◆汪海濤 石靈心 戴宏明

（1.廣東科貿(mào)職業(yè)學院信息與自動化學院 廣東 510620；2.廣東輕工職業(yè)技術學院管理學院 廣東510300）

1 引言

在網(wǎng)絡系統(tǒng)中，時常需要根據(jù)網(wǎng)絡管理者的意圖，讓某些滿足條件的數(shù)據(jù)包可以通過，不滿足條件的數(shù)據(jù)包拒絕通過，這時就需要用到ACL。ACL 即訪問控制列表，通過定義ACL，可以實現(xiàn)數(shù)據(jù)包的過濾規(guī)則[1]。

ACL 的類別可以分為：標準ACL 和擴展ACL。標準ACL 只檢查數(shù)據(jù)包的源地址，擴展ACL 檢查數(shù)據(jù)包的源地址、目的地址、協(xié)議、端口。首先，根據(jù)網(wǎng)絡管理者的意圖定義好ACL，然后將ACL綁定在數(shù)據(jù)包通過三層設備的某個接口，那么這個ACL 過濾規(guī)則便生效了。在特殊情況下，網(wǎng)絡管理者要求過濾規(guī)則是用戶對Ⅰnternet發(fā)起請求的回路信息可以通過，但是來自Ⅰnternet 對用戶的主動訪問被拒絕，就需要使用自反ACL 這一特殊功能[2]。

2 自反ACL 的定義

自反訪問列表ACL（Reflexive Access Lists），Reflexive 翻譯過來即自反的意思。自反ACL 會根據(jù)一個方向的訪問控制列表，自動生成另一個反方向的控制列表，該反方向的控制列表和原本控制列表的源地址和目的地址反轉(zhuǎn)，而且源端口號和目的端口號也相應反轉(zhuǎn)的一個列表[3]。有的情況下，這個反轉(zhuǎn)的列表還匹配了時間限制，過了有效時間就會超時，這個新創(chuàng)建的自反列表就會消失，這樣極大地提高了網(wǎng)絡的安全性[4]。

自反ACL 不能直接應用到路由器或者是三層交換機的接口，而是“嵌套”在接口所使用的擴展命名ACL 中，然后網(wǎng)絡管理者將這個擴展命名的ACL 綁定到三層設備的某個接口。自反ACL 不能單獨定義，只能在擴展命名ACL 中定義。自反ACL 不可以在編號ACL 或標準命名ACL 中定義，也不能在其他協(xié)議ACL 中定義[5]。

3 自反ACL 的特點

自反ACL 的特點是讓出站數(shù)據(jù)包的目的地收到數(shù)據(jù)包后，發(fā)出的相應的應答流量回到該出站數(shù)據(jù)包的源地址。網(wǎng)絡管理者制定規(guī)則時，允許這種應答流量通過，并返回到出站數(shù)據(jù)包的源地址。但拒絕來自外部用戶對源地址主動發(fā)起的數(shù)據(jù)流量[6]。

網(wǎng)絡管理員使用自反ACL 來允許從內(nèi)部網(wǎng)絡發(fā)起會話的ⅠP應答流量，同時拒絕外部網(wǎng)絡發(fā)起的主動ⅠP 流量。因此，自反ACL 應用在網(wǎng)絡三層設備中，使得網(wǎng)絡管理者可以動態(tài)管理會話流量。三層設備檢查出站的數(shù)據(jù)包，就會在臨時ACL 中添加條目以允許針對該出站的應答數(shù)據(jù)包進入[7]。自反ACL 只創(chuàng)建臨時條目，當新的會話開始，有用戶數(shù)據(jù)包出站，這些條目將自動產(chǎn)生，當應答信息返回到源地址，本次會話結束時三層設備自動刪除這些條目[8]。

自反ACL 相比基本的ACL 具有以下幾個優(yōu)點：

（1）自反ACL 使用簡單。與標準和擴展ACL 相比，他對網(wǎng)絡傳輸中的數(shù)據(jù)包實施更強的控制。自反ACL 是允許高層會話信息的ⅠP 數(shù)據(jù)包過濾規(guī)則。

（2）自反ACL 可以較安全的保護內(nèi)部網(wǎng)絡，因為他可以阻止從外部網(wǎng)絡主動發(fā)起的訪問內(nèi)部用戶的流量，但是外網(wǎng)對內(nèi)網(wǎng)用戶的應答流量可以通過。

（3）自反ACL 是臨時產(chǎn)生的，有用戶數(shù)據(jù)包出站，這些自反ACL 將自動產(chǎn)生，當Session 結束時，自反ACL 就被自動刪除。

（4）自反ACL 不能直接被定義為列表號或者是名稱，而是嵌套在一個擴展命名訪問列表下的。

4 自反ACL 實現(xiàn)單一方向防火墻方案設計實現(xiàn)

4.1 方案建設原則

本項目以自反ACL 技術為核心，實現(xiàn)局域網(wǎng)內(nèi)部用戶可以訪問外網(wǎng)用戶，但外網(wǎng)用戶不能主動發(fā)起對局域網(wǎng)用戶的訪問，保護局域網(wǎng)內(nèi)部用戶的安全。方案建設過程中，各個路由器之間運行路由協(xié)議，在路由器的接口上綁定自反ACL 時需要注意允許路由協(xié)議之間的路

由更新信息的通過，不然會造成整個網(wǎng)絡的路由通訊故障。

4.2 方案的總體規(guī)劃

本方案的網(wǎng)絡系統(tǒng)分為內(nèi)部網(wǎng)和外網(wǎng)，R1 為內(nèi)部網(wǎng)的路由器，PC1 為內(nèi)網(wǎng)網(wǎng)的用戶電腦，R3 為外部網(wǎng)的路由器，PC2 為外部網(wǎng)用戶電腦。R2 處于內(nèi)部網(wǎng)和外網(wǎng)的邊界，在R2 上配置自反ACL 并綁定在R2 的S1/2 接口上。實現(xiàn)內(nèi)部網(wǎng)用戶PC1 可以訪問外部網(wǎng)用戶PC2 并得到應答信息，但是外部網(wǎng)用戶PC2 不能主動發(fā)起對內(nèi)部網(wǎng)用戶PC1 的訪問請求。R1、R2 和R3 之間運行OSPF 協(xié)議，全部工作在area0 區(qū)域。內(nèi)部網(wǎng)用戶PC1 的ⅠP 網(wǎng)段是192.168.1.0/24，外網(wǎng)PC2 的ⅠP 網(wǎng)段是200.1.1.0/24，R1 和R2 之間的網(wǎng)段是1.1.1.0/24，R2 和R3 之間的網(wǎng)段是2.2.2.0/24。

整個系統(tǒng)的拓撲圖如圖1 所示。

圖1 系統(tǒng)拓撲圖

4.3 方案的實現(xiàn)

4.3.1 先配置各個接口ⅠP 地址

配置R1 的ⅠP 地址，R1 上配置兩個接口的ip 地址，一個是局域網(wǎng)口f0/0，該接口ip 地址作為內(nèi)網(wǎng)用戶PC1 的默認網(wǎng)關，另一個是廣域網(wǎng)口s1/0，該接口提供時鐘。R2 和R3 的接口ⅠP 配置和R1 類似，配置局域網(wǎng)口和廣域網(wǎng)口ⅠP 地址（如圖2 所示）。

圖2 配置接口的ip

4.3.2 配置OSPF 協(xié)議

在R1、R2 和R3 上啟用OSPF 協(xié)議，網(wǎng)絡系統(tǒng)中的所有網(wǎng)段都工作在area 0 區(qū)域。具體配置如圖3 所示。

圖3 OSPF 協(xié)議配置

4.3.3 自反ACL 的配置

自反ACL 當有出站數(shù)據(jù)包時，就臨時產(chǎn)生一個訪問性條目，該條目是有生存周期的，Session 結束則該條目被刪除。首先在R2 上配置臨時性訪問條目的生存時間，R2（config）#ip reflexive-list timeout 400，生存期為400s。然后，在R2 上配置ACLOUT 和ACLⅠN 兩個擴展命名的列表，嵌套自反的ACL。具體配置如圖4 所示。

圖4 自反ACL 配置

注意ACLOUT 和ACLⅠN 兩個擴展命名的控制列表里面都允許了對ospf 協(xié)議流量的通過，避免了由于訪問控制列表而導致整個網(wǎng)絡發(fā)生通信故障。定義好兩個列表后，將這兩個擴展命名列表分別綁定到路由器R2 廣域網(wǎng)口s1/2 的out 和in 兩個方向，這樣自反ACL就可以生效了。

4.3.4 系統(tǒng)測試結果

最后，設置內(nèi)部網(wǎng)計算機PC1 的ⅠP 地址為192.168.1.1，默認網(wǎng)關為192.168.1.254。設置外部網(wǎng)計算機PC2 的ⅠP 地址為200.1.1.1，默認網(wǎng)關為200.1.1.254。打開PC1 的DOS 窗口，使用ping 命令發(fā)起對外部網(wǎng)PC2 的訪問，測試內(nèi)部網(wǎng)主機能否訪問外部網(wǎng)主機。發(fā)出四個數(shù)據(jù)包，收到四個數(shù)據(jù)包，數(shù)據(jù)通信正常，如圖5 所示。表明內(nèi)部網(wǎng)主機可以任意發(fā)起對外部網(wǎng)主機的訪問，并得到外網(wǎng)主機的回饋信息。

圖5 內(nèi)網(wǎng)可以訪問外網(wǎng)的測試結果

然后，打開PC2 的DOS 窗口，使用ping 命令發(fā)起對內(nèi)部網(wǎng)PC1的主動訪問，測試外部網(wǎng)主機能否主動訪問內(nèi)部網(wǎng)主機。發(fā)出四個數(shù)據(jù)包，丟棄四個數(shù)據(jù)包，顯示無法到達的主機，如圖6 所示。表明系統(tǒng)的自反ACL 包過濾防火墻禁止外部網(wǎng)主機主動發(fā)起對內(nèi)部網(wǎng)主機的訪問。

圖6 外網(wǎng)不能主動發(fā)起對內(nèi)網(wǎng)訪問的測試結果

5 結論

ACL 技術分類較多，本文重點論述了自反ACL 技術，分析了自反ACL 和其他ACL 應用的不同點，自反ACL 列表定義的方法。在本文的系統(tǒng)方案中，左邊為內(nèi)部網(wǎng)環(huán)境，右邊為外部網(wǎng)絡環(huán)境，根據(jù)網(wǎng)絡管理者意圖，要求內(nèi)部網(wǎng)用戶可以訪問外網(wǎng)用戶，并且訪問過程中產(chǎn)生的外網(wǎng)用戶回饋內(nèi)網(wǎng)用戶信息可以通過，但是外網(wǎng)用戶主動發(fā)起對內(nèi)部網(wǎng)用戶信息被防火墻拒絕。最后，系統(tǒng)利用自反ACL 技術成功實現(xiàn)單一方向防火墻方案效果。