摘要:訪問控制列表acl(accesscontrollist)通過對網路流量的控制,可過濾掉有害資料報,達到執行安全策略的目的。本文通過例項詳細論述了如何利用訪問控制列表來提高網路安全效能。
一、引言
隨著網路上的資源越來越豐富,網路安全問題也開始突現,為此需要一種機制對網路資源的訪問進行有效控制。訪問控制列表acl是網路訪問控制的基本手段,它可以限制網路流量,提高網路效能。在路由器或交換機的介面上配置acl後,可以對進出介面及通過介面中繼的資料報進行安全檢測。本文重點討論如何利用acl來提高網路安全性。
二、acl的型別
(一)standard或extended ip acls
標準acl只能針對源位址進行報文過濾,功能少侷限性大。擴充套件acl可對源位址、目的位址和上層協議資料進行過濾。
(二)mac extended acls
可對任意源/目的mac位址的報文設定允許其通過或拒絕的條件。
(三)基於時間的acls
可以使acl基於時間進行執行,如工作時間段內禁止使用qq。
(四)expert extended acls
可實現對vlan/網段的過濾,限制某些網路只能使用特定的應用。如,禁止學生自習時間玩網路遊戲,只要給教室分配乙個網段,對這個網段應用acl,在這個時間段禁止網路遊戲報文的傳輸即可。
三、acl在構建企業網安全中的應用
1.限制遠端的非法登入
網路管理員經常通過虛擬終端vty介面登入到路由器對其進行配置和管理,如果只有訪問口令一層安全保護,而不對登入路由器的主機進行限制,這將使路由器安全性不高。如果在vty介面上應用acl進行遠端登入控制,可以很大程度增加路由器的安全性。例如,只允許192.168.1.x的主機使用telnet登入路由器,則網路配置命令為:
router(config)#access-list 16 permit 192.168.1.0 0.0.0.255
router(config)#line vty 0 4
2.根據不同的使用者群定義資料的流向
企業網建立之後可能會出現很多問題。例如,任何一台pc均能訪問總經理的pc,或某員工非法進入財務處計算機等。解決這類問題的簡單方法就是在關鍵的介面處應用acl,對使用者進行訪問限制。例:允許來自特定網段(192.168.1.x)的任一主機,拒絕其它任一主機,達到某一部門資料保密的目的,實現資料的單向流動,則配置如下:
switchb(config)#ip access-list standard permit_host192.168.l.x
switchb(config-std-nacl)#permit 192.168.1.0 0.0.0.255 any
switchb(config-std-nacl)#deny any
3.訪問時間許可權控制
基於時間的acl可以為一天中的不同時段,或者一星期的不同日期,制定不同的訪問控制策略,從而滿足使用者對網路的靈活需求。例如:要求上班時間(周一到周五的9:00-18:00)不允許部門職員訪問網際網路的ftp伺服器,則配置如下:
switch(config)#time-range no-ftp
switch(config-time-range)#absolute start 8:00 15 5 2010 end8:00 1 5 2020
switch(config-time-range)#periodic weekdays 9:00 to 18:00
switch(config)#ip access-list extended deny_ftp
switch(config-ext-nacl)#deny tcp any any eq ftp time-range no-ftp
switch(config-ext-nacl)#permit ip any any
4.應用acl防範病毒
病毒入侵經常會使用某些特殊埠,如135、445等,關閉這些埠可有效防止常見病毒的攻擊。例如最近公司網路內發現衝擊波病毒,造成了很多地方感染,網路癱瘓。我們可以利用s21系列智慧型交換機的acl功能做出限制,禁止其**和傳播,配置命令為:
access-list 115 deny udp any any eq 69
access-list 115 deny tcp any any eq 135
access-list 115 deny udp any any eq 135
access-list 115 deny udp any any eq 137
access-list 115 deny udp any any eq 138
access-list 115 deny tcp any any eq 139
access-list 115 deny udp any any eq 139
access-list 115 deny tcp any any eq 445
access-list 115 deny tcp any any eq 593
access-list 115 deny tcp any any eq 4444
access-list 115 permit ip any any5.防止ip位址盜用
專家級acl可以利用mac位址、ip位址、vlan號、傳輸埠號、協議型別等定義規則,按照規則進行訪問控制,保證網路安全。假設有人利用某些網路工具試圖對企業伺服器進行攻擊和訪問,我們就可以用專家級acl,對攻擊方的ip位址和mac位址進行繫結,拒絕其訪問伺服器。例:要求只有總經理主機(192.168.1.1)可訪問ftp伺服器192.168.10.10,則配置如下:
switch(config)#expert access-list extentded jingli
switch(config-ext-macl)#permit tcp host 192.168.1.1 host 00d0.f800.0099 host 192.168.10.10 any eq ftp
5.流量控制
router(config)#access-list 120 permit tcp any any gt 1023 established
router(config)#access-list 120 permit tcp any any
四、小結
本文通過在路由器或交換機上建立acl,列舉了acl在企業網控制方面的幾個具體應用,可見acl在削減網路安全威脅方面的作用是強大的。通過以上配置例項,使路由器成為乙個包過濾防火牆,提高了企業網路的安全性。
阿里云云企業網(CEN)構建例項
公司的跨國業務嘗試使用了alibabacloud的雲企業網 後簡寫為cen 加速,記錄一下搭建例項的整個過程,以供拾遺。構建cen加速前,已存在私有雲暴露的https網際網路訪問入口,也就是需要進行跨國訪問加速的ip,記為 p cloud ip。當前存在英國使用者通過網際網路直連搭建在武漢的私有雲的...
運用動態安全域保護企業網的方法
網路安全域是指同一系統內有相同的安全保護需求 相互信任,並具有相同的安全訪問控制和邊界控制策略的子網或網路,相同的網路安全域共享一樣的安全策略。網路安全域從廣義上可理解為具有相同業務要求和安全要求的it系統要素的集合。網路安全域從大的方面一般可劃分為四個部分 本地網路 遠端網路 公共網路 夥伴訪問。...
golang 實戰企業網盤
1.基於golang實現分布式檔案上傳服務 2.ceph和阿里雲oss 3.支援斷點續傳和秒傳功能 4.微服務化和容器部署 redis mysql rabbitmq docker部署微服務 ceph分布式儲存 阿里雲oss 檔案分塊斷點續傳 秒傳 物件從私有雲遷移到阿里雲oss的經驗 介面列表 介面...