陳存田

摘要：隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，各行業(yè)系統(tǒng)領(lǐng)域都已建成較為成熟系統(tǒng)網(wǎng)絡(luò)。在網(wǎng)絡(luò)系統(tǒng)的使用過程中，系統(tǒng)漏洞、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)安全問題問題日漸突出。以山西省地震局行業(yè)網(wǎng)外聯(lián)單位區(qū)域為例，通過運用ACL訪問控制技術(shù)從OSI七層模型的網(wǎng)絡(luò)和傳輸層面解決該區(qū)域的安全授權(quán)訪問需求，以保證山西地震行業(yè)網(wǎng)安全有序運行提供必要的技術(shù)手段。

關(guān)鍵詞：訪問控制列表（acl）;網(wǎng)絡(luò)安全控制;山西地震行業(yè)網(wǎng)

中圖分類號：TP393? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）08-0228-02

1 概述

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，各行業(yè)系統(tǒng)領(lǐng)域都已建成較為成熟系統(tǒng)網(wǎng)絡(luò)，基本實現(xiàn)了辦公網(wǎng)絡(luò)化。與此同時在各行業(yè)系統(tǒng)網(wǎng)絡(luò)的運行使用過程中各種安全問題日益凸顯，如何安全健康的使用網(wǎng)絡(luò)成為各行業(yè)領(lǐng)域網(wǎng)絡(luò)運維人員高度關(guān)注和急需解決的問題。既要防止未經(jīng)授權(quán)的非法訪問數(shù)據(jù)入侵內(nèi)部Intranet，也要防止各行業(yè)系統(tǒng)領(lǐng)域主機(jī)未經(jīng)授權(quán)訪問外部網(wǎng)絡(luò)造成的信息泄密等。路由器作為網(wǎng)絡(luò)互連的網(wǎng)絡(luò)通信設(shè)備，在路由器的相關(guān)接口上運用ACL訪問控制技術(shù)可以很好地解決此類非授權(quán)的非法訪問，從而起到有效保護(hù)網(wǎng)絡(luò)的作用。ACL訪問控制技術(shù)適用于所有路由協(xié)議，通過在路由器中運用此種技術(shù)可以起到網(wǎng)絡(luò)安全訪問、網(wǎng)絡(luò)流量控制等作用。對于企業(yè)政府等行業(yè)在不增加防火墻安全設(shè)備的前提下，不失為一種安全可行的解決方案。

2 ACL的概述

ACL全稱訪問控制列表（Access Control List），是由一個或者多個用于報文過濾的規(guī)則組成的規(guī)則集合。常用在路由器或交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包的技術(shù)。

2.1 ACL的基本原理

ACL主要使用包過濾技術(shù)，其主要工作于OSI七層模型中的網(wǎng)絡(luò)層和傳輸層。通過讀取進(jìn)出路由器或者交換機(jī)端口數(shù)據(jù)包頭中的源地址、目的地址、源端口號、目的端口號、協(xié)議類型等信息，來達(dá)到對數(shù)據(jù)包的過濾控制。ACL過濾技術(shù)是按照事先定義好的訪問控制列表集合中的規(guī)則順序執(zhí)行，具體詳見下圖ACL工作流程圖。

2.2 ACL的功能

網(wǎng)絡(luò)中的結(jié)點分為資源結(jié)點和用戶結(jié)點兩大類，其中資源結(jié)點提供服務(wù)或數(shù)據(jù)，而用戶結(jié)點訪問資源結(jié)點所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源結(jié)點，阻止非法用戶對資源結(jié)點的訪問;另一方面限制特定的用戶結(jié)點對資源結(jié)點的訪問權(quán)限。概括起來主要有以下四點主要功能：

（1）ACL可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能;

（2）ACL提供對通信流量的控制手段;

（3）ACL是提供網(wǎng)絡(luò)安全訪問的基本手段;

（4）ACL可以在路由器或者交換機(jī)端口處決定進(jìn)出該端口的數(shù)據(jù)被轉(zhuǎn)發(fā)或丟棄。

2.3 配置ACL的基本原則

ACL訪問控制列表在各廠商設(shè)備中的運行規(guī)則各有不同。相同的是都是順序從上至下執(zhí)行列表集合，根據(jù)語句中描述的條件去匹配數(shù)據(jù)包，一旦匹配上就結(jié)束本次執(zhí)行過程不再繼續(xù)向下執(zhí)行剩余語句。不同的是訪問控制列表的語法運用規(guī)則不同。有的是除非允許，全部禁止，有的是除非禁止，全部允許。

2.4 訪問控制列表的分類

目前ACL訪問控制列表的分類有兩種，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。

標(biāo)準(zhǔn)ACL是基于數(shù)據(jù)包的源地址進(jìn)行過濾，使用的numer編號范圍2000-2999。擴(kuò)展ACL是基于數(shù)據(jù)包源地址、目的地址、協(xié)議類型及所使用的端口號進(jìn)行過濾，使用的numer編號范圍3000-3999。擴(kuò)展acl在應(yīng)用上更加靈活方便。各設(shè)備廠家系統(tǒng)軟件中針對訪問控制列表的語法語句略有不同，具體語法語句格式本文在本文中不進(jìn)行詳細(xì)敘述。本文以華為路由器ACL訪問控制命令語法格式為例進(jìn)行說明。

標(biāo)準(zhǔn)ACL訪問控制語句：acl number （2000-2999）

配置標(biāo)準(zhǔn)ACL訪問控制規(guī)則，允許源 IP 地址為 10.14.2.1的報文通過，并且通過命令查看列表類型。

system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule 0permit source 10.14.2.1 0

[Sysname-acl-basic-2000] display acl 2000

Basic ACL 2000， named -none-， 1 rule，

ACL's step is 5

rule 0 permit source10.14.2.1 0 （5 times matched）

擴(kuò)展ACL訪問控制語句：acl number （3000-3999）

配置擴(kuò)展ACL 訪問控制規(guī)則，允許 10.14.2.0網(wǎng)段的主機(jī)向 10.16.5.0網(wǎng)段的主機(jī)發(fā)送端口號為80的TCP報文。

system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000]rule 0 permit tcp source 10.14.2.00.0.255.255 destination 10.16.5.00.0.255.255 destination-port eq 80

[Sysname-acl-adv-3000] display acl 3000

Advanced ACL 3000， named -none-， 1 rule，

ACL's step is 5

rule 0 permit tcp source 10.14.2.0 0.0.255.255 destination 10.16.5.0 0.0.255.255? destination-port eq www （5 times matched）

3 ACL訪問控制技術(shù)實例應(yīng)用

山西省地震局為中國地震局與山西省政府雙重領(lǐng)導(dǎo)的管理體制，承擔(dān)山西省防震減災(zāi)政府行政管理職能。省政府設(shè)立山西省防震減災(zāi)領(lǐng)導(dǎo)組作為防震減災(zāi)協(xié)調(diào)領(lǐng)導(dǎo)機(jī)構(gòu)，組長為省政府分管副省長;領(lǐng)導(dǎo)組辦公室設(shè)在省地震局，履行防震減災(zāi)公共管理與社會服務(wù)職能;震時領(lǐng)導(dǎo)組自動轉(zhuǎn)為省政府抗震救災(zāi)指揮部，省地震局履行指揮部辦公室職責(zé)。為保證領(lǐng)導(dǎo)組成員單位之間信息共享聯(lián)動協(xié)同工作，目前領(lǐng)導(dǎo)組成員單位全部通過租用營運商專用電路建立與省地震局網(wǎng)絡(luò)互聯(lián)互通。

山西地震行業(yè)網(wǎng)經(jīng)過三個“五年計劃”的發(fā)展建設(shè)，目前已經(jīng)形成區(qū)域中心（省中心）--綜合臺站、市局匯聚節(jié)點--無人值守臺站的三級網(wǎng)絡(luò)構(gòu)架的組網(wǎng)模式。

第一層為區(qū)域中心（省中心），負(fù)責(zé)全省地震行業(yè)數(shù)據(jù)的匯集交換與處理，上連中國地震臺網(wǎng)中心，下連至匯聚層的省內(nèi)11個地市地震局信息節(jié)點和省局直屬的地震臺站信息節(jié)點。

第二層為匯聚層，主要由山西省各地市地震局節(jié)點和省局直屬臺站節(jié)點組成，除承擔(dān)本節(jié)點的信息服務(wù)任務(wù)外，同時承擔(dān)三級節(jié)點的匯聚任務(wù)。

第三層無人值守監(jiān)測臺站，包括測震臺站、前兆無人值守臺站、強(qiáng)震動臺站。屬于地震行業(yè)數(shù)據(jù)產(chǎn)出的最前端，產(chǎn)出數(shù)據(jù)通過租用電信運營商專用電路，傳輸至匯聚層。

區(qū)域中心（省中心）處于網(wǎng)絡(luò)架構(gòu)的最頂層。

防震減災(zāi)領(lǐng)導(dǎo)組成員單位通過租用電信運營商PTN專線方式與省地震局建立網(wǎng)絡(luò)互聯(lián)，實現(xiàn)數(shù)據(jù)共享。隨著近年來區(qū)域中心業(yè)務(wù)的不斷增加，網(wǎng)絡(luò)規(guī)模及結(jié)構(gòu)都出現(xiàn)了變化，經(jīng)過調(diào)研分析，重新劃分了外聯(lián)單位接入?yún)^(qū)域功能，明晰該區(qū)域與我局互連網(wǎng)絡(luò)邊界。在不增加防火墻等安全設(shè)備的前提下，在外聯(lián)單位區(qū)域接入核心交換機(jī)9306接口G2/0/16配置ACL訪問控制策略，明確成員單位授權(quán)訪問資源。

3.1 ACL訪問控制策略制定原則

防震減災(zāi)領(lǐng)導(dǎo)組成員單位接入?yún)^(qū)域原接入方式較為簡單，成員單位通過租用電信運營商的PTN專用線路接入山西省地震局區(qū)域中心網(wǎng)絡(luò)。通過劃分三層vlan方式為其分配IP地址，完成與省地震局區(qū)域中心網(wǎng)絡(luò)的互聯(lián)互通。這種接入方式缺點是每個成員單位都單獨占用一個vlan地址段，在成員單位側(cè)互連設(shè)備只為一臺普通工作主機(jī)，通過廣泛調(diào)研及技術(shù)論證在不增加防火墻等安全設(shè)備的前提下，我局技術(shù)人員重新調(diào)整這部分區(qū)域接入方式，將原來每個單位占用一個VLAN IP地址段統(tǒng)一調(diào)整成統(tǒng)一的IP地址段即10.14.200.X ，同時在核心交換機(jī)9306 G2/0/16 接口上部署訪問控制策略，成員單位只能訪問我局服務(wù)資源區(qū)域即10.14.2.X段的主機(jī)，其他未授權(quán)資源區(qū)域全部禁止訪問。

具體的訪問控制策略如下：

（1）明確授權(quán)訪問的地址及授權(quán)訪問區(qū)域。

acl number 3001

rule 5 permit ip source 10.14.200.0 0.0.0.255 destination 10.14.2.0 0.0.0.255

rule10 deny ip

（2）過濾限制敏感端口及病毒端口等。

acl number 3000

rule 0 deny tcp destination-port eq 5554

rule 1 deny tcp destination-port eq 9996

rule 2 deny tcp destination-port eq 135

rule 3 deny udp destination-port eq 135

rule 4 deny tcp destination-port eq 137

rule 5 deny udp destination-port eqnetbios-ns

rule 6 deny tcp destination-port eq 138

rule 7 deny udp destination-port eqnetbios-dgm

rule 8 deny tcp destination-port eq 139

rule 9 deny udp destination-port eqnetbios-ssn

rule 10 deny tcp destination-port eq 593

rule 11 deny tcp destination-port eq 4444

rule 12 deny tcp destination-port eq 8998

rule 13 deny tcp destination-port eq 445

rule 14 deny udp destination-port eq 445

（3）定義數(shù)據(jù)流分類及行為關(guān)聯(lián)兩組訪問控制策略，匹配感興趣數(shù)據(jù)流。

ACL number 3000 、ACL number3001

traffic classifier wailiandanwei operator or precedence 30

if-matchacl 3001

traffic behavior wailianguize

traffic policy wailian

classifierc_deny behavior b_deny

classifierwailiandanwei behavior wailianguize

（4）運行策略至路由器G2/0/16接口

interface Vlanif2200

descriptionwailiandanwei

ip address 10.14.200.253 255.255.255.0

vrrpvrid 200 virtual-ip 10.14.200.254

vrrpvrid 200 priority 105

interface GigabitEthernet2/0/16

descriptionTO_boda-SWitch-tieluju-shengjunqu-gaopaolv

port link-type access

port default vlan 2200

traffic-policywailian inbound

port-mirroring to observe-port 1 both

（5）測試結(jié)果

在外聯(lián)單位區(qū)域配置主機(jī)終端IP地址10.14.200.8登錄10.14.2.100 門戶網(wǎng)站IP地址正常訪問，通過ping命令測試其他網(wǎng)段地址及互聯(lián)網(wǎng)地址均無法訪問。

4 總結(jié)

通過重新規(guī)劃設(shè)置外聯(lián)區(qū)域運用ACL訪問控制技術(shù)實現(xiàn)了成員單位的安全接入，使省中心局域網(wǎng)區(qū)域劃分更加合理邊界更加清晰。從網(wǎng)絡(luò)安全的角度看，實現(xiàn)了對我局授權(quán)資源的安全訪問，保護(hù)了整網(wǎng)的安全有效運行。但是ACL訪問控制技術(shù)只能過濾網(wǎng)絡(luò)層和傳輸層面對進(jìn)出網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包進(jìn)行過濾，還需聯(lián)動配合其他網(wǎng)絡(luò)安全設(shè)備才能全方位多層面地對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行全面的分析過濾，實現(xiàn)對我局網(wǎng)絡(luò)資源訪問的安全可信訪問。

參考文獻(xiàn)：

[1] 王達(dá).華為路由器學(xué)習(xí)指南[M].北京：人民郵電出版社，2014.

[2] 莫林利.使用ACL技術(shù)的網(wǎng)絡(luò)安全策略研究及應(yīng)用[J].華東交通大學(xué)學(xué)報，2009，26（6）：79-82.

【通聯(lián)編輯：光文玲】