路由器访问控制列表(ACL)及其实现技术研究

2024年1月27日发(作者：)

第２３卷第１期２０１郑州铁路职业技术学院学报ＪｏｕｒｎａｌｏｆＺｈｅｎｇｚｈｏｕＲａｉｌｗａｙＶｏｃａｔｉｏｎａｌ＆ＴｅｃｈｎｉｃａｌＣｏｌｌｅｇｅＶ０１．２３Ｎｏ．１１年３月Ｍａｒ．２０１ｌ路由器访问控制列表（ＡＣＬ）及其实现技术研究汪小霞（健雄职业技术学院江苏太仓２１５４１１）摘要：路由器访问控制列表是实现网络安全的基本手段之一。本文介绍了访问控制列表的概念及其功能，并以某企业真实拓扑图为例，详细探讨了网络实践应用中，如何利用路由器的访问控制列表技术提高网络的安全性。关键词：路由器；访问控制列表；网络安全１引言地址分别同通配符进行逻辑“或”的操作，如果这个两者的操作结果一致的话，则应用此条规则，允许或拒绝数据包的通过。通常路由器按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。路由器工作在网络层，是信息出入的必经之路，能有效的防止外部用户对局域网的安全访问。同时可以限制网络流量，也可以限制局域网内的用户或设备使用网络资源。因此，网络路由过滤对网络的安全具有举足轻重的作用。目前大部分的路由器都是通过访问控制列表技术来允许或拒绝报文通过。当路由器的访问控制列表的安全特性被充分利用时，路由器将变成一个有效的、稳定的、安全的、坚固的防御体系，既能抵御外部的攻击，又能限制内部用户对外部的非法访问，在很大程度上数据包只有在跟第一个判断条件不匹配时，它才被交给访问控制列表中的下一个条件判断语句进行比较。如果匹配，假设为允许发送，则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的访问控制列表判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。３访问控制列表实现实例背景：下图为某企业网络拓扑结构简图，是基于层提高了网络的安全性。因此，可以说访问控制列表是网络防御外来攻击的第一道关卡。本文以某企业真实拓扑图为例，讨论如何利用路由器的访问控制列表技术提高网络的安全性。２访问控制列表【ＡＣＬ）次性网络结构的设计，接入层设备采用￥２１２６Ｇ交换机，汇聚层设备采用￥３５５０三层交换机。企业中有四个大的子网。分别为工程部、财务部、商务部和服务器群，在交换机上划分ｖｌａｎ，ｖｌａｎｌ０是工程部子网、ｖｌａｎ２０是财务部子网、ｖｌａｎ３０是商务部子网、ｖｌａｎ４０是服务器群网络。为了保证网络的高可用性和稳定性，接入层交换机与汇聚层交换机通过两条链路相连，汇聚层交换机通过Ｆ０／１与ＲＡ路由器接口ＦＩ／Ｏ相连，汇聚层交换机通过接口Ｆ０／８与服务器群网络相连接，路由器ＲＡ通过广域网接口Ｓ１／２和路由器ＲＢ广域网接ＩＳｌＳ１／访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端ＶＩ号、协议等特定指示条件来决定。通过灵活地增加访问控制列表，ＡＣＬ可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。路由器应用访问控制列表时，会把访问控制列表中的每一条规则中所定义的地址和收到的数据包中的２相连。在路由器ＲＢ以太网口Ｆｌ／１与ＩＳＰ服务提供收稿日期：２０１１—０１—２０基金项目：太仓市工业支撑项目：局域网网络安全与ＡＲＰ攻击研发，编号：ＴＣＺＣ０１９作者简介：汪小霞（１９６８一Ｊ．女，上海人，健雄职业技术学院副教授，研究方向：网络安全。８万方数据

商相连。菔务器群下同ｆＩｎ砸ｎ＇ｅｔ、，Ｉ＾Ｎ∞…ｉ’’‘‘ｌ’一’‘。一１、．．础‰Ｆｏ，，ｌ即培璧彳１，１，，Ｆ甜１：１１．１．１．１瑚ＶＬＡＨ＇Ｏ：１７２１６．＇Ｏ．０／２４ＶＬＡ崛Ｏ：１７２．＇６瑚．捌２ＩｖｌＡＭ３０：＇７２１右．３０＇Ｏ，２４、，ｌ＾Ｎ∞ｔ＇７２．１６．４０．０／２．４ＦＩｍ：＇１．＇．＇．甜∞Ｓ１，２：１２．＇．＇．ｔ，３０…Ｉ一＼ＶＬＡ喇尹ｓ绲＇２．＇．＇删｝Ｆ…Ｉｔｔ。：谳写赫图１某企业网络拓扑模拟简图３．１禁止或允许部分网路服务’。为了实现企业内部网络安全，对网络资源的访问进行适当地限制，要求在ｌｉＢ上配置安全策略：财务部只可以访问互联网服务器９９．９９．９．１的Ｆ皿’服务，此服务器的其他服务不可以访问，财务部访问其他互连网络资源不受限制；商务部不可以访问互联网服务器９９．９９．１．１的任何服务，商务部访问其他互联网资源不受限制。ＲＢ（ｅｏＩＩｆｉｇ）＃ａｃｃｅｓｓ—ｌｉｓｔ１００ｐｅｒｍｉｔｔｏｐ１７２．１６．２０．００．０．０．２５５９９．９９．９．１ｅｑｆｔｐＲＢ（ｅｏｎｆｉｇ）＃ａｅｃｅｓｓ—ｌｉｓｔ１００ｄｅｎｙｉｐ１７２．１６．２０．０Ｏ．０．０．２５５９９．９９．９．１ＲＢ（ｅ灯ｎｆｉｇ）＃ａｃｃｅｓｓ—ｌｉｓｔ１００ｐｅｒｔ＇ｎｉｔｉｐ１７２．１６．２０．００．０．０．２５５ａｎｙＲＢ（ｃ０曲ｇ）＃ａｃｃｅｓｓ—ｌｉｓｔ１００ｄｅｎｙｉｐ１７２．１６．３０．０Ｏ．Ｏ．０．２５５ｈｏｓｔ９９．９９．９．１Ｏ．Ｏ．０．２５５ＲＢ（ｅｏｎｆｉｇ）＃ａｃｃｅｓｓ—ｌｉｓｔ１００ｐｅｒｍｉｔｉｐ１７２．１６．３０．００．０．０．２５５ａｎｙＲＢ（ｅｏｎｆｉｇ）＃ａｃｃｅｓｓ—ｌｉｓｔ１００ｐｅｒｍｉｔｉｐａｎｙａｎｙＲＢ（ｅ＝ｏｎｆｉｇ）＃ｅｘｉｔＲＢ（ｅＤｎｆｉｇ）＃ｉｎｔｓｌ／２ＲＢｅｏｎｔｉｇ—－ｉｆ）＃ｉｐａＣＣｅＳＳ——ｇｒｏｕｐ１００ｉｎｌｉｂ（ｅｏｎｆｉｇ—ｉｆ）＃ｅｘｉｔ３．２禁止某台主机通信局域网受病毒攻击不可避免，一旦有一台机器感染病毒，就有可能影响到整个局域网的安全，严重时可能导致网络瘫痪，所以及时检测病毒并对病毒主机进行隔离尤为重要。假设工程部一台主机ｉｐ７２．１６．１０．３感染了病毒，正向局域网内的主机狂发数据包，那么可以采用ＡＣＬ策略。限制该主机的数据传输ｉ从而阻断病毒向其他网段的传播，将病毒对网络的影响减小到最小。万方数据ＲＡ（ｅｏｎｆｉｇ）＃ａｃｃｅｓｓ—ｌｉｓｔ２ｄｅｎｙ１７２．１６．１０．３ＲＡ（ｅｏｎｆｉｇ）＃ａｃｃｅｓｓ—ｌｉｓｔ２ｐｅｒｍｉｔｉｐａｎｙａｎｙｔｌＡ（ｅｏｎｆｉｇ）＃ｉｎｔｆＩ／０ＲＡ（ｃｏｎｆｉｇ—ｉｆ）＃ｉｐａｃｃｅｓｓ—ｇｒｏｕｐ２ｉｎＲＡ（ｅｏｎｆｉｇ—ｉｆ）＃ｅｘｉｔ３．３保护重要端口免受攻击针对微软操作系统的漏洞，一些病毒程序和漏洞扫描软件通过ＵＤＰ端口１３５、１３７、１３８、１４３４和ＴＣＰ端口１３５、１３７、１３９、４４５、４４４４、５５５４、９９９５、９９９６等进行病毒传播和攻击，可如下设置访问控制列表阻止病毒传播和黑客攻击。ａｃｃｅｓｓ—－ｌｉｓｔ１０１ｄｅｎｙｕｄｐａｎｙａｎｙｅｑ１３５ＩｔＣＣｅｓＳ—・ｌｉｓｔ１０１ｄｅｎｙｕｄｐａｎｙａｎｙｅｑ１３７ａｃｅ．ｓ—－ｌｉｓｔ１０１ｄｅｎｙｕｄｐａｎｙａｎｙｅｑ１３８ａＣＣ皓，Ｓ——ｌｉｓｔ１０１ｄｅｎｙｕｄｐａｎｙａｎｙｅｑ１４３４ａｃｃｅｓｓ—－ｌｉｓｔ１０１ｄｅｎｙｔｅｐａｎｙａｎｙｅｑ１３５ａＣＣｅｓＳ—・ｌｉｓｔ１０１ｄｅｎｙｔｏｐａｎｙａｎｙｅｑ１３７ａＣＣｅｓＳ—－ｌｉｓｔ１０１ｄｅｎｙｔｏｐａｎｙａｎｙｅｑ１３９ａｃｃｅｓｓ—ｌｉｓｔ１０１ｄｅｎｙｔｅｐａｎｙａｎｙｅｑ４４５ａｃｃｅｓｓ—ｌｉｓｔ１０１ｄｅｎｙｔｏｐａｎｙａｎｙｅｑ４掣珥ＩＩＣＣｅｓＳ—－ｌｉｓｔ１０１ｄｅｎｙｔｃｐａｎｙａｎｙｅｑ５５５４ａＯＣｅｓＳ—・ｌｉｓｔ１０１ｄｅｎｙｔｅｐａｎｙａｎｙｅｑ９９９５ａｃｃｅｓｓ—ｌｉｓｔ１０１ｄｅｎｙｔｏｐａｎｙａｎｙｅｑ９９９６ａｃｃｅ鹞一ｌｉｓｔ１０１ｐｅｒｍｉｔｉｐａｎｙａｎｙＲｂ（ｅ幻ｎｆｉｇ）＃ｅｘｉｔＲｂ（ｃｏｎｆｉｇ）＃ｉｎｔｆｌ／１Ｒｂ（ｅｏｎｔｉｇ—ｉｆ）＃ｉｐａｃｃｅｓｓ—ｇｒｏｕｐ１０１ｏｕｔ砧（ｅｏｎｆｉｇ—ｉｆ）＃ｅｘｉｔ４总结ＡＣＬ技术和园区网络管理相结合是一项很有前景的技术，它解决了我们网络管理上的很多难题，使得园区网络有了一个更安全的运行环境。由于ＡＣＬ是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有局限性，如无法识别到具体的用户，无法识别到应用内部的权限级别等。因此，要对园区网络有一个更完善的管理，我们还需要结合系统级、应用级的访问权限控制以及防火墙、人侵检测、内网安全系统等一些网络安全技术。参考文献［１］高峡等．网络设备互联学习指南［Ｍ］．北京：科学出版社，２００９，４．［２］梁广民等．思科网络实验室路由、交换实验指南［Ｍ］．北京！电子－ｒｔｋ出版社，２００７．【３］唐子蛟等。基于ＡＣＬ的网络安全管理的应用研宄【】］．四川理工学院学报（自然科学版），２００９。２．［责任编辑：赵伟］９

路由器访问控制列表(ACL)及其实现技术研究作者：作者单位：刊名：英文刊名：年，卷(期)：汪小霞， Wang Xiaoxia健雄职业技术学院,江苏太仓,215411郑州铁路职业技术学院学报JOURNAL OF ZHENGZHOU RAILWAY VOCATIONAL AND TECHNICAL COLLEGE2011,23(1)

本文链接：/Periodical_