一、引言

　　隨著網絡上的資源越來越豐富，網絡安全問題也開始突現，為此需要一種機制對網絡資源的訪問進行有效控制。訪問控制列表ACL是網絡訪問控制的基本手段，它可以限制網絡流量，提高網絡性能。在路由器或交換機的接口上配置ACL后，可以對進出接口及通過接口中繼的數據包進行安全檢測。本文重點討論如何利用ACL來提高網絡安全性。

二、ACL的類型

　　（一）Standard或Extended IP ACLs

　　標準ACL只能針對源地址進行報文過濾，功能少局限性大。擴展ACL可對源地址、目的地址和上層協議數據進行過濾。

　　（二）MAC Extended ACLs

　　可對任意源/目的MAC地址的報文設置允許其通過或拒絕的條件。

　　（三）基于時間的ACLs

　　可以使ACL基于時間進行運行，如工作時間段內禁止使用QQ。

　　（四）Expert Extended ACLs

　　可實現對VLAN/網段的過濾，限制某些網絡只能使用特定的應用。如，禁止學生自習時間玩網絡游戲，只要給教室分配一個網段，對這個網段應用ACL，在這個時間段禁止網絡游戲報文的傳輸即可。

三、ACL在構建企業網安全中的應用

　　1.限制遠程的非法登錄

　　網絡管理員經常通過虛擬終端vty接口登錄到路由器對其進行配置和管理，如果只有訪問口令一層安全保護，而不對登錄路由器的主機進行限制，這將使路由器安全性不高。如果在vty接口上應用ACL進行遠程登錄控制，可以很大程度增加路由器的安全性。例如，只允許192.168.1.X的主機使用Telnet登錄路由器，則網絡配置命令為：

　　router(config)#access-list 16 permit 192.168.1.0 0.0.0.255

　　router(config)#line vty 0 4

　　2.根據不同的用戶群定義數據的流向

　　企業網建立之后可能會出現很多問題。例如，任何一臺PC均能訪問總經理的PC，或某員工非法進入財務處計算機等。解決這類問題的簡單方法就是在關鍵的接口處應用ACL，對用戶進行訪問限制。例：允許來自特定網段(192.168.1.x)的任一主機，拒絕其它任一主機，達到某一部門數據保密的目的，實現數據的單向流動，則配置如下：

　　SwitchB(config)#ip access-list standard permit_host192.168.l.x

　　SwitchB(config-std-nacl)#permit 192.168.1.0 0.0.0.255 any

　　SwitchB(config-std-nacl)#deny any

　　3.訪問時間權限控制

　　基于時間的ACL可以為一天中的不同時段，或者一星期的不同日期，制定不同的訪問控制策略，從而滿足用戶對網絡的靈活需求。例如：要求上班時間(周一到周五的9：00-18：00)不允許部門職員訪問互聯網的ftp服務器，則配置如下：

　　Switch(config)#time-range no-ftp

　　Switch(config-time-range)#absolute start 8：00 15 5 2010 end8：00 1 5 2020

　　Switch(config-time-range)#periodic weekdays 9：00 to 18：00

　　Switch(config)#ip access-list extended deny_ftp

　　Switch(config-ext-nacl)#deny tcp any any eq ftp time-range no-ftp

　　Switch(config-ext-nacl)#permit ip any any

　　4.應用ACL防范病毒

　　病毒入侵經常會使用某些特殊端口，如135、445等，關閉這些端口可有效防止常見病毒的攻擊。例如最近公司網絡內發現沖擊波病毒，造成了很多地方感染，網絡癱瘓。我們可以利用S21系列智能交換機的ACL功能做出限制，禁止其轉發和傳播，配置命令為：

　　access-list 115 deny udp any any eq 69

　　access-list 115 deny tcp any any eq 135

　　access-list 115 deny udp any any eq 135

　　access-list 115 deny udp any any eq 137

　　access-list 115 deny udp any any eq 138

　　access-list 115 deny tcp any any eq 139

　　access-list 115 deny udp any any eq 139

　　access-list 115 deny tcp any any eq 445

　　access-list 115 deny tcp any any eq 593

　　access-list 115 deny tcp any any eq 4444

　　access-list 115 permit ip any any5.防止IP地址盜用

　　專家級ACL可以利用MAC地址、IP地址、VLAN號、傳輸端口號、協議類型等定義規則，按照規則進行訪問控制，保證網絡安全。假設有人利用某些網絡工具試圖對企業服務器進行攻擊和訪問，我們就可以用專家級ACL，對攻擊方的IP地址和MAC地址進行綁定，拒絕其訪問服務器。例：要求只有總經理主機(192.168.1.1)可訪問ftp服務器192.168.10.10，則配置如下：

　　Switch(config)#expert access-list extentded jingli

　　Switch(config-ext-macl)#permit tcp host 192.168.1.1 host 00d0.f800.0099 host 192.168.10.10 any eq ftp

　　5.流量控制

　　企業網內用戶利用BT等工具下載電影，占用了大量帶寬，影響了企業網的正常使用。此時，可采取ACL限制企業網外的用戶對網內的BT用戶發起連接，或利用ACL對不同數據流分配不同的帶寬，從而限制流量。例：只允許企業網內的主機主動與網外的主機建立TCP連接，不允許網外的主機對網內的主機主動發起連接，則配置如下：

　　Router(config)#access-list 120 permit tcp any any gt 1023 established

　　Router(config)#access-list 120 permit tcp any any

四、小結

　　本文通過在路由器或交換機上建立ACL，列舉了ACL在企業網控制方面的幾個具體應用，可見ACL在削減網絡安全威脅方面的作用是強大的。通過以上配置實例，使路由器成為一個包過濾防火墻，提高了企業網絡的安全性。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：ACL構建企業網安全

本文網址：http://www.guhuozai8.cn/html/support/1112155438.html