一、引言
隨著網絡上的資源越來越豐富,網絡安全問題也開始突現,為此需要一種機制對網絡資源的訪問進行有效控制。訪問控制列表ACL是網絡訪問控制的基本手段,它可以限制網絡流量,提高網絡性能。在路由器或交換機的接口上配置ACL后,可以對進出接口及通過接口中繼的數據包進行安全檢測。本文重點討論如何利用ACL來提高網絡安全性。
二、ACL的類型
(一)Standard或Extended IP ACLs
標準ACL只能針對源地址進行報文過濾,功能少局限性大。擴展ACL可對源地址、目的地址和上層協議數據進行過濾。
(二)MAC Extended ACLs
可對任意源/目的MAC地址的報文設置允許其通過或拒絕的條件。
(三)基于時間的ACLs
可以使ACL基于時間進行運行,如工作時間段內禁止使用QQ。
(四)Expert Extended ACLs
可實現對VLAN/網段的過濾,限制某些網絡只能使用特定的應用。如,禁止學生自習時間玩網絡游戲,只要給教室分配一個網段,對這個網段應用ACL,在這個時間段禁止網絡游戲報文的傳輸即可。
三、ACL在構建企業網安全中的應用
1.限制遠程的非法登錄
網絡管理員經常通過虛擬終端vty接口登錄到路由器對其進行配置和管理,如果只有訪問口令一層安全保護,而不對登錄路由器的主機進行限制,這將使路由器安全性不高。如果在vty接口上應用ACL進行遠程登錄控制,可以很大程度增加路由器的安全性。例如,只允許192.168.1.X的主機使用Telnet登錄路由器,則網絡配置命令為:
router(config)#access-list 16 permit 192.168.1.0 0.0.0.255
router(config)#line vty 0 4
2.根據不同的用戶群定義數據的流向
企業網建立之后可能會出現很多問題。例如,任何一臺PC均能訪問總經理的PC,或某員工非法進入財務處計算機等。解決這類問題的簡單方法就是在關鍵的接口處應用ACL,對用戶進行訪問限制。例:允許來自特定網段(192.168.1.x)的任一主機,拒絕其它任一主機,達到某一部門數據保密的目的,實現數據的單向流動,則配置如下:
SwitchB(config)#ip access-list standard permit_host192.168.l.x
SwitchB(config-std-nacl)#permit 192.168.1.0 0.0.0.255 any
SwitchB(config-std-nacl)#deny any
3.訪問時間權限控制
基于時間的ACL可以為一天中的不同時段,或者一星期的不同日期,制定不同的訪問控制策略,從而滿足用戶對網絡的靈活需求。例如:要求上班時間(周一到周五的9:00-18:00)不允許部門職員訪問互聯網的ftp服務器,則配置如下:
Switch(config)#time-range no-ftp
Switch(config-time-range)#absolute start 8:00 15 5 2010 end8:00 1 5 2020
Switch(config-time-range)#periodic weekdays 9:00 to 18:00
Switch(config)#ip access-list extended deny_ftp
Switch(config-ext-nacl)#deny tcp any any eq ftp time-range no-ftp
Switch(config-ext-nacl)#permit ip any any
4.應用ACL防范病毒
病毒入侵經常會使用某些特殊端口,如135、445等,關閉這些端口可有效防止常見病毒的攻擊。例如最近公司網絡內發現沖擊波病毒,造成了很多地方感染,網絡癱瘓。我們可以利用S21系列智能交換機的ACL功能做出限制,禁止其轉發和傳播,配置命令為:
access-list 115 deny udp any any eq 69
access-list 115 deny tcp any any eq 135
access-list 115 deny udp any any eq 135
access-list 115 deny udp any any eq 137
access-list 115 deny udp any any eq 138
access-list 115 deny tcp any any eq 139
access-list 115 deny udp any any eq 139
access-list 115 deny tcp any any eq 445
access-list 115 deny tcp any any eq 593
access-list 115 deny tcp any any eq 4444
access-list 115 permit ip any any5.防止IP地址盜用
專家級ACL可以利用MAC地址、IP地址、VLAN號、傳輸端口號、協議類型等定義規則,按照規則進行訪問控制,保證網絡安全。假設有人利用某些網絡工具試圖對企業服務器進行攻擊和訪問,我們就可以用專家級ACL,對攻擊方的IP地址和MAC地址進行綁定,拒絕其訪問服務器。例:要求只有總經理主機(192.168.1.1)可訪問ftp服務器192.168.10.10,則配置如下:
Switch(config)#expert access-list extentded jingli
Switch(config-ext-macl)#permit tcp host 192.168.1.1 host 00d0.f800.0099 host 192.168.10.10 any eq ftp
5.流量控制
企業網內用戶利用BT等工具下載電影,占用了大量帶寬,影響了企業網的正常使用。此時,可采取ACL限制企業網外的用戶對網內的BT用戶發起連接,或利用ACL對不同數據流分配不同的帶寬,從而限制流量。例:只允許企業網內的主機主動與網外的主機建立TCP連接,不允許網外的主機對網內的主機主動發起連接,則配置如下:
Router(config)#access-list 120 permit tcp any any gt 1023 established
Router(config)#access-list 120 permit tcp any any
四、小結
本文通過在路由器或交換機上建立ACL,列舉了ACL在企業網控制方面的幾個具體應用,可見ACL在削減網絡安全威脅方面的作用是強大的。通過以上配置實例,使路由器成為一個包過濾防火墻,提高了企業網絡的安全性。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:ACL構建企業網安全