基于路由器访问控制列表保护内部网络安全.docVIP

基于路由器的访问控制列表保护内部网络安全 ?1 ?引言 ??? 随着Internet的不断普及，越来越多的计算机接入国际互联网，随之而来的网络安全问题也备受人们关注。一般大型的骨干网络会配备专业的防火墙等网络防护设备，以阻断外部的非法访问和恶意攻击。对于一般小规模的办公网络用户而言，部署专业防火墙的代价相对较高，且会影响网络性能。 路由器在网络体系结构中起着非常重要的作用，主要功能是转发来自不同网络的数据包。目前大部分路由器都具有访问控制列表的功能，利用访问控制列表可以在路由器上配置访问规则隔离内网和外网，阻止存在安全风险的外网用户对内部敏感数据的访问，实现防火墙的功能，从而简单高效地实现对内网的保护。 2 ?访问控制列表的简介 2.1? 访问控制列表的原理 图1? ?ACL工作过程 ??? 访问控制列表是路由器某端口的一系列关于网络数据包允许或拒绝的规则集合，是路由器实现网络管理的一种方法。ACL通过访问控制列表到路由器接口来管理流量和审视特定分组，任何经过该接口的数据包都要接受ACL中条件的检测。ACL适用于所有的路由协议，如IP、IPX等，当分组经过时进行过滤。图1是ACL的工作过程。 2.2? 访问控制列表的作用 ??? ACL具有以下功能： ??? （1）实现数据包过滤，限制用户访问某些外部网段、端口、应用服务器，或者限制外部数据包访问内部网络的某些网段、端口、应用服务器等。 ??? （2）在接口上控制报文传输。 ??? （3）控制虚拟终端连接(VTY)的访问 3 ?访问控制列表的基本配置 ??? 访问控制列表分为标准访问控制列表和扩展访问控制列表。 3.1? 标准访问控制列表 ??? 标准ACL根据源地址进行匹配，路由器检查分组的源地址，并与标准访问控制列表进行比较和匹配，然后决定丢弃或转发。 ??? （1）用数字或者名字来标识访问控制列表，其完整语法如下： ??? Router(config)#access-list access-list-number ??? Router(config)#ip access-list standard name ??? （2）定义标准访问控制列表的访问规则，其具体语法如下： ??? Router(config)#access-list access-list-number {deny | permit} source [source-wildcard] log] ??? 这里的source-wildcard 用于掩去源地址中不需要匹配的位。掩码中为1的位表示不予理会的地址位，而为0的位表示出去必须准确匹配的地址位。关键字log用于让路由器向主控制台发送日志信息。 3.2? 扩展访问控制列表 ??? 扩展ACL可以基于分组的源地址、目标地址、协议类型、端口地址和应用来决定访问是被允许或者拒绝。扩展ACL也需要以名字或数字来标识访问规则。其完整语法如下： ??? Router(config)#access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wild destination destination-wild [precedence precedence]? [tos tos] [log | log-input] [ime-range time-range-name] [fragments] ??? 因为扩展ACL提供了更大的弹性和控制范围，在实际中它比标准ACL使用的更多。在下面的举例应用中都将采用扩展ACL。 4 ?访问控制列表在内网安全中的具体应用 4.1? 防止某些外部网络的访问和非法探测 ??? 如图2所示，一个内部的局域网通过S0端口与互联网相连接，网口Eth1与内部交换机连接，假设内网的网络地址为/24。网内用户一般不希望外部的某些网络访问本地计算机，并且防止外网的黑客通过扫描工具探测内网。 图2? 网络拓扑结构 ??? 假设我们不希望外网的/24、/24访问我们的内部网络，并且不让外部用户通过Ping、Tracert探测内网，可以设置以下规则： ??? Router(config)#ip access-list waiwang ??? Router(config-ext-nacl)#deny 200.200.200 0 55 any ??? Router(config-ext-nacl)#deny 0 55 any ??? Router(config-ext-nacl)#deny icmp any any echo ??? Router(config-ext-nacl)#deny icmp a