基于ACL的企业园区网络安全设计

　　摘要：该文介绍了ACL技术的工作原理、分类、特性；分析了企业园区网络的特点和存在安全问题；最后给出了通过建立ACL规则来网络的安全性的方法。
　　关键词：企业园区网；网络安全；ACL（访问控制列表）
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)17-4026-02
　　随着信息技术的飞速发展，电子政务、电子商务、企业信息化建设取得了显著成效，园区网络也已经被广泛的应用到企业日常工作、管理中去。与此同时网络安全问题日益突出，安全保密建设任务更加紧迫，如何切实有效的对终端用户的网络访问范围、权限加以控制，对病毒、木马的泛滥加以限制成为企业园区网络安全建设的面临的重要课题。
　　近年来由于三层交换设备在企业园区网络中的广泛应用，通过ACL（Access Control List，访问控制列表）进行数据流控制实现网络安全，变得具有普遍意义。
　　1 ACL技术介绍
　　1.1 ACL的工作原理
　　TCP/IP协议中数据包具有数据包由IP报头、TCP/UDP报头、数据组成，IP报头中包含上层的协议端口号、源地址、目的地址，TCP/UDP报头包含源端号、目的端口，设备信息。（如图1）
　　ACL利用这些信息来定义规则，通过一组由多条deny（拒绝）和permit（允许）语句组成的条件列表，对数据包进行比较、分类，然后根据条件实施过滤。——如果满足条件，则执行给定的操作；如果不满足条件，则不做任何操作继续测试下一条语句。（如：图2）
　　1.2 ACL的分类
　　ACL的分类根据网络厂商及设备IOS版本的不同存在一定的差别，但按照规则的功能一般ACL可以划分以下三种：
　　1）标准ACL：仅使用数据包的源IP地址作为条件来定义规则。
　　2）扩展ACL：既可使用数据包的源IP地址，也可使用目的IP地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型等其他第3层和第4层报头中的其他字段来定义规则。
　　3）基于以太帧的ACL：可根据数据包的源MAC地址、目的MAC地址、以太帧协议类型等其他以太网帧头信息来定义规则。
　　1.3 ACL的特性
　　1）每条ACL应当至少包含一条允许语句，否则将拒绝所有流量。
　　2）ACL被创建后并不是马上生效，只有在被应用到接口时才会过滤流量。
　　3）ACL只过滤通过设备的流量，而不过滤本设备所产生的流量。
　　4）将标准ACL尽可能放置在靠近目的地址的位置，将扩展ACL尽可能放置在靠近在源地址的位置，以避免不必要的流量占用网络带宽。
　　5）避免在核心层设备上大量使用ACL，这将大量占用设备的处理能力。
　　2 企业园区网络安全实例
　　2.1 典型企业园区网络
　　在典型企业园区网络环境中，网络依照三层架构建设及接入层、汇聚层、核心层，各部门通过Vlan划分为多个子网络。终端用户主要应用为OA系统、电子邮件以及部门打印机。（如图3）
　　2.2 企业园区网络所面临的安全问题
　　传统意义上的网络安全考虑的是防范外部网络对内网的攻击行为，即来自于英特网的攻击行为。外网安全威胁模型假设内部网络都是安全可信的，威胁都来自于外部，其途径主要通过内外网络边界出口，只要将网络边界处的安全控制措施做好，即可确保整个网络的安全。传统防火墙、入侵检测、防病毒网关和VPN设备都是基于这种思路来设计的。
　　事实上，内部网络并非完全安全可信。内部网络包含大量的终端、服务器和网络设备，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，威胁既可能来自外网，也可能来自内网的任何一个节点上，实现一个可管理、可控制和可信任的内网已成为维护企业网络系统正常运行，充分发挥信息网络效益的必然要求。
　　目前，对企业内部园区网络的常见安全问题有以下几点：
　　1）在企业管理中需要避免各个部门之间网络的相互影响，限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。
　　2）防止内网已有病毒在网络上的扩散传播，控制并减少病毒侵害的范围。
　　3）防止未经授权的非法终端设备接入网络，对网络中的设备进行。
　　2.3 ACL策略实现
　　对于企业园区网中的上述问题，以Cisco三层交换机为例设配置ACL策略，实现安全防范。
　　1）企业园区网络各部门Vlan收敛于核心交换机，因此在核心交换机上使用扩展ACL实现Vlan指定访问。
　　Switch（config）# access-list 101 permit any 192.168.254.0 0.0.0.255//允许目的地址为服务器区域地址段
　　Switch（config-if）# interface vlan 10 //进入vlan10的网关
　　Switch（config-if）# ip access-group 101 out //比对vlan10网关的出输数据包
　　2）大部分病毒利用软件、操作系统的漏洞通过开放的端口实施侵入，常用端口有136、137、138、445等，所以在汇聚层交换机上使用扩展ACL实现网络防护，将病毒影响控制在有限的范围内。
　　Switch（config）# access-list 102 deny udp any any eq 135//拒绝任意主机间通过135端口的UDP数据包
　　Switch（config）# access-list 102 deny udp any any eq 136
　　Switch（config）# access-list 102 deny udp any any eq 137
　　Switch（config）# access-list 102 deny udp any any eq 138
　　Switch（config）# access-list 102 deny udp any any eq 445
　　Switch（config）# access-list 102 deny tcp any any eq 135
　　Switch（config）# access-list 102 deny tcp any any eq 136
　　Switch（config）# access-list 102 deny tcp any any eq 137
　　Switch（config）# access-list 102 deny tcp any any eq 138
　　Switch（config）# access-list 102 deny tcp any any eq 445
　　Switch（config）# access-list 102 permit ip any any//允许任意主机之间的访问
　　Switch（config）#intface GigabitEthernet 0/1//进入汇聚交换机下联端口
　　Switch（config-if）# ip access-group 102 in//比对端口输入数据包
　　3）由于非法接入动作发生于交换机接入层，所以在接入层交换机端口上使用基于以太帧的ACL对接入端口的MAC地址进行绑定，实现网络接入安全。
　　Switch（config）# mac access-list extended f0/1//建立命名为f0/1的ACL
　　Switch（config-ext-mac）# permit any host H.H.H//允许任意地址访问MAC地址为H.H.H的主机
　　Switch（config-ext-mac）# permit host H.H.H any//允许MAC地址为H.H.H的主机访问任意地址
　　Switch（config）# intface fastEthernet 0/1//进入终端接入端口
　　Switch（config-if）# mac access-group f0/1 in //比对端口输入数据帧
　　3 结束语
　　ACL在本质上是一系列对包进行分类的条件，通过ACL网络管理员可以对企业园区网络中的传输流量做到精确控制，防止病毒在网络中的扩散，保护敏感设备远离未授权的访问。
　　参考文献：
　　[1] Andre