利用ACL服务保障中小型企业网络安全.doc

利用ACL服务保障中小型企业网络安全[摘 要] ACL服务即访问控制列表，访问控制列表是路由交换设备的一组条件控制指令列表，是实现包过滤技术的核心内容，它是一种数据流分类和过滤技术，在网络安全中发挥着重要的作用是用来过滤与控制进出路由器或交换机数据流的一种访问控制技术，目前在IP网络中有着越来越多的应用。该文就ACL的在中小型企业网络中的应用，及其实现原理作了较为详细的介绍。 [关键词] ACL 访问控制 1.引言 网络中的流量多种多样，有访问WEB页面的流量，有电子邮件EMAIL的流量，有在线聊天的流量，有在线电影的流量，也有网络下载的流量，等等。这些流量中有些是为了办公，有些是为了娱乐；有些流量是安全的，也有一些流量是不安全的。当网络管理员想阻挡某些数据而让其他的一些数据通过时，就需要进行包过滤的配置，访问控制列表ACL就是一种用来过滤网络流量的实用工具。 2.利用ACL服务保护网络安全 访问控制列表ACL（Access Control List)是指根据预先定义好的访问控制规则对通过该网络节点的数据包进行一一匹配。只有符合访问控制规则的数据包，才允许通过该节点而转发到相应的输出接口，从而达到对数据的访问进行控制。 如图1所示，在路由器R部署ACL后，在Internet中未授权的用户不能访问公司总部的内部服务器，而经过授权的办事处则可以访问公司总部内部网络，从而达到过滤网络流量和保护内部网络的目的。 访问控制列表是一种流量控制技术。流量管理的目的是阻止不需要的流量通过，同时允许合法用户流量能够访问相应的服务。建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制，这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后，可以对入站接口、出站接口以及通过路由器中继的数据包进行安全检测。 访问控制列表（Access Control List，ACL）是控制流入、流出路由器数据包的一种方法。它通过在数据包流入路由器或流出路由器时进行检查、过滤达到流量管理的目的。 访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的关卡，路由器上的访问控制列表成为保护内网安全的有效手段。 3.ACL工作原理 在路由器中使用访问控制列表时，访问控制列表是部署在路由器的某个接口的某个方向上。因此，对于路由器来说存在入口方向（Inbound）和出口方向（Outbound）两个方向。在路由器中从某个接口进入路由器称为入口方向；离开路由器称为出口方向。在同一个路由器的两个接口之间转发数据，没有方向区别。如图2，数据包从Fa0/1和Fa0/2进入路由器，属于Inbound；数据包从Fa0/1和Fa0/2离开路由器，属于Onbound；而数据包从Fa0/1转发到Fa0/2口，没有Inbound和Outbound的概念。 4. ACL的工作流程 ACL可被应用在路由器的入口和出口方向上，并且一台路由器上可以设置多个ACL。但对于一台路由器的某个特定接口的特定方向上，针对某一个协议，如IP协议，只能同时应用一个ACL。 如图3所示，ACL应用在路由器出口方向（outbound）时，首先查找路由表，找到转发接口（如果路由表中没有相应的路由条目，路由器会直接丢弃此数据包，并给源主机发送目的不可达消息）。确定出口后需要检查是否在外出接口上配置了ACL。如果没有配置ACL，路由器将做与外出接口数据链路层协议相同的2层封装，并转发数据；如果在出接口上配置了ACL，则要根据ACL制定的规则对数据包进行判断。如果匹配了某一条ACL的判断语句并且这条语句的关键字是permit，则转发数据包；如果匹配了某一条ACL的判断语句并且这条语句的关键字是deny，则丢弃数据包。 由此可知，如果ACL是应用在路由器的出口方向（Outbound）时，在路由器中的处理流程为先进行路由选择，然后进行ACL判断；相反，如果ACL是应用在路由器的入口方向（Inbound）时，则先判断ACL，然后再进行路由选择。 5.ACL的使用位置 对于标准ACL，由于它只能过滤源IP。为了不影响源主机的通信，一般我们将标准ACL放在离目的端比较近的地方。扩展ACL可以精确的定位某一类的数据流。为了不让无用的流量占据网络带宽，一般我们将扩展ACL放在离源端比较近的地方。 6.结束语 总之，ACI也是一把双刃剑，在实现对数据流更精确划分的同时，也牺牲了设备的转发性能。好的服务质量与更高的转发性能，在硬件处理能力一定的情况下，就是此长彼消的。这也是在IP网络领域中运营商和设备供应商不得不面对的事实。就需要ISP根据现网的业务需求做相应的权衡了。