浅析通过路由器ACL功能加固局域网安全的措施

李江灵

摘 要：随着IT技术的飞速发展和深入应用。计算网络在人们生活中扮演者越来越不可或缺的角色。不管是企业还是政府、学校、商业领域网络都成为产品代言的依托。正因为网络的重要性、普通性及开放性使得网络容易受到外界的攻击。因此网络安全问题成为困扰各行各业的主要技术问题。虽然面对当前的网络社会和法制社会我国出台一套相应安全的网络法制体系。只是从人为因素上规范网络的使用。但致命的问题还在于技术。所以本文从网络安全中局域网安全区分析如何通过现有的网络硬件比如路由器的ACL功能去如何加固局域网的安全。

关键词：路由器；ACL功能；局域网；安全措施

1 ACL概述

ACL是Access？Control？List（访问控制列表）的英文缩写。在介绍标准访问控制列表之前我们应该明白路由器是工作在OSI七层参考模型的网际层，而网际层是基于IP地址协议的数据传输。标准访问控制列表是一种基于包过滤的流控制技术，在路由器中被采用，它可以有效的在三层上控制网络用户对网络资源的访问，既可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理。通过实施标准访问控制列表，可以有效的部署企业网络出网策略，也可以用来控制对局域网内部资源的访问能力，保障资源安全性，但会增加路由器开销，也会增加管理的复杂度和难度，是否采用标准访问控制列表技术，是管理效益与网络安全之间的一个权衡。初期仅在路由器上支持标准访问控制列表，近些年来已经扩展到三层交换机，部分二层交换机如2950之类也开始提供标准访问控制列表的支持。

2 ACL工作原理

ACL（Access Control List，访问控制列表），是应用在路由器接口上的指令列表，这张表中包含了匹配关系、条件和查询语句，这些指令通过路由器哪些数据包分组可以接收，哪些数据包分组需要拒绝。访问控制列表又可分为（标准访问控制列表）和（扩展访问控制列表）。其中标准访问控制列表是基于源地址做为判断依据。扩展标准访问控制列表是基于源地址、目标地址、源端口、目标端口等做为判断依据。不论是标准访问控制列表还是扩展标准访问控制列表，标准访问控制列表只是一个框架结构，其目的是为了对某种访问进行控制，使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

3 ACL实际应用案例解析

问题：假设我们在构建大学校园网的时候，只允许行政人员上班时间只能访问互联网上的WEB，FTP和电子邮件等常用服务。拒绝BT、电驴、在线电影、网络游戏甚至QQ、MSN等与工作无关的数据，如图1

问题分析：只允许行政人员上班时间只能访问互联网上的WEB，FTP和电子邮件等常用服务。可以用三层交换机 ACL 实现在交换机上划分VLAN，案列中具体划分为VLAN1、2、3、4。

目的是为了实现VLAN间通信，端口VLAN分配：0/1-4：VLAN 1； 0/5：VLAN 2常用的服务如下：Web ： TCP 80（HTTP）、443（HTTPS）；FTP ： TCP 20（FTP-Data）、21（FTP-Connect）；E-Mail ： TCP 25（SMTP）、110（POP3）、143（IMAP4）；DNS ：UDP 53、TCP 53；Telnet ：TCP 23；MSN Messenger：TCP 1863；Ping （ICMP type 8），……

因此我们就可以创建一张访问控制列表，在访问控制列表中开放相应的服务，禁止不相关服务就可以实现，具体如下：

ip access-list extended port_permit（创建访问控制列表）

permit tcp any any eq 20

permit tcp any any eq 21

permit tcp any any eq 23

permit tcp any any eq 25

permit tcp any any eq 53

permit udp any any eq 53

permit tcp any any eq 80

permit tcp any any eq 110

permit tcp any any eq 143

permit tcp any any eq 443

permit tcp any any eq 1863

permit icmp any any 8

deny ip any any （隐含拒绝所有，可不用配置）

将访问控制列表应用到接口：

interface Vlan 1

ip access-group port_permit in

interface Vlan 2

ip access-group port_permit in

用户访问外网时，数据包会发送至缺省网关，即相应 vlan interface接口。在数据包入站时，三层交换机根据配置在vlan interface入站方向 （in） 的ACL过滤数据。

4 使用ACL加固局域网安全措施

我们在架构具体网络时根据所选用设备的不同而采用相应的安全措施，在使用ACL访问控制列表时我们可以视具体情况采用以下三种方法：

①标准IP地址访问控制列表： 一个标准IP地址访问控制列表匹配IP地址包中的源地址或源地址中的一部分，可对相配的包装采取拒绝或允许两个操作。编号范围从1到99的访问控制列表是标准IP地址访问控制列表。

②扩展IP地址访问控制列表： 扩展IP地址访问控制列表比标准IP地址访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP地址优先级等。编号范围从100到199的访问控制列表是扩展IP地址访问控制列表。

③命名的地址访问控制列表： 所谓命名的地址访问控制列表是以列表名代替列表编号来定义地址访问控制列表，同样包括标准和扩展两种列表，定义过滤的句子与编号方式中相类似。 实际依据具体的需要而选用不同的控制列表。

总之，路由器访问表是网络防御外来安全威胁的第一关，它是通过允许或拒绝信息流通过路由器的接口来实现的一种机制。通过人为配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上安装，也可以在具有ACL功能的应用软件上进行安装。

参考文献：

[1]鲍蓉主编.网络工程教程[M].中国电力出版社 .

[2]雷震甲主编.网络工程师教程[M].清华大学出版社.

[3]车世安，贺全荣.局域网组建、管理及维护实用教程[M].清华大学出版社.

[4]《IEEE802.1X技术白皮书V10》.北京港湾网络有限公司产品部.

[5]田园主编.网络安全教程[M].人民邮电出版社.

[6]魏亮编著.路由器原理与应用[M].人民邮电出版社.