ACL技術(shù)在民航管理信息網(wǎng)安全防護(hù)中的應(yīng)用

杜愛(ài)華

摘要：浙江管理信息網(wǎng)雖然本地不接互聯(lián)網(wǎng)，但由于它是華東管理信息網(wǎng)的組成部分，有外聯(lián)單位，這就意味著來(lái)自外部的威脅可以以外聯(lián)單位為跳板，利用系統(tǒng)內(nèi)部用戶之間的相互信任關(guān)系，攻入網(wǎng)絡(luò)內(nèi)部。本文闡述了在浙江管理信息網(wǎng)網(wǎng)絡(luò)安全防護(hù)中，借助于ACL技術(shù)，有效地控制了特定用戶對(duì)網(wǎng)絡(luò)交換機(jī)的訪問(wèn)以及對(duì)常見(jiàn)病毒端口的過(guò)濾，從而最大限度地保障了網(wǎng)絡(luò)安全。

關(guān)鍵詞：ACL訪問(wèn)控制列表;管理信息網(wǎng);交換機(jī);安全防護(hù)

中圖分類號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）26-0046-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

民航浙江管理信息網(wǎng)為分局日常公文管理、業(yè)務(wù)管理、門戶網(wǎng)站和各類應(yīng)用提供安全可靠的網(wǎng)絡(luò)傳輸服務(wù)。該網(wǎng)絡(luò)平臺(tái)在本地與互聯(lián)網(wǎng)完全物理隔離，僅通過(guò)系統(tǒng)內(nèi)部專用的ATM網(wǎng)絡(luò)與華東管理信息網(wǎng)互聯(lián)。提起網(wǎng)絡(luò)安全，人們常常關(guān)注于病毒破壞和黑客攻擊等來(lái)自互聯(lián)網(wǎng)的安全威脅，認(rèn)為管理信息網(wǎng)這類與互聯(lián)網(wǎng)完全物理隔離的內(nèi)部網(wǎng)絡(luò)是安全可信的。為了方便管理和應(yīng)用，內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)控制相當(dāng)粗放，幾乎沒(méi)有什么限制。但近年來(lái)在全國(guó)范圍各系統(tǒng)內(nèi)網(wǎng)頻頻出現(xiàn)的網(wǎng)絡(luò)信息安全事件給我們敲響了警鐘：內(nèi)網(wǎng)并沒(méi)有想象中那么安全！浙江管理信息網(wǎng)雖然本地不接互聯(lián)網(wǎng)，但由于它是華東管理信息網(wǎng)的組成部分，有外聯(lián)單位，這就意味著來(lái)自外部的威脅可以以外聯(lián)單位為跳板，利用系統(tǒng)內(nèi)部用戶之間的相互信任關(guān)系，攻入相連單位的內(nèi)部網(wǎng)絡(luò)，從而獲取相應(yīng)內(nèi)部服務(wù)器和交換機(jī)的控制權(quán)限，在內(nèi)網(wǎng)中橫行無(wú)忌。由于內(nèi)網(wǎng)用戶對(duì)服務(wù)器資源的訪問(wèn)需求相對(duì)比較固定，在內(nèi)部網(wǎng)絡(luò)部署時(shí)就未雨綢繆，充分考慮各類用戶訪問(wèn)需求，做好精準(zhǔn)的訪問(wèn)控制策略，及時(shí)修補(bǔ)安全策略漏洞是做好網(wǎng)絡(luò)信息安全防范的重點(diǎn)。

1 ACL概述

訪問(wèn)控制列表（ACL）是一種基于包過(guò)濾的訪問(wèn)控制技術(shù)，它可以根據(jù)設(shè)定的條件對(duì)接口上的數(shù)據(jù)包進(jìn)行過(guò)濾，允許其通過(guò)或丟棄。訪問(wèn)控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī)。借助于訪問(wèn)控制列表，可以有效地控制用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，從而最大限度地保障網(wǎng)絡(luò)安全。ACL的定義是基于協(xié)議的，它適用于所有的路由協(xié)議，如IP、IPX等。它在路由器上讀取數(shù)據(jù)包頭中的信息，如源地址、目的地址、使用的協(xié)議、源端口、目的端口等，并根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到對(duì)網(wǎng)絡(luò)訪問(wèn)的精確、靈活控制。目前主要有三種ACL：標(biāo)準(zhǔn)ACL、擴(kuò)展ACL和命名ACL。此外，有的廠商又自定義了一些分類更精確的ACL ，例如H3C 的ACL分類為：基本ACL（編號(hào)范圍：2000-2999），高級(jí)ACL（編號(hào)范圍：3000-3999），二層ACL（編號(hào)范圍：4000-4999），用戶自定義ACL（編號(hào)范圍：5000-5999）。其中應(yīng)用最為廣泛的是基本ACL和高級(jí)ACL。

2 ACL在管理信息網(wǎng)安全防護(hù)中的應(yīng)用

訪問(wèn)控制列表的主要作用有：1）拒絕、允許特定的數(shù)據(jù)流通過(guò)網(wǎng)絡(luò)設(shè)備，如防止攻擊、訪問(wèn)控制、節(jié)省帶寬等;2）對(duì)特定的數(shù)據(jù)流、報(bào)文、路由條目等進(jìn)行匹配和標(biāo)識(shí)，以用于其他目的路由過(guò)濾，如QoS、Route-map等。本文謹(jǐn)以H3C S7503E主核心交換機(jī)為例，說(shuō)明ACL在民航管理信息網(wǎng)安全防護(hù)中的應(yīng)用。

實(shí)例一：利用ACL實(shí)現(xiàn)某交換機(jī)只允許特定IP的遠(yuǎn)程登錄

1） 防護(hù)需求：

為了方便運(yùn)維管理人員對(duì)交換機(jī)進(jìn)行參數(shù)配置修改，一般都會(huì)開(kāi)啟交換機(jī)的Telnet遠(yuǎn)程登錄服務(wù)。Telnet遠(yuǎn)程登錄方式的密碼在傳輸過(guò)程中是明文的，存在密碼泄漏的風(fēng)險(xiǎn)。為了提高網(wǎng)絡(luò)安全防范閾值，不讓任何IP都能連接此交換機(jī)，我們通過(guò)ACL技術(shù)僅允許IP 10.13.40.36和10.13.42.80登錄H3C S7503E交換機(jī)。

2）配置步驟：

在H3C S7503E交換機(jī)上我們進(jìn)行如下配置：

3）驗(yàn)證配置：

配置完成后，嘗試從10.13.40.36、10.13.42.80登錄H3C S7503E交換機(jī)，登錄成功。而從其他IP登錄H3C S7503E交換機(jī)，無(wú)法登錄。

實(shí)例二：利用ACL實(shí)現(xiàn)對(duì)常見(jiàn)病毒端口的過(guò)濾。

1）防護(hù)需求：

配置高級(jí)ACL訪問(wèn)控制列表，禁止常見(jiàn)的病毒端口135，137，138，139，445，3389訪問(wèn)。

2）配置步驟：

為從源頭上控制被感染主機(jī)采用病毒端口進(jìn)行通訊，減少對(duì)其他交換機(jī)上用戶帶來(lái)影響，我們可以在接入層交換機(jī)上進(jìn)行如下配置：先創(chuàng)建一個(gè)序號(hào)為3001的高級(jí)ACL，然后通過(guò)QoS來(lái)下發(fā)策略。為節(jié)省篇幅，此處我們僅以禁止445、3389這兩個(gè)遠(yuǎn)程訪問(wèn)端口為例，說(shuō)明ACL的過(guò)濾機(jī)制。其他端口可照此配置：

3 ACL配置注意事項(xiàng)

3.1 “3P”原則

在路由器上應(yīng)用ACL時(shí)，可以為每種協(xié)議（Per Protocol）、每個(gè)方向（Per Direction）和每個(gè)接口（Per Interface）配置一個(gè)ACL，一般稱為“3P原則”。具體地說(shuō)，一個(gè)ACL只能基于一種協(xié)議，每種協(xié)議都需要配置單獨(dú)的ACL。每個(gè)接口可以配置進(jìn)方向的ACL，也可以配置出方向的ACL，或者兩者都配置，但是一個(gè)ACL只能控制一個(gè)方向。一個(gè)ACL只能控制一個(gè)接口上的數(shù)據(jù)流量，無(wú)法同時(shí)控制多個(gè)接口上的數(shù)據(jù)流量。

3.2 語(yǔ)句順序決定了對(duì)數(shù)據(jù)的控制順序

ACL的語(yǔ)句是一種自上而下的邏輯排列關(guān)系。數(shù)據(jù)匹配過(guò)程中是依次對(duì)語(yǔ)句進(jìn)行比較，一旦匹配成功則按照當(dāng)前語(yǔ)句控制策略處理，不再與之后的語(yǔ)句進(jìn)行比較。因此，正確的語(yǔ)句順序才能得到所需的控制效果。最有限制性的語(yǔ)句應(yīng)該放在ACL的靠前位置，可以首先過(guò)濾掉很多不符合條件的數(shù)據(jù)，節(jié)省后面語(yǔ)句的比較時(shí)間，從而提高路由器的工作效率。所有ACL的最后一條語(yǔ)句都是隱式拒絕語(yǔ)句，表示當(dāng)所有語(yǔ)句都無(wú)法匹配時(shí)，將拒絕數(shù)據(jù)通過(guò)并自動(dòng)丟棄數(shù)據(jù)，以防數(shù)據(jù)意外進(jìn)入網(wǎng)絡(luò)。

4結(jié)束語(yǔ)

本文闡述了在民航管理信息網(wǎng)的網(wǎng)絡(luò)安全防護(hù)中，如何結(jié)合分局網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，借助于訪問(wèn)控制列表，有效地控制了特定用戶對(duì)網(wǎng)絡(luò)交換機(jī)的訪問(wèn)以及對(duì)常見(jiàn)病毒端口的過(guò)濾，從而最大限度地保障了網(wǎng)絡(luò)安全。

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，新技術(shù)應(yīng)用越來(lái)越廣泛，在防火墻、入侵防御、上網(wǎng)行為管理等邊界防護(hù)設(shè)備中，有了更加人性化的訪問(wèn)控制策略配置界面，但在局域網(wǎng)網(wǎng)絡(luò)內(nèi)部，原有的訪問(wèn)控制列表因其能對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行精確、靈活的控制，目前仍被廣泛地應(yīng)用于路由器和三層交換機(jī)。隨著分局管理信息網(wǎng)網(wǎng)絡(luò)平臺(tái)上承載的業(yè)務(wù)不斷增加，如何利用有限的網(wǎng)絡(luò)設(shè)備資源，靈活運(yùn)用ACL技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)間的各種訪問(wèn)控制將是我們進(jìn)一步實(shí)踐的方向。

【通聯(lián)編輯：光文玲】