-std-nacl)#deny any
3.访问时间权限控制
基于时间的ACL可以为一天中的不同时段,或者一星期的不同日期,制定不同的访问控制策略,从而满足用户对网络的灵活需求。例如:要求上班时间(周一到周五的9:00-18:00)不允许部门职员访问互联网的ftp服务器,则配置如下:
Switch(config)#time-range no-ftp
Switch(config-time-range)#absolute start 8:00 15 5 2010 end8:00 1 5 2020
Switch(config-time-range)#periodic weekdays 9:00 to 18:00
Switch(config)#ip access-list extended deny_ftp
Switch(config-ext-nacl)#deny tcp any any eq ftp time-range no-ftp
Switch(config-ext-nacl)#permit ip any any
4.应用ACL防范病毒
病毒入侵经常会使用某些特殊端口,如135、445等,关闭这些端口可有效防止常见病毒的攻击。例如最近公司网络内发现冲击波病毒,造成了很多地方感染,网络瘫痪。我们可以利用S21系列智能交换机的ACL功能做出限制,禁止其转发和传播,配置命令为:
access-list 115 deny udp any any eq 69
access-list 115 deny tcp any any eq 135
access-list 115 deny udp any any eq 135
access-list 115 deny udp any any eq 137
access-list 115 deny udp any any eq 138
access-list 115 deny tcp any any eq 139
access-list 115 deny udp any any eq 139
access-list 115 deny tcp any any eq 445
access-list 115 deny tcp any any eq 593
access-list 115 deny tcp any any eq 4444
access-list 115 permit ip any any5.防止IP地址盗用
专家级ACL可以利用MAC地址、IP地址、VLAN号、传输端口号、协议类型等定义规则,按照规则进行访问控制,保证网络安全。假设有人利用某些网络工具试图对企业服务器进行攻击和访问,我们就可以用专家级ACL,对攻击方的IP地址和MAC地址进行绑定,拒绝其访问服务器。例:要求只有总经理主机(192.168.1.1)可访问ftp服务器192.168.10.10,则配置如下:
Switch(config)#expert access-list extentded jingli
Switch(config-ext-macl)#permit tcp host 192.168.1.1 host 00d0.f800.0099 host 192.168.10.10 any eq ftp
5.流量控制
企业网内用户利用BT等工具下载电影,占用了大量带宽,影响了企业网的正常使用。此时,可采取ACL限制企业网外的用户对网内的BT用户发起连接,或利用ACL对不同数据流分配不同的带宽,从而限制流量。例:只允许企业网内的主机主动与网外的主机建立TCP连接,不允许网外的主机对网内的主机主动发起连接,则配置如下:
Router(config)#access-list 120 permit tcp any any gt 1023 established
Router(config)#access-list 120 permit tcp any any
四、小结
本文通过在路由器或交换机上建立ACL,列举了ACL在企业网控制方面的几个具体应用,可见ACL在削减网络安全威胁方面的作用是强大的。通过以上配置实例,使路由器成为一个包过滤防火墙,提高了企业网络的安全性。