張 博

(中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司吉林省分公司,吉林長(zhǎng)春,130021)

基于ACL的邊界路由策略的應(yīng)用研究

張 博

(中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司吉林省分公司,吉林長(zhǎng)春,130021)

通過(guò)某科研所對(duì)邊界路由策略需求的分析,針對(duì)ACL的基本功能實(shí)現(xiàn)和其在禁 ping,封端口,封 ip段等邊界路由中使用的安全策略進(jìn)行了分析與研究。

ACL;路由策略

本文在對(duì) acl功能和原理研究的基礎(chǔ)上,對(duì)其在某科研所的邊界路由器上的策略進(jìn)行分析與研究。

1 ACL

ACL(Access ControlList,ACL)又名訪問(wèn)控制列表。ACL是路由器和接口的指令列表,用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL可以過(guò)濾網(wǎng)絡(luò)中的數(shù)據(jù)流量,是控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。它可用于指定信息點(diǎn)之間進(jìn)行通信,內(nèi)部外部網(wǎng)絡(luò)之間進(jìn)行通信,可通過(guò)安全策略來(lái)阻止非授權(quán)用戶的訪問(wèn),達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的,以保證內(nèi)部網(wǎng)洛的安全性。以 H3C設(shè)備為例,ACL基本命令如下：

acl numberacl-number[nameacl-name][match-order{auto|config}]

rule[rule-id]{deny|permit}[fragment|logging|source{sour-addr sour-wildcard|any}|t ime-rangetimename|vpn-instancevpn-instance-name]

2 某科研所基本情況

為不透漏某科研所的真實(shí) ip和便于進(jìn)行本工程的科學(xué)研究,對(duì)實(shí)際問(wèn)題進(jìn)行了簡(jiǎn)化和虛擬。這里假定科研所使用的外部 ip地址為：202.1.1.1,內(nèi)部架設(shè)的服務(wù)器 ip地址為：192.168.1.1,其他科研所使用的外ip地址為：202.1.1.2,合作企業(yè)的外 ip地址為 202.1.1.3。

把實(shí)際問(wèn)題工程化為：可以允許 192.168.1.0網(wǎng)段的 ip數(shù)據(jù)包訪問(wèn)外部網(wǎng)絡(luò);192.168.1.1與 202.1.1. 1內(nèi)外網(wǎng)地址進(jìn)行轉(zhuǎn)換,并允許 202.1.1.2和 202.1.1.3訪問(wèn)內(nèi)部服務(wù)器 192.168.1.1。

網(wǎng)絡(luò)交互拓?fù)淙鐖D所示：

圖1 某科研所與外界網(wǎng)絡(luò)交互的拓?fù)鋱D

3 ACL基本功能實(shí)現(xiàn)

3.1 配置ACL主要內(nèi)容

[router]acl number 3000

3.2 ACL在防火墻和地址轉(zhuǎn)換中的應(yīng)用

4 ACL安全策略應(yīng)用

4.1 禁 ping

黑客入侵時(shí),大多使用 Ping命令來(lái)檢測(cè)主機(jī),如果 Ping不通,就可以一定程度的保護(hù)網(wǎng)絡(luò)的信息,防止黑客的攻擊。

[router-acl-adv-3000]rule deny icmp source any destination any

4.2 封端口

封端口常用于通過(guò)限制某款軟件的通信信道使用的端口號(hào)而起到阻止使用該款軟件的作用,或者用于防止病毒的攻擊和傳播。

防止Blaster蠕蟲(chóng)病毒是防止 tcp的 4444號(hào)端口和 udp協(xié)議的 69號(hào)端口。

用于控制振蕩波的掃描和攻擊是封 tcp協(xié)議中的 445號(hào)端口、5554端口、9995端口、9996端口,控制Wor m_MSBlast.A蠕蟲(chóng)的傳播是封掉 udp協(xié)議的 1434端口。

4.3 封 ip段

有些軟件或病毒具有啟用隨機(jī)端口進(jìn)行連線的能力,如 QQ默認(rèn)情況下使用 udp協(xié)議的 4000端口和6000端口,如果這兩個(gè)端口被禁止的話,它會(huì)自動(dòng)尋找其它端口,比如,用 tcp協(xié)議的 10XX的端口(隨機(jī)的)連接到服務(wù)器,這就要求我們查封它的服務(wù)器所在的 ip阻止通信。

5 結(jié) 語(yǔ)

使用ACL配置邊界路由策略,可以對(duì) ip數(shù)據(jù)包的出入進(jìn)行很好的控制,起到防攻擊,保護(hù)內(nèi)網(wǎng)安全的作用。ACL還有很多功能,這里只針對(duì)該項(xiàng)目的實(shí)際情況對(duì)ACL的應(yīng)用做了分析與研究。

[1] 唐子蛟.基于ACL的網(wǎng)絡(luò)安全管理的應(yīng)用研究[J].四川理工學(xué)院學(xué)報(bào),2009,2(1)：48-51.

[2] 范萍.基于ACL的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制技術(shù)研究[J].華東交通大學(xué)學(xué)報(bào),2004,21(4)：89-92.

[3] 劉明輝.基于Web挖掘的網(wǎng)站優(yōu)化系統(tǒng)的研究[J]長(zhǎng)春大學(xué)學(xué)報(bào),2009(6)：35-37.

責(zé)任編輯：吳旭云

A research on the application of border routing strategies based on ACL

ZHANGBo
(Jilin Branch of China Unicom,Changchun 130021,China)

Aiming at the basic function ofACL,this article studies the security strategiesof border routing including banningping command,prohibiting the specified port communications and specified ip address through analyzing the requirements of the border routing in a certain scientific research institute.

ACL;routing strategy

TP393

A

1009-3907(2010)06-0084-02

2010-01-09

張博(1981-),女,吉林長(zhǎng)春人,助理工程師,碩士研究生,主要從事計(jì)算機(jī)安全研究。