ACL技术在医院局域网中的实施和应用

应旭锋，叶晓景，赵雪雷，陈文迪，黄智勇解放军第113医院信息科，浙江宁波　315040

论著

ACL技术在医院局域网中的实施和应用

应旭锋，叶晓景，赵雪雷，陈文迪，黄智勇
解放军第113医院信息科，浙江宁波315040

访问控制列表（Access control list），简称ACL，是在交换机、路由器上设置一条或多条访问规则来管理和限制数据流的一种技术，它的作用是提高网络运行效率及网络服务质量，降低网络威胁，保障网络安全运行。该文详细介绍了访问控制列表的基本概念和工作原理，并以覆盖内部局域网、医保网等网络组成的环境较为复杂的医院网络为背景，根据各种应用环境制定相应实施计划，具体配置方法，以及ACL实施应用后给该院网络带来的最终效果。

ACL；局域网；网络安全

［Abstract］Access control list，abbreviated as ACL，as a technology for managing and restricting data stream by setting one or more access rules on the switch and router，its function is to improve the network operational efficiency and network service quality，reduce the cyber threat and ensure the safe operation of network.The paper introduces the basic concept and working principle of the access control list in detail，and it brings the final effect to the network in our hospital after the ACL is implemented by making corresponding implementation plans and specific configuration methods according to the various application environments under the background of covering the complex hospital networks such as Internal LAN and medical insure net.

［Key words］ACL；LAN；Network security

该院HIS网络始建于2000年，随着医院业务范围的逐渐扩大，各种医疗设备系统软硬件的不断投入部署，网络设备和网络终端也在相应增加，网络环境逐步扩大化、多样化、复杂化。尤其是近几年，信息化系统飞速发展，该院不断新增及完善HIS系统（医院信息化系统）、PACS系统（影像传输系统）、LIS系统（检验系统）、RIS系统（病理系统）、移动医护系统、微信支付宝支付平台、OA系统、智能楼宇等系统，全面覆盖了医疗、护理、科研、管理等各方面。网络承载的数据量日益增长，各种复杂的数据交互对该院的网络安全构成比较大的威胁。为有效控制网络中复杂的数据流，确保该院网络及数据的安全，该院通过ACL来保障网络资源不被非法访问和使用。

1　ACL的定义

ACL（Access control list）即访问控制列表，是客户和网络服务提供者之间协商一个服务级别协定（SLA Service Level Agreement），用于支持QOS（Quality of Service），提高网络服务质量。它是一组由permit或deny以及源IP地址、目的IP地址、协议类型组成的语句，用来控制网络的数据流向等。

2　ACL的分类

ACL按过滤范围来分，可分为标准ACL和扩展ACL［1］。标准ACL基于源地址为过滤标准，只能粗略地限制某一大类协议，标准ACL一般配置在距离目的网络最近的路由器上。而扩展ACL是基于协议类型、源地址、目标地址、源端口、目的端口为过滤标准，可以精确限制到某一种具体的协议，扩展ACL一般被配置在距离源网络最近的路由器上。

3　ACL的基本原理和工作过程

访问控制列表是应用在交换机、路由器或操作系统上的指令列表，使用包过滤技术，在路由器上读取第二层、第三层及第四层包头中的信息源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。适用于以下不同场合：允许或禁止对路由器交换机或来自路由器交换机的telnet访问；QOS（服务质量）与队列技术；策略路由；数据速率限制；路由策略；端口流镜像；NAT（网络地址转换）等。

ACL工作过程如图1所示。

图1　

ACL的执行顺序是自上而下的，当数据包到达时，数据包信息将与ACL中语句逐条匹配，每个ACL末尾都隐藏一条deny any any的拒绝语句，如果数据包跟ACL中的某个语句相匹配，那么后面的语句将被跳过，当数据包信息与末尾语句之前任意一条语句规则 （permit或deny）不匹配时，数据包将与最后一条语句匹配，然后做丢弃处理。所以应该把最详细的ACL语句放在顶部，把不详细的语句放在列表的底部。

4　ACL的具体应用

4.1实施计划

创建ACL，达到如下需求。

①各业务部门之间禁止相互访问，只能访问服务器。减少网络流量负载、病毒、广播风暴等网络威胁。②管理员计算机可以访问所有部门计算机，并且可以telnet远程管理网络交换机，及时有效保障设备安全。③限制外部网络对web服务器http，sql服务器1433，ftp服务器ftp端口的访问。④关闭部分易被攻击端口，防止病毒入侵、传播。禁止非法使用tracertoute、ping等命令嗅探网络。

4.2实施步骤

①各业务部门vlan之间禁止相互访问，只能访问服务器所在vlan。

Vlan1：服务器、管理员PC；IP：192.168.0.0/24

Vlan 100：1号楼PC；IP：192.168.10.0/24

Vlan 200：2号楼PC；IP：192.168.20.0/24

Vlan 300：3号楼PC；IP：192.168.30.0/24

核心交换机上配置如下：

hx（config-if）#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255

//允许vlan100访问vlan1

hx（config-if）#access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.0.255

//允许vlan200访问vlan1

hx（config-if）#access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.0.0 0.0.0.255

//允许vlan300访问vlan1

hx（config）#int vlan 100

hx（config-if）#ip access-group 101 in

//将ACL应用到vlan100上

…

②管理员计算机可以访问所有部门计算机，并且可以telnet远程管理网络交换机。

Vlan 700：交换机管理Vlan；IP：192.168.70.0/24

hx（config-if）#access-list 102 permit tcp 192.168.0.0 0.0.0.255 192.168.70.0 0.0.0.255 eq 23

//允许指定IP地址段通过telnet管理交换机

hx（config-if）#access-list 102 permit tcp 192.168.0.0 0.0.0.255 192.168.70.0 0.0.0.255 eq 161

//允许指定IP地址通过SNMP或HTTP协议访问交换机

hx（config）#int vlan 700

hx（config-if）#ip access-group 102 out

//将ACL应用到交换机管理vlan700上

③与防火墙策略结合使用，共同限制医保网等外部网络通过前置机对web服务器http，sql服务器1433，ftp服务器ftp端口的访问。

Route（config）#access-list 103 deny tcp any host 192.168.0.1 eq www

Route（config）#access-list 103 deny tcp any host 192.168.0.2 eq 1433

Route（config）#access-list 103 deny tcp any host 192.168.0.3 eq ftp

④在路由器里设置ACL，关闭135、136、137、138、445、1434等易被攻击端口［2］，防止病毒通过这部分端口进行传播，同时防止非法使用tracertoute、ping等命令嗅探网络。

Route（config）#access-list 103 deny udp any any eq 135

Route（config）#access-list 103 deny udp any any eq 136....

Route（config）#access-list 103 deny tcp any any eq 135

Route（config）#access-list 103 deny tcp any any eq 136....

Route（config）#access-list 103 deny icmp any any echo

Route（config）#access-list 103 deny icmp any any echo-reply

Route（config）#access-list 103 deny icmp any any unreachable

Route（config）#access-list 103 deny icmp any any anypacket-too-big

Route（config）#access-list 103 deny icmp any any time-exceeded

Route（config）#access-list 103 deny icmp any any traceroute

Route（config）#access-list 103 deny icmp any any log

Route（config）#access-list 103 permit ip any any

语句的最后需要加上一条允许ACL，否则任何数据包都将无法访问。

5　结语

网络安全威胁既可以来自于外部网络，也存在于内部网络。添加适当的访问控制列表有利于增强网络的安全性、稳定性、高效性。该院自从应用了如上访问控制列表，网络的各种不稳定因素减少到了最小，工程师的维护量也明显减轻，网络运行效率得到显著提升。

［1］梅申信.访问控制列表在网络安全中的应用［J］.甘肃科技2008，24（9）：28-30.

［2］邝英伟.ACL在企业网络安全中的应用［J］.福建电脑，2009 （9）：96-97.

Implementation and Application of ACL Technology in the Hospital VLAN

YING Xu-feng，YE Xiao-jing，ZHAO Xue-lei，CHEN Wen-di，HUANG Zhi-yong
Department of Information，PLA 113th Hospital，Ningbo，Zhejiang Province，315040 China

R197.32

A

1672-5654（2016）04（c）-0001-03

10.16659/j.cnki.1672-5654.2016.12.001

应旭锋（1983.10-），男，浙江东阳人，大专，工程师，研究方向：计算机网络与应用。

黄智勇（1971.1-），男，湖南株洲人，本科，馆员，研究方向：医院信息管理，邮箱：jd21@163.com。

2016-01-25）