ACL技术在网络安全中的应用

高焕超

摘要：访问控制列表（ACL）被广泛应用在路由器和三层交换机上，它是用来过滤和控制数据包的一种访问控制技术。该文主要阐述了访问控制列表的基本概念、主要功能、工作过程及配置，并以H3C路由器为例说明了访问控制列表在网络安全方面的具体应用，同时给出了ACL的关键配置代码。

关键词：ACL；网络安全；控制列表；路由器

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）01-0024-02

随着计算机网络的普及和网络应用的快速发展，网络的安全性问题也日益突出，因此为了防止网络入侵，同时提高网络的安全性，需要网络设备具有对通信数据的访问控制能力，ACL（Access Control List）是一种基于数据包过滤的技术，它被应用在网络设备上，可以对进出设备数据包的源、目的地址、端口、协议等信息进行过滤，从而判断并做出对数据包进行转发或丢弃的动作，实现对网络访问进行安全控制的目的。

1 ACL的概念及工作原理

1.1 访问控制列表的基本概念

访问控制列表简称ACL是一种访问控制技术，被广泛应用在路由器和三层交换机上，该文主要介绍H3C MSR系列路由器的ACL技术，该路由器ACL使用包过滤技术，可以对进出网络设备接口的数据做出拒绝和接受的动作，从而可以对数据包进行访问控制。

1.2 访问控制列表的工作过程

路由器包过滤技术可以对设备出入网络接口的数据包进行控制，而ACL是实现路由器包过滤技术的核心，它可以在网络接口通信的不同方向上设置ACL过滤规则，当路由器接收到外部网络所发送的数据包时，将会被设备在入口通信方向上的ACL所匹配，这种配置可以防止外网非法用户对内网资源的访问，达到保护内网的目的。当内网通过路由器与外网主机进行通信时，数据包将会被路由器出口通信方向上的ACL所匹配，这种配置适用于防止内部用户非法访问外部资源的情况 [1] 。

1.3 访问控制列表的分类

1.3.1 基本访问控制列表

基本访问控制列表只根据分组中的源IP地址信息进行过滤，占用路由器的资源较少，应用比较广泛，但是控制级别较低，主要适用于过滤从特定 IP 地址段来的报文的情况，H3C路由器基本访问控制列表的数字序号为2000～2999[2]。

1.3.2 扩展访问控制列表

扩展访问控制列表比基本访问控制列表具有更多的匹配项，它可以根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等第三、四层信息进行过滤，使用扩展访问控制列表，通常适用于允许或拒绝某个特定的协议的情况，H3C路由器扩展访问控制列表的数字序号为3000～3999[3]。

1.3.3 二层的访问控制列表

二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息进行报文的分析和规则的制定。H3C设备二层访问控制列表的数字序号为4000～4999。

1.4 访问控制列表的配置

在配置ACL之前，应该对ACL的设置规则有所了解，一般规则如下：

1）基本型ACL应尽量设置在距离数据包目的IP地址近的网络设备上，而扩展型ACL应尽量设置在距离数据包源IP地址近的网络设备上[4]。

2） ACL中具有限制性操作的配置命令一般应配置在首行，并按照从特殊到一般的规则进行设置。

3） 对于新添加的配置信息应当添加到当前ACL配置信息的尾部。

4）设置的ACL不能对路由器本身发出的数据包进行过滤[4]，只能对出入路由器接口的流量进行过滤。

在一个网络接口上遵循配置规则对访问控制列表进行配置的流程如下：

1）生成访问控制列表的命令序列；

2） 指明应用访问控制列表的网络接口；

3） 指明访问控制列表在网络接口上的具体应用方向[5]。

2 ACL在网络安全中的应用

1） 要求PCA不能访问NetworkA和NetworkB，但可以访问其他所有网络。

ACL主要配置代码如下：

[RTA] firewall enable

[RTA] acl number 2000

[RTA-acl-basic-2000] rule deny source 172.16.0.1 0.0.0.0

[RTA-Ethernet0/1] firewall packet-filter 2000 inbound

2） 要求：限制学生上QQ，网段为10.10.20.0。

限制QQ 的访问需要限制 IP 地址和端口的访问，所以使用扩展 ACL，需要了解QQ 软件访问的服务器 IP 地址和端口号。

ACL配置代码内容如下：

Rule deny tcp source 10.10.20.0 0.0.0.255 destination 61.144.238.145 0.0.0.0 destionation-port eq 8000

Rule deny tcp source 10.10.20.0 0.0.0.255 destination 61.144.238.146 0.0.0.0 destionation-port eq 8000

这里只列举了2 条 ACL 控制语句，QQ 的服务器和相应的端口都很多，在具體使用中需要时常配合其他工具才能得到具体信息，并更新 ACL 列表的内容。

3）ACL实现流量控制。

目前，大量占用高带宽的网络下载工具是使网络变慢的一个重要的原因，例如电驴、迅雷、BT等，电驴占用的是TCP的4662端口和UDP的4772端口.迅雷则是使用3076到3078端口。BT软件的端口一般是6881到6890，我们可以使用ACL实现对这些软件流量控制的目的。

4）防止病毒传播和黑客入侵

针对windows操作系统的漏洞，一些病毒程序和漏洞扫描软件通过UDP端口135、137、138、445、1434和TCP端口135、137、138、139、445、4444、5554、9995、9996等進行病毒传播和攻击，我们只需在路由器面向外部的端口上设置以下访问控制列表语句即可达到阻止病毒传播的目的[7]。

另外，在黑客入侵服务器时一般会先使用 Ping 命令来探测目标主机是否在线，然后再使用工具软件扫描其开放端口，如果 Ping 不通即黑客探测不到目标主机，那么就可以在一定程度上防止黑客的入侵，实现方法是在路由器面向外部的端口上添加如下ACL语句即可实现对 ICMP 数据包的过滤。

rule deny icmp source any destination any

3 结论

本文介绍了访问控制列表（ACL）的基本概念、工作原理及配置，并以H3C路由器为例，介绍了ACL在网络安全中的具体应用，通过对路由器进行访问控制列表的配置，可以使其成为一个基于包过滤技术的防火墙，能对出入设备接口的IP数据包进行过滤，具有防止网络入侵、限制网络访问者的访问时间和访问权限、防止病毒传播的功能。

参考文献：

[1] H3C路由交换[M]. 杭州：杭州华三通讯技术有限公司，2010.4.

[2] 张博.基于ACL 的边界路由策略的应用研究[J].长春大学学报，2010（6）6：88-93.

[3] 单家凌.ACL 在聚合端口上应用研究[J].计算机与数字工程2011（2）：196-198.

[4] 胡海璐，陈曙晖，苏金树.路由器访问表技术研究[J].计算机科学，200l，28（4）：94-96.

[5] 王芳，韩国栋，李鑫.路由器访问控制列表及其实现技术研究[J].计算机工程与设计，2007，28（12）：5638-5639.

[6] 唐子蛟，李红蝉.基于ACL的网络安全管理的应用研究[J].四川理工学院学报（自然科学版），2009，22（1）：48-51.

[7] 范萍，李罕伟.基于ACL的网络层访问权限控制技术研究[J].华东交通大学学报，2004，21（4）：91-95.

[8] 黎连业，张维，向东明.路由器及其应用技术[M].北京：清华大学出版社，2004.