反向ACL在中小企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用研究

謝奇愛

摘要：隨著信息化及網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，以及網(wǎng)絡(luò)建設(shè)的復雜化，網(wǎng)絡(luò)邊界安全已成為最重要的網(wǎng)絡(luò)安全問題，同時也是目前大多數(shù)企業(yè)網(wǎng)絡(luò)安全建設(shè)中首要考慮的問題。眾所周知，訪問控制列表ACL是網(wǎng)絡(luò)安全設(shè)備，如路由器、交換機等的重要安全防御手段。如何在三層交換機上配置反向訪問控制列表來維護企業(yè)網(wǎng)絡(luò)邊界安全是本文研究的重點。

關(guān)鍵詞：網(wǎng)絡(luò)邊界安全；訪問控制列表；反向ACL

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）17-4009-04

Application of Reverse ACL in Network Management in Small and Medium Sized Enterprises

XIE Qi-ai

（Hefei University，hefei 230601，China）

Abstract： With the continuous development of information and network technology， and the complexity of network construction， network border security has become the most important network security problems， but also the priority of most of the problems in the construction of enterprise network security. As everyone knows， the access control list ACL is an important network security equipment， security defense means such as routers， switches and other. There are mainly introduced in the three layer switch how to configure reverse access control list to maintain the enterprise network border security.

Key words： The boundary of the network security； access control list； reverse ACL

隨著信息化和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，以及網(wǎng)絡(luò)建設(shè)的復雜化，網(wǎng)絡(luò)邊界安全已成為最重要的網(wǎng)絡(luò)安全問題，同時也是目前大多數(shù)企業(yè)網(wǎng)絡(luò)安全建設(shè)中首要考慮的問題。因此，網(wǎng)絡(luò)邊界防御需要添加一些安全設(shè)備來保護進入網(wǎng)絡(luò)的每個訪問。這些安全設(shè)備或是阻塞、或是篩選網(wǎng)絡(luò)流量來限制網(wǎng)絡(luò)活動，也可能是僅僅允許一些固定的網(wǎng)絡(luò)地址在固定的端口可以通過網(wǎng)管員的網(wǎng)絡(luò)邊界。一般來說，訪問控制列表ACL是網(wǎng)絡(luò)安全設(shè)備（如路由器、防火墻、交換機等）的重要安全防御手段。這里主要介紹在三層交換機上如何配置反向訪問控制列表來維護企業(yè)網(wǎng)絡(luò)邊界安全。

1 網(wǎng)絡(luò)邊界與網(wǎng)絡(luò)邊界安全的基本概念

把不同安全級別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界。網(wǎng)絡(luò)邊界是企業(yè)網(wǎng)絡(luò)系統(tǒng)安全屏障的起點，在這個網(wǎng)絡(luò)邊界的內(nèi)部，一定要保證不會存在任何網(wǎng)絡(luò)行為能夠損害到企業(yè)或組織的網(wǎng)絡(luò)系統(tǒng)。為了防止來自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。

網(wǎng)絡(luò)邊界安全是指在不同網(wǎng)絡(luò)的互連邊界通過各種方法或措施防止相互間的惡意訪問或惡意流量的相互滲透。從廣義上看，在任何網(wǎng)絡(luò)邊界都存在安全問題，如企業(yè)與企業(yè)網(wǎng)的邊界、企業(yè)網(wǎng)與外部Internet的邊界、企業(yè)部門與部門間的邊界等。但就一個企業(yè)或園區(qū)內(nèi)部網(wǎng)而言，最為敏感的邊界通常在內(nèi)外網(wǎng)邊界，所以從狹義上說，邊界安全也指內(nèi)外網(wǎng)邊界安全。[4]

2 項目需求和問題提出

2.1項目需求

圖1所示為某公司有180信息點，分布在1-3樓。網(wǎng)絡(luò)中心設(shè)在一樓，大樓主干采用光纖布線，在1樓和3樓設(shè)樓層配線架，樓層需要百兆交換到桌面。網(wǎng)絡(luò)主要為公司內(nèi)部文件共享、辦公自動化系統(tǒng)，對外提供郵件和網(wǎng)站服務(wù)等。網(wǎng)絡(luò)核心設(shè)備采用帶有路由模塊的核心交換機，用于和各樓層的交換機實現(xiàn)吉比特互連。網(wǎng)絡(luò)需要劃分VLAN劃分網(wǎng)絡(luò)，考慮到安全，財務(wù)部的主機不能被其他部門的主機訪問。

2.2問題提出

針對需求要為財務(wù)部、技術(shù)部和辦公部定義VLAN，并分配IP地址，如表1所示。

我們根據(jù)需求對交換機進行相應(yīng)的配置，其配置過程如下：

1）核心交換機基礎(chǔ)性配置（以下配置可根據(jù)需要進行相應(yīng)設(shè)置）；

2）核心和樓層交換機上設(shè)置VTP DOMAIN；

3）核心和樓層交換機上配置中繼；

4）在核心交換機上創(chuàng)建VLAN；

5）將交換機端口劃入VLAN；

我們分別將sw1、sw2、和sw3交換機的f0/2端口劃入財務(wù)部vlan 10，f0/3端口劃入技術(shù)vlan 20，f0/4端口劃入辦公部vlan 30；

6）配置第三層交換；

為了使每個VLAN之間可以互訪，要為每個VLAN端口分配IP地址，這個地址也就是各VLAN中主機的網(wǎng)關(guān)地址，地址分配如表1所示。

再在各接入VLAN的計算機上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址一致的IP地址，并且把缺省網(wǎng)關(guān)設(shè)置為該VLAN的端口地址。如圖所示。

這樣，所有的VLAN也可以互訪了。如圖3所示。

7）配置VLAN訪問控制列表

從需求知道，賬務(wù)部的主機可以訪問外部，但是其他 vlan 不能訪問財務(wù)部vlan。我們可以定義一條訪問控制列表，禁止其他部門網(wǎng)段對財務(wù)部網(wǎng)段的訪問，然后將其應(yīng)用到各部門的vlan端口上，訪問控制列表配置如下。endprint

上述配置，似乎禁止了vlan 20、vlan 30對vlan 10的訪問，但實際的結(jié)果由于兩臺主機在發(fā)送數(shù)據(jù)的過程是雙向的，即當A向B發(fā)送數(shù)據(jù)后，只有當A收到B的返回數(shù)據(jù)后發(fā)送成功。在上述配置中，vlan 10中的主機A訪問vlan 20中的主機B時，A將數(shù)據(jù)包發(fā)送到主機B，但由于主機B返回的數(shù)據(jù)包在到達交換機的vlan 20端口時，被端口上配置的訪問控制列表阻斷了。測試結(jié)果如圖4和5所示。

從以上測試結(jié)果看，當禁止了其他部門網(wǎng)段對賬務(wù)部網(wǎng)段訪問的同時也禁止了財務(wù)部對其他部門網(wǎng)段的訪問。即存在A Ping 不通B，B也Ping不通A的情況，顯然這不是案例所需求的。

3 解決方案——反向訪問控制列表

3.1反向控制列表

反向訪問控制列表屬于ACL的一種高級應(yīng)用。通過配置反向ACL可以保證AB兩個網(wǎng)段的計算機互相PING，A可以PING通B而B不能PING通A。 由于普通的訪問控制列表不能檢測會話狀態(tài)，也就無法實現(xiàn)單向訪問控制。[1]Cisco的IOS中通過反向訪問控制列表可以很好地解決這個問題。上述項目中，從需求知道，賬務(wù)部的主機可以訪問外部，但是其他vlan 不能訪問財務(wù)部vlan。即A能訪問B，但B不能訪問A。在Cisco的操作系統(tǒng)中通過反向訪問控制列表可以實現(xiàn)此功能。基本思想是在財務(wù)部訪問其他部門時，能在其他部門的訪問控制列表中臨時生成一個反向的條目，這樣就能實現(xiàn)單向訪問。

3.2配置實現(xiàn)

本案例中實現(xiàn)反向訪問控制列表的配置如下：

以上反向訪問控制列表說明如下：

1） 訪問控制列表outfilter用于對外訪問的接口，即財務(wù)部的vlan 10的In 方向，該控制列表中的reflect關(guān)鍵詞用于建立反向控制。

2） 在reflect mytest timeout 200中的reflect 關(guān)鍵詞為創(chuàng)建反向訪問控制列表。Mytest是反向控制列表名。Timeout 200是當反向訪問控制沒有流量時，200s后會消失。

3） Evaluate mytest，只要有符合mytest 反向控制列表的流量發(fā)生時，evaluate語句立即動態(tài)生成一條反向的permit語句。

4 總結(jié)

通過以上配置，賬務(wù)部的主機可以訪問其他VLAN，但其他部門VLAN不能訪問賬務(wù)部VLAN，即實現(xiàn)了A能訪問B，但B不能訪問A的單向訪問控制。

另外，從本案例中可以看出，利用反向訪問控制列表還可以有效的防范病毒。隨著防范病毒數(shù)量的增多在一定程度上會造成訪問控制列表規(guī)則過多，影響了網(wǎng)絡(luò)訪問的速度。我們可以使用反向控制列表將平時常見病毒傳播使用的端口進行過濾，將使用這些端口的數(shù)據(jù)包丟棄。這樣就可以有效的防范病毒的攻擊，更好地維護企業(yè)網(wǎng)絡(luò)邊界的安全。

參考文獻：

[1] 阮征.反向訪問控制列表的用途及格式[EB＼OL].http：//publish.it168.com/2005/0426/20050426509401.shtml.

[2] 賈鐵軍.網(wǎng)絡(luò)安全實用技術(shù)[M].北京：清華大學出版社，2011：136.

[3] 劉永華，趙艷.局域網(wǎng)組建、管理與維護[M].北京：清華大學出版社，2012：226-227.endprint

上述配置，似乎禁止了vlan 20、vlan 30對vlan 10的訪問，但實際的結(jié)果由于兩臺主機在發(fā)送數(shù)據(jù)的過程是雙向的，即當A向B發(fā)送數(shù)據(jù)后，只有當A收到B的返回數(shù)據(jù)后發(fā)送成功。在上述配置中，vlan 10中的主機A訪問vlan 20中的主機B時，A將數(shù)據(jù)包發(fā)送到主機B，但由于主機B返回的數(shù)據(jù)包在到達交換機的vlan 20端口時，被端口上配置的訪問控制列表阻斷了。測試結(jié)果如圖4和5所示。

從以上測試結(jié)果看，當禁止了其他部門網(wǎng)段對賬務(wù)部網(wǎng)段訪問的同時也禁止了財務(wù)部對其他部門網(wǎng)段的訪問。即存在A Ping 不通B，B也Ping不通A的情況，顯然這不是案例所需求的。

3 解決方案——反向訪問控制列表

3.1反向控制列表

反向訪問控制列表屬于ACL的一種高級應(yīng)用。通過配置反向ACL可以保證AB兩個網(wǎng)段的計算機互相PING，A可以PING通B而B不能PING通A。 由于普通的訪問控制列表不能檢測會話狀態(tài)，也就無法實現(xiàn)單向訪問控制。[1]Cisco的IOS中通過反向訪問控制列表可以很好地解決這個問題。上述項目中，從需求知道，賬務(wù)部的主機可以訪問外部，但是其他vlan 不能訪問財務(wù)部vlan。即A能訪問B，但B不能訪問A。在Cisco的操作系統(tǒng)中通過反向訪問控制列表可以實現(xiàn)此功能。基本思想是在財務(wù)部訪問其他部門時，能在其他部門的訪問控制列表中臨時生成一個反向的條目，這樣就能實現(xiàn)單向訪問。

3.2配置實現(xiàn)

本案例中實現(xiàn)反向訪問控制列表的配置如下：

以上反向訪問控制列表說明如下：

1） 訪問控制列表outfilter用于對外訪問的接口，即財務(wù)部的vlan 10的In 方向，該控制列表中的reflect關(guān)鍵詞用于建立反向控制。

2） 在reflect mytest timeout 200中的reflect 關(guān)鍵詞為創(chuàng)建反向訪問控制列表。Mytest是反向控制列表名。Timeout 200是當反向訪問控制沒有流量時，200s后會消失。

3） Evaluate mytest，只要有符合mytest 反向控制列表的流量發(fā)生時，evaluate語句立即動態(tài)生成一條反向的permit語句。

4 總結(jié)

通過以上配置，賬務(wù)部的主機可以訪問其他VLAN，但其他部門VLAN不能訪問賬務(wù)部VLAN，即實現(xiàn)了A能訪問B，但B不能訪問A的單向訪問控制。

另外，從本案例中可以看出，利用反向訪問控制列表還可以有效的防范病毒。隨著防范病毒數(shù)量的增多在一定程度上會造成訪問控制列表規(guī)則過多，影響了網(wǎng)絡(luò)訪問的速度。我們可以使用反向控制列表將平時常見病毒傳播使用的端口進行過濾，將使用這些端口的數(shù)據(jù)包丟棄。這樣就可以有效的防范病毒的攻擊，更好地維護企業(yè)網(wǎng)絡(luò)邊界的安全。

參考文獻：

[1] 阮征.反向訪問控制列表的用途及格式[EB＼OL].http：//publish.it168.com/2005/0426/20050426509401.shtml.

[2] 賈鐵軍.網(wǎng)絡(luò)安全實用技術(shù)[M].北京：清華大學出版社，2011：136.

[3] 劉永華，趙艷.局域網(wǎng)組建、管理與維護[M].北京：清華大學出版社，2012：226-227.endprint

上述配置，似乎禁止了vlan 20、vlan 30對vlan 10的訪問，但實際的結(jié)果由于兩臺主機在發(fā)送數(shù)據(jù)的過程是雙向的，即當A向B發(fā)送數(shù)據(jù)后，只有當A收到B的返回數(shù)據(jù)后發(fā)送成功。在上述配置中，vlan 10中的主機A訪問vlan 20中的主機B時，A將數(shù)據(jù)包發(fā)送到主機B，但由于主機B返回的數(shù)據(jù)包在到達交換機的vlan 20端口時，被端口上配置的訪問控制列表阻斷了。測試結(jié)果如圖4和5所示。

從以上測試結(jié)果看，當禁止了其他部門網(wǎng)段對賬務(wù)部網(wǎng)段訪問的同時也禁止了財務(wù)部對其他部門網(wǎng)段的訪問。即存在A Ping 不通B，B也Ping不通A的情況，顯然這不是案例所需求的。

3 解決方案——反向訪問控制列表

3.1反向控制列表

反向訪問控制列表屬于ACL的一種高級應(yīng)用。通過配置反向ACL可以保證AB兩個網(wǎng)段的計算機互相PING，A可以PING通B而B不能PING通A。 由于普通的訪問控制列表不能檢測會話狀態(tài)，也就無法實現(xiàn)單向訪問控制。[1]Cisco的IOS中通過反向訪問控制列表可以很好地解決這個問題。上述項目中，從需求知道，賬務(wù)部的主機可以訪問外部，但是其他vlan 不能訪問財務(wù)部vlan。即A能訪問B，但B不能訪問A。在Cisco的操作系統(tǒng)中通過反向訪問控制列表可以實現(xiàn)此功能。基本思想是在財務(wù)部訪問其他部門時，能在其他部門的訪問控制列表中臨時生成一個反向的條目，這樣就能實現(xiàn)單向訪問。

3.2配置實現(xiàn)

本案例中實現(xiàn)反向訪問控制列表的配置如下：

以上反向訪問控制列表說明如下：

1） 訪問控制列表outfilter用于對外訪問的接口，即財務(wù)部的vlan 10的In 方向，該控制列表中的reflect關(guān)鍵詞用于建立反向控制。

2） 在reflect mytest timeout 200中的reflect 關(guān)鍵詞為創(chuàng)建反向訪問控制列表。Mytest是反向控制列表名。Timeout 200是當反向訪問控制沒有流量時，200s后會消失。

3） Evaluate mytest，只要有符合mytest 反向控制列表的流量發(fā)生時，evaluate語句立即動態(tài)生成一條反向的permit語句。

4 總結(jié)

通過以上配置，賬務(wù)部的主機可以訪問其他VLAN，但其他部門VLAN不能訪問賬務(wù)部VLAN，即實現(xiàn)了A能訪問B，但B不能訪問A的單向訪問控制。

另外，從本案例中可以看出，利用反向訪問控制列表還可以有效的防范病毒。隨著防范病毒數(shù)量的增多在一定程度上會造成訪問控制列表規(guī)則過多，影響了網(wǎng)絡(luò)訪問的速度。我們可以使用反向控制列表將平時常見病毒傳播使用的端口進行過濾，將使用這些端口的數(shù)據(jù)包丟棄。這樣就可以有效的防范病毒的攻擊，更好地維護企業(yè)網(wǎng)絡(luò)邊界的安全。

參考文獻：

[1] 阮征.反向訪問控制列表的用途及格式[EB＼OL].http：//publish.it168.com/2005/0426/20050426509401.shtml.

[2] 賈鐵軍.網(wǎng)絡(luò)安全實用技術(shù)[M].北京：清華大學出版社，2011：136.

[3] 劉永華，趙艷.局域網(wǎng)組建、管理與維護[M].北京：清華大學出版社，2012：226-227.endprint