动态访问控制列表在企业网络安全中的应用

1 企业网中存在的网络安全问题

信息时代的到来，企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全还处于起步阶段，基础薄弱，导致信息安全存在一些问题，常见的有网络攻击、病毒和“黑客”等，这些给企业造成直接的经济损失，成为企业信息的最大威胁，使企业信息存在着风险。

（1）网络攻击

网络攻击就是对网络安全威胁的具体表现，利用网络存在的漏洞和缺陷对系统和资源进行攻击。最近几年里，网络攻击技术和攻击工具有了新的发展，使借助Internet运行企业面临着前所未有的风险。由此可知，企业信息安全问题、以及对信息的安全管理都是重要的。要保证企业信息安全，就必须找出存在问题的根源，并具有良好的安全管理策略。

（2）病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并能够自我复制的计算机指令或者程序代码，它具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾，据统计，计算机病毒种类已经超过4万多种，而且还以每年40%的速度在递增，随着Internet技术的发展，病毒在信息系统中传播的速度越来越快，其破坏性也越来越强。

（3）“黑客”攻击

“黑客”是英文 Hacker的谐音，黑客是利用技术手段进入权限以外的计算机系统的人。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等侵入计算机系统，盗窃保密信息，进行信息破坏。

面对企业中的问题，企业需要科学有效的手段来解决，而动态访问控制则可以帮助企业解决难题，保障网络安全。

2 动态访问控制列表简介

2.1 动态访问控制列表的定义

动态访问控制列表也被称为lock-and-key ACL，仅支持IP流量，下面简称动态ACL。动态ACL是对传统ACL的一种重要功能增强。动态ACL是能够创建动态访问表项的ACL。传统的标准ACL和扩展ACL不能创建动态访问表项。一旦在传统ACL中加入了一个表项，除非手工删除，该表项将一直产生作用。而在动态ACL中，网络管理员可以根据用户认证过程来创建特定的、临时的ACL语句。

2.2 动态访问控制列表的工作过程

动态 ACL 依赖于 telnet远程登录连接，当用户通过 telnet远程登录到路由器并验证通过时，telnet进程会自动断开，并同时动态产生一条临时ACL语句。当一段时间内，无该语句相关流量通过，临时ACL语句消失。其工作过程如下：

（1）用户使用虚拟终端软件通过telnet协议远程登录到配置了动态ACL的边界路由器；

（2）边界路由器接收到telnet数据包后，会打开一个telnet会话，要求用户提供认证，用户如要通过该路由器访问另一端的设备必须通过认证。这一步可以通过本地路由器验证，也可以由诸如TACACS+或RADIUS服务器之类的一个中心安全访问中心来实施；

（3）用户通过认证后会登出telnet会话，然后边界路由器就会在动态ACL里产生一个临时性ACL语句；

（4）用户开始交换数据；

（5）当配置的超时计时器到时，路由器会删除临时访问列表，或者可以由管理员手动删除之。

2.3 动态访问控制列表的配置

动态ACL的语法如下所示：

access-list dynamic[timeout][permit |deny]

其中第一项与传统的扩展 ACL的格式相同，其号码介于 100~199之间；第二个参数是动态访问表项的字符串名称；[timeout]参数是可选的，如果使用了timeout参数，则指定了动态表项的超时绝对时间；< protocol>参数可以是任何传统的 TCP/IP协议，如 IP、TCP、UDP、ICMP等等；、、和与传统的扩展ACL格式相同。对于目的I P地址，最安全的方式是指定单个子网，或者甚至为单个主机。因为在每个ACL中不能指定多个动态访问表项，所以在protocol中一般设置为IP或者TCP。

2.4 动态访问控制列表的作用

在传统的ACL中，如果处于路由器不可信任端的用户需要访问内部的资源，就必须永久性地在ACL中开启一个突破口，以允许这些用户的工作站上的报文进入可信任网络。这些在ACL中的永久性的突破口给黑客发送报文进入安全边界，并达到内部网络提供了机会。这种情况可以通过只允许特定的可信I P源地址的报文进入内部，解决部分问题。但是，假设用户不是使用静态的I P地址，则上述的方法就不起作用了。例如，用户可以通过Internet服务提供者（Internet Service Provider，ISP）拨号进入Internet。一般情况下，家庭用户每次拨入I S P时，其I P地址都是不同的，所以，如果不在安全边界上开启一个很大的突破口的话，就不能够允许来自这些用户的报文通过，而如果这样做，又给黑客们提供了可乘之机。在这种情况下使用动态ACL，能够比使用传统ACL提供更高的安全级别。

接下来便在某企业网络的工程项目中应用动态ACL，既可以满足项目需求，又保障了网络的安全。

3 动态访问控制列表在企业网络安全中的应用

图1是某企业网络部分拓扑图，在原来该企业的网络环境中，考虑到网络的安全性，不允许外部网络的主机访问内部服务器的网站，同时财务部电脑不可以访问互联网。随着该企业规模的逐步增大。现在要对该网络进行改造，要求在不添加任何网络设备的前提下，打破限制条件，同时保障网络的安全，在访问前必须通过认证，只有认证通过后才可以访问。在经过多个方案的筛选后，最终选择在核心层路由器上配置动态ACL来完成该项目。下面是该项目的部分实现代码。

图1 某企业网络部分拓扑

3.1 定义动态访问控制列表

（1）定义ACL，实现外部网络的主机可以访问内部服务器的网站

R1（config）#access-list 100 permit tcp any host 100.0.0.1 eq telnet

//定义访问控制列表 100，允许外部网络的主机可以通过telnet协议远程登录到核心层路由器上。

R1（config）#access-list 100 dynamic DYN1 timeout 3 permit tcp any192.168.20.0 0.0.0.255 eq www

//如果 telnet认证通过，便在访问控制列表100中临时添加一条语句，允许外部网络的主机可以访问内部服务器的 web网站，超时时间为3分钟。

（2）定义ACL，实现财务部电脑可以访问互联网

R1（config）#access-list 101 permit tcp 192.168.10.0 host 192.168.0.1

eq telnet

//定义访问控制列表101，允许财务部电脑可以通过telnet协议远程登录到核心层路由器上。

R1（config）#access-list 101 dynamic DYN2 timeout 3 permit ip 192.168.

10.0 0.0.0.255 any

//如果telnet认证通过，便在访问控制列表101中临时添加一条语句，允许财务部电脑可以访问互联网，超时时间为3分钟。

3.2 应用动态访问控制列表

R1（config）#int se0/0/0

R1（config-if）#ip access-group 100 in

//将访问控制列表100应用在R1的se0/0/0入方向上。

R1（config）#int gi0/1

R1（config-if）#ip access-group 101 in

//将访问控制列表101应用在R1的gi0/1入方向上。

3.3 配置telnet服务

R1（config）#line vty 0 4

R1（config-line）#login local

//访问telnet服务要通过本地认证。

R1（config）#username guest password 123

R1（config）#username guest autocommand access-enable timeout 3

//创建guest用户，密码是123。利用该用户来激活动态ACL，超时时间3分钟。

至此配置完成。今后不管是外部网络的主机要访问内部服务器还是财务部电脑要访问互联网，首先都需通过telnet协议远程登录到核心层路由器上进行认证，只有认证成功后方可进行访问。