高煥超

摘要：訪問控制列表（ACL）被廣泛應(yīng)用在路由器和三層交換機(jī)上，它是用來過濾和控制數(shù)據(jù)包的一種訪問控制技術(shù)。該文主要闡述了訪問控制列表的基本概念、主要功能、工作過程及配置，并以H3C路由器為例說明了訪問控制列表在網(wǎng)絡(luò)安全方面的具體應(yīng)用，同時給出了ACL的關(guān)鍵配置代碼。

關(guān)鍵詞：ACL；網(wǎng)絡(luò)安全；控制列表；路由器

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）01-0024-02

隨著計算機(jī)網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，網(wǎng)絡(luò)的安全性問題也日益突出，因此為了防止網(wǎng)絡(luò)入侵，同時提高網(wǎng)絡(luò)的安全性，需要網(wǎng)絡(luò)設(shè)備具有對通信數(shù)據(jù)的訪問控制能力，ACL（Access Control List）是一種基于數(shù)據(jù)包過濾的技術(shù)，它被應(yīng)用在網(wǎng)絡(luò)設(shè)備上，可以對進(jìn)出設(shè)備數(shù)據(jù)包的源、目的地址、端口、協(xié)議等信息進(jìn)行過濾，從而判斷并做出對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄的動作，實現(xiàn)對網(wǎng)絡(luò)訪問進(jìn)行安全控制的目的。

1 ACL的概念及工作原理

1.1 訪問控制列表的基本概念

訪問控制列表簡稱ACL是一種訪問控制技術(shù)，被廣泛應(yīng)用在路由器和三層交換機(jī)上，該文主要介紹H3C MSR系列路由器的ACL技術(shù)，該路由器ACL使用包過濾技術(shù)，可以對進(jìn)出網(wǎng)絡(luò)設(shè)備接口的數(shù)據(jù)做出拒絕和接受的動作，從而可以對數(shù)據(jù)包進(jìn)行訪問控制。

1.2 訪問控制列表的工作過程

路由器包過濾技術(shù)可以對設(shè)備出入網(wǎng)絡(luò)接口的數(shù)據(jù)包進(jìn)行控制，而ACL是實現(xiàn)路由器包過濾技術(shù)的核心，它可以在網(wǎng)絡(luò)接口通信的不同方向上設(shè)置ACL過濾規(guī)則，當(dāng)路由器接收到外部網(wǎng)絡(luò)所發(fā)送的數(shù)據(jù)包時，將會被設(shè)備在入口通信方向上的ACL所匹配，這種配置可以防止外網(wǎng)非法用戶對內(nèi)網(wǎng)資源的訪問，達(dá)到保護(hù)內(nèi)網(wǎng)的目的。當(dāng)內(nèi)網(wǎng)通過路由器與外網(wǎng)主機(jī)進(jìn)行通信時，數(shù)據(jù)包將會被路由器出口通信方向上的ACL所匹配，這種配置適用于防止內(nèi)部用戶非法訪問外部資源的情況 [1] 。

1.3 訪問控制列表的分類

1.3.1 基本訪問控制列表

基本訪問控制列表只根據(jù)分組中的源IP地址信息進(jìn)行過濾，占用路由器的資源較少，應(yīng)用比較廣泛，但是控制級別較低，主要適用于過濾從特定 IP 地址段來的報文的情況，H3C路由器基本訪問控制列表的數(shù)字序號為2000～2999[2]。

1.3.2 擴(kuò)展訪問控制列表

擴(kuò)展訪問控制列表比基本訪問控制列表具有更多的匹配項，它可以根據(jù)報文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等第三、四層信息進(jìn)行過濾，使用擴(kuò)展訪問控制列表，通常適用于允許或拒絕某個特定的協(xié)議的情況，H3C路由器擴(kuò)展訪問控制列表的數(shù)字序號為3000～3999[3]。

1.3.3 二層的訪問控制列表

二層ACL根據(jù)報文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息進(jìn)行報文的分析和規(guī)則的制定。H3C設(shè)備二層訪問控制列表的數(shù)字序號為4000～4999。

1.4 訪問控制列表的配置

在配置ACL之前，應(yīng)該對ACL的設(shè)置規(guī)則有所了解，一般規(guī)則如下：

1）基本型ACL應(yīng)盡量設(shè)置在距離數(shù)據(jù)包目的IP地址近的網(wǎng)絡(luò)設(shè)備上，而擴(kuò)展型ACL應(yīng)盡量設(shè)置在距離數(shù)據(jù)包源IP地址近的網(wǎng)絡(luò)設(shè)備上[4]。

2） ACL中具有限制性操作的配置命令一般應(yīng)配置在首行，并按照從特殊到一般的規(guī)則進(jìn)行設(shè)置。

3） 對于新添加的配置信息應(yīng)當(dāng)添加到當(dāng)前ACL配置信息的尾部。

4）設(shè)置的ACL不能對路由器本身發(fā)出的數(shù)據(jù)包進(jìn)行過濾[4]，只能對出入路由器接口的流量進(jìn)行過濾。

在一個網(wǎng)絡(luò)接口上遵循配置規(guī)則對訪問控制列表進(jìn)行配置的流程如下：

1）生成訪問控制列表的命令序列；

2） 指明應(yīng)用訪問控制列表的網(wǎng)絡(luò)接口；

3） 指明訪問控制列表在網(wǎng)絡(luò)接口上的具體應(yīng)用方向[5]。

2 ACL在網(wǎng)絡(luò)安全中的應(yīng)用

1） 要求PCA不能訪問NetworkA和NetworkB，但可以訪問其他所有網(wǎng)絡(luò)。

ACL主要配置代碼如下：

[RTA] firewall enable

[RTA] acl number 2000

[RTA-acl-basic-2000] rule deny source 172.16.0.1 0.0.0.0

[RTA-Ethernet0/1] firewall packet-filter 2000 inbound

2） 要求：限制學(xué)生上QQ，網(wǎng)段為10.10.20.0。

限制QQ 的訪問需要限制 IP 地址和端口的訪問，所以使用擴(kuò)展 ACL，需要了解QQ 軟件訪問的服務(wù)器 IP 地址和端口號。

ACL配置代碼內(nèi)容如下：

Rule deny tcp source 10.10.20.0 0.0.0.255 destination 61.144.238.145 0.0.0.0 destionation-port eq 8000

Rule deny tcp source 10.10.20.0 0.0.0.255 destination 61.144.238.146 0.0.0.0 destionation-port eq 8000

這里只列舉了2 條 ACL 控制語句，QQ 的服務(wù)器和相應(yīng)的端口都很多，在具體使用中需要時常配合其他工具才能得到具體信息，并更新 ACL 列表的內(nèi)容。

3）ACL實現(xiàn)流量控制。

目前，大量占用高帶寬的網(wǎng)絡(luò)下載工具是使網(wǎng)絡(luò)變慢的一個重要的原因，例如電驢、迅雷、BT等，電驢占用的是TCP的4662端口和UDP的4772端口.迅雷則是使用3076到3078端口。BT軟件的端口一般是6881到6890，我們可以使用ACL實現(xiàn)對這些軟件流量控制的目的。

4）防止病毒傳播和黑客入侵

針對windows操作系統(tǒng)的漏洞，一些病毒程序和漏洞掃描軟件通過UDP端口135、137、138、445、1434和TCP端口135、137、138、139、445、4444、5554、9995、9996等進(jìn)行病毒傳播和攻擊，我們只需在路由器面向外部的端口上設(shè)置以下訪問控制列表語句即可達(dá)到阻止病毒傳播的目的[7]。

另外，在黑客入侵服務(wù)器時一般會先使用 Ping 命令來探測目標(biāo)主機(jī)是否在線，然后再使用工具軟件掃描其開放端口，如果 Ping 不通即黑客探測不到目標(biāo)主機(jī)，那么就可以在一定程度上防止黑客的入侵，實現(xiàn)方法是在路由器面向外部的端口上添加如下ACL語句即可實現(xiàn)對 ICMP 數(shù)據(jù)包的過濾。

rule deny icmp source any destination any

3 結(jié)論

本文介紹了訪問控制列表（ACL）的基本概念、工作原理及配置，并以H3C路由器為例，介紹了ACL在網(wǎng)絡(luò)安全中的具體應(yīng)用，通過對路由器進(jìn)行訪問控制列表的配置，可以使其成為一個基于包過濾技術(shù)的防火墻，能對出入設(shè)備接口的IP數(shù)據(jù)包進(jìn)行過濾，具有防止網(wǎng)絡(luò)入侵、限制網(wǎng)絡(luò)訪問者的訪問時間和訪問權(quán)限、防止病毒傳播的功能。

參考文獻(xiàn)：

[1] H3C路由交換[M]. 杭州：杭州華三通訊技術(shù)有限公司，2010.4.

[2] 張博.基于ACL 的邊界路由策略的應(yīng)用研究[J].長春大學(xué)學(xué)報，2010（6）6：88-93.

[3] 單家凌.ACL 在聚合端口上應(yīng)用研究[J].計算機(jī)與數(shù)字工程2011（2）：196-198.

[4] 胡海璐，陳曙暉，蘇金樹.路由器訪問表技術(shù)研究[J].計算機(jī)科學(xué)，200l，28（4）：94-96.

[5] 王芳，韓國棟，李鑫.路由器訪問控制列表及其實現(xiàn)技術(shù)研究[J].計算機(jī)工程與設(shè)計，2007，28（12）：5638-5639.

[6] 唐子蛟，李紅蟬.基于ACL的網(wǎng)絡(luò)安全管理的應(yīng)用研究[J].四川理工學(xué)院學(xué)報（自然科學(xué)版），2009，22（1）：48-51.

[7] 范萍，李罕偉.基于ACL的網(wǎng)絡(luò)層訪問權(quán)限控制技術(shù)研究[J].華東交通大學(xué)學(xué)報，2004，21（4）：91-95.

[8] 黎連業(yè)，張維，向東明.路由器及其應(yīng)用技術(shù)[M].北京：清華大學(xué)出版社，2004.