一、引言
随着网络上的资源越来越丰富,网络安全问题也开始突现,为此需要一种机制对网络资源的访问进行有效控制。访问控制列表ACL是网络访问控制的基本手段,它可以限制网络流量,提高网络性能。在路由器或交换机的接口上配置ACL后,可以对进出接口及通过接口中继的数据包进行安全检测。本文重点讨论如何利用ACL来提高网络安全性。
二、ACL的类型
(一)Standard或Extended IP ACLs
标准ACL只能针对源地址进行报文过滤,功能少局限性大。扩展ACL可对源地址、目的地址和上层协议数据进行过滤。
(二)MAC Extended ACLs
可对任意源/目的MAC地址的报文设置允许其通过或拒绝的条件。
(三)基于时间的ACLs
可以使ACL基于时间进行运行,如工作时间段内禁止使用QQ。
(四)Expert Extended ACLs
可实现对VLAN/网段的过滤,限制某些网络只能使用特定的应用。如,禁止学生自习时间玩网络游戏,只要给教室分配一个网段,对这个网段应用ACL,在这个时间段禁止网络游戏报文的传输即可。
三、ACL在构建企业网安全中的应用
1.限制远程的非法登录
网络管理员经常通过虚拟终端vty接口登录到路由器对其进行配置和管理,如果只有访问口令一层安全保护,而不对登录路由器的主机进行限制,这将使路由器安全性不高。如果在vty接口上应用ACL进行远程登录控制,可以很大程度增加路由器的安全性。例如,只允许192.168.1.X的主机使用Telnet登录路由器,则网络配置命令为:
router(config)#access-list 16 permit 192.168.1.0 0.0.0.255
router(config)#line vty 0 4
2.根据不同的用户群定义数据的流向
企业网建立之后可能会出现很多问题。例如,任何一台PC均能访问总经理的PC,或某员工非法进入财务处计算机等。解决这类问题的简单方法就是在关键的接口处应用ACL,对用户进行访问限制。例:允许来自特定网段(192.168.1.x)的任一主机,拒绝其它任一主机,达到某一部门数据保密的目的,实现数据的单向流动,则配置如下:
SwitchB(config)#ip access-list standard permit_host192.168.l.x
SwitchB(config-std-nacl)#permit 192.168.1.0 0.0.0.255 any
SwitchB(config-std-nacl)#deny any
3.访问时间权限控制
基于时间的ACL可以为一天中的不同时段,或者一星期的不同日期,制定不同的访问控制策略,从而满足用户对网络的灵活需求。例如:要求上班时间(周一到周五的9:00-18:00)不允许部门职员访问互联网的ftp服务器,则配置如下:
Switch(config)#time-range no-ftp
Switch(config-time-range)#absolute start 8:00 15 5 2010 end8:00 1 5 2020
Switch(config-time-range)#periodic weekdays 9:00 to 18:00
Switch(config)#ip access-list extended deny_ftp
Switch(config-ext-nacl)#deny tcp any any eq ftp time-range no-ftp
Switch(config-ext-nacl)#permit ip any any
4.应用ACL防范病毒
病毒入侵经常会使用某些特殊端口,如135、445等,关闭这些端口可有效防止常见病毒的攻击。例如最近公司网络内发现冲击波病毒,造成了很多地方感染,网络瘫痪。我们可以利用S21系列智能交换机的ACL功能做出限制,禁止其转发和传播,配置命令为:
access-list 115 deny udp any any eq 69
access-list 115 deny tcp any any eq 135
access-list 115 deny udp any any eq 135
access-list 115 deny udp any any eq 137
access-list 115 deny udp any any eq 138
access-list 115 deny tcp any any eq 139
access-list 115 deny udp any any eq 139
access-list 115 deny tcp any any eq 445
access-list 115 deny tcp any any eq 593
access-list 115 deny tcp any any eq 4444
access-list 115 permit ip any any5.防止IP地址盗用
专家级ACL可以利用MAC地址、IP地址、VLAN号、传输端口号、协议类型等定义规则,按照规则进行访问控制,保证网络安全。假设有人利用某些网络工具试图对企业服务器进行攻击和访问,我们就可以用专家级ACL,对攻击方的IP地址和MAC地址进行绑定,拒绝其访问服务器。例:要求只有总经理主机(192.168.1.1)可访问ftp服务器192.168.10.10,则配置如下:
Switch(config)#expert access-list extentded jingli
Switch(config-ext-macl)#permit tcp host 192.168.1.1 host 00d0.f800.0099 host 192.168.10.10 any eq ftp
5.流量控制
企业网内用户利用BT等工具下载电影,占用了大量带宽,影响了企业网的正常使用。此时,可采取ACL限制企业网外的用户对网内的BT用户发起连接,或利用ACL对不同数据流分配不同的带宽,从而限制流量。例:只允许企业网内的主机主动与网外的主机建立TCP连接,不允许网外的主机对网内的主机主动发起连接,则配置如下:
Router(config)#access-list 120 permit tcp any any gt 1023 established
Router(config)#access-list 120 permit tcp any any
四、小结
本文通过在路由器或交换机上建立ACL,列举了ACL在企业网控制方面的几个具体应用,可见ACL在削减网络安全威胁方面的作用是强大的。通过以上配置实例,使路由器成为一个包过滤防火墙,提高了企业网络的安全性。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:ACL构建企业网安全