Cisco路由器ACL配置实现网络安全策略.docVIP

Cisco路由器ACL配置实现网络安全策略 摘要：随着中小企业信息化水平的不断提高，中小 企业信息安全问题越来越为严重，针对大型企业提供的信息 安全技术和设备，虽然能为中小企业提供相应的信息安全能 力，但其专业性较强、成本较高，增加了中小企业的负担。 ACL技术即访问列表控制技术，仅需利用路由器即可实现网 络安全控制，成本低廉实现简单，能很好的满足中小企业信 息安全的需要，具有极高的应用价值。本文以Cisco路由器 为例，就如何通过ACL配置利用路由器实现网络安全策略进 行探讨，可供中小企业借鉴。 关键词：Cisco路由器；ACL配置；网络安全；访问控 中图分类号：TP393. 08 信息化技术能有利的提升企业经营效率，是整个社会经 济发展的必由之路。近年来，我国中小企业信息化水平得到 了极大的提高，大多数中小企业都构建起了自身的网络系 统，运用计算机技术、同络技术、信息化技术进行企业经营 管理，对促进我国中小企业竞争能力的提升起着重要作用。 1 ACL技术基本原理 1. 1 ACL技术实现途径 ACL技术是利用路由器和交换机接口的指令列表，来控 制端口进出数据包的技术。这种技术适用于所有被路由协议 之中，仅需要对访问控制列表进行关系匹配、条件查询，即 可进行访问控制。这种技术是一种包过滤技术，通过读取包 头信息与定义好的匹配规则进行比较实现包过滤，允许和拒 绝相应的访问，从而达到访问控制的需要。在ACL工作过程 中，当收到数据包后路由器先对数据包进行检查，如果数据 包可路由则通过访问控制列表找出接口，如果该出口没有被 编入ACL则直接从该口送出，如果被编入ACL则进行匹配执 行，进行相应的处理。 1.2 ACL技术常见类型 目前常用的AC L技术可分为标准访问控制列表和扩展访 问控制列表两类，进一步可细分为标准IP访问控制列表、 扩展IP访问控制列表、命名IP访问控制列表三种。标准访 问列表控制级别相对较低，只根据分组内源地址或一部分进 行控制，编号范围在1-99之间。扩展IP访问控制列表拥有 更多匹配项，包括源地址、源端口、目的地址、目的端口、 IP优先级、协议类型等，扩充性和灵活性更强，其编号在 100-199之间。命名IP访问控制列表则是以列表名来代替 IP编号，这种方式突破了 99个标准列表和100个扩展列表 的数目限制，能直观的反映访问列表完成的功能，扩展较为 容易。 1. 3 ACL技术实现规则 在ACL配置中极为灵活，应用中必须注意一些基本规则。 在权限赋予中，只能给予受控对象完成任务所需的最小权 限，如果只是满足部分条件则访问拒绝。在访问控制过程中， ACL匹配是采用自上而下逐条匹配的方式，当发现符合条件 时则立即执行，而不会继续对下面的ACL语句进行检测，因 此要保证匹配规则最靠近受控对象。在ACL语句中，默认的 最后一条是丢充所有不符合条件的数据包，采用默认丢弃原 则，在实际应用中要根据需要进行修正，避免造成不必要的 问题。同时，ACL所采用的是包过滤技术，其过滤依据为第 三层和第四层包头信息，对具体个人、权限级别等的识别能 力不足，在实际应用中还需要结合其它访问权限控制策略共 同进行，而不能仅依靠ACL技术来进行网络安全管理。 2 Cisco路由器ACL配置实践 2.1案例简介 某企业将网络结构分为客户接待和管理层两部分，应用 企业内部服务器进行企业信息管理。企业内部所有接入企业 内网的计算机都可以联网，客户接待部计算机与管理层计算 机之间、路由器之间均可以互相访问。客户机不能直接访问 企业内部服务器，管理层可以访问企业内部服务器，但不同 管理职能部门，包括如财务部、业务部等所的访问权限需要 进行控制，外网对企业内部服务器的访问权限也需要进行控 制。该企业路由器采用Ciscol841,有服务器一台，客户接 待部计算机8台，管理层计算机12台，管理层计算机分为4 个部门，网络拓扑结构如1：1 个部门，网络拓扑结构如 1： 1 2.2 ACL配置分析 在该企业中，路由器以端口 E0连接行政部，网段为 192. 168. 1.0；以端口 E1连接人事部，网段为192. 168. 2.0; 以端口 E2连接财务部，网段为192. 168. 3.0;以端口 E3连 接后勤部，网段为192. 168.4.0；以端口 E4连接客户接待部， 网段为192. 168.5.0；以端口 E5连接服务器，网段为 192. 168.6.0。路由器E0-E5端口 IP地址分别为 、 、、、 、 。其中，行政部计算机三台，IP 地址分别为 192. 168. 1. 11、192. 168. 1. 12、192. 168. 1. 13; 人事部计算机两台，IP地址分别为1、 192. 168. 2. 12 ；财务部计算机四台，IP地