1 引言

    隨著互聯(lián)網(wǎng)的不斷擴大，越來越多不同種類的網(wǎng)絡被連接起來。網(wǎng)絡管理人員所面對的一個任務越來越顯得緊迫和棘手，這就是在允許正當訪問的同時，如何拒絕那些不受歡迎的連接，因為它們大多對我們的重要設備和數(shù)據(jù)具有危險性。訪問控制列表可以通過對網(wǎng)絡數(shù)據(jù)流量的控制，過濾掉有害的數(shù)據(jù)包，從而達到執(zhí)行安全策略的目的。但在傳統(tǒng)的訪問控制列表中，如果處于路由器不可信任端的用戶需要訪問內(nèi)部網(wǎng)絡的資源，就必須永久性地在訪問控制列表中開啟一個突破口，以允許這些用戶工作站上的報文進入可信任網(wǎng)絡，這些永久性的突破口給不安全報文進入安全邊界并達到內(nèi)部網(wǎng)絡提供了機會，而動態(tài)訪問控制列表能使指定的用戶獲得對受保護資源的臨時訪問權(quán)，從而提供更高的安全級別。國內(nèi)在傳統(tǒng)的訪問控制列表方面開展了大量的研究，包括訪問控制列表的闡述、配置和優(yōu)化等，但動態(tài)訪問控制列表具體應用的相關(guān)文獻并不多見，本文在這方面作了初步的探索。

2 動態(tài)訪問控制列表原理

    動態(tài)ACL使用擴展ACL過濾IP流量。當配置了動態(tài)ACL之后，臨時被拒絕掉的IP流量可以獲得暫時性的許可。動態(tài)ACL臨時修改路由器接口下已經(jīng)存在的ACL，來允許IP流量到達目標設備，之后動態(tài)ACL把接口狀態(tài)還原。通過動態(tài)ACL獲得目標設備權(quán)限的用戶，首先要開啟到路由器的Telnet會話，接著動態(tài)ACL自動對用戶進行驗證，如果驗證通過，那么用戶就獲得了臨時性的訪問權(quán)限。

    動態(tài)ACL一般用于控制外網(wǎng)用戶對內(nèi)網(wǎng)服務器的訪問，如圖1所示，當Internet上的用戶需要訪問內(nèi)網(wǎng)的服務器時，外網(wǎng)用戶需要先向路由器發(fā)起一個Telnet會話，并且提供相應的用戶名和密碼。在用戶被驗證之后，路由器將一個臨時的ACL語句添加到動態(tài)ACL中，并且關(guān)閉Telnet會話。動態(tài)添加的ACL對被驗證用戶工作站地址進行授權(quán)，當條目超時后，刪除ACL中添加的臨時條目。

圖1 動態(tài)ACL原理示意圖

3 實現(xiàn)動態(tài)訪問控制列表的方法

    3.1 網(wǎng)絡拓撲圖、接口設置及IP分配

    實驗模擬拓撲圖如圖2所示，ISP_Router 、Checking_Router和EntERPrise_Router均為Cisco Catalyst2621型路由器，Switch1為Cisco Catalyst2950型二層交換機。路由器、服務器及主機的接口設置和IP地址分配如表1所示，其中ISP_Router的Fa0/0接口與外網(wǎng)用戶相連，Serial1/0接口與Checking_Router的Serial1/0相連；而EntERPrise_Router的Fa0/0接口與Checking_Router的Fa0/0相連，其余的Fa1/0、Fa0/1和Fa1/1則分別連接到Switch1、DNS服務器及WWW服務器。設置ISP_Router為DCE，Checking_Router為DTE。

圖2 實驗模擬拓撲圖

表1 路由器接口是指及服務器、主機IP地址分配表

    3.2 網(wǎng)絡基本配置

    采用“ip address”命令分別配置外網(wǎng)、內(nèi)網(wǎng)路由器以及驗證路由器的接口IP地址，Cisco路由器的所有接口在默認情況下都是關(guān)閉的，需采用“no shutdown”命令來開啟；外網(wǎng)ISP_Router路由器設置為DCE，需采用“clock rate”命令來配置時鐘頻率，同時使用路由信息協(xié)議RIP來實現(xiàn)網(wǎng)絡中不同網(wǎng)段之間的相互通信；在內(nèi)網(wǎng)EntERPrise_Route路由器中通過動態(tài)主機分配協(xié)議DHCP來實現(xiàn)內(nèi)部主機IP地址的動態(tài)分配；配置DNS服務器的IP地址為192.168.2.1，其默認網(wǎng)關(guān)指向Enterprise_Route路由器的Fa0/1接口，將域名www.lqp.com解析對應的IP地址,如圖3所示。配置WWW服務器的IP地址為192.168.3.1，其默認網(wǎng)關(guān)指向Enterprise_Route路由器的Fa1/1接口。在WWW服務器中制作與http://www.lqp.com相關(guān)聯(lián)的一個簡單網(wǎng)頁index.html，如圖4所示，以此作為外網(wǎng)主機通過動態(tài)ACL技術(shù)訪問內(nèi)網(wǎng)Web頁面的驗證。具體的配置請參考相關(guān)資料，不再贅述。

圖3 DNS服務器的設置

圖4 WWW服務器中制作的Web頁面

    3.3 配置內(nèi)、外網(wǎng)的遠程登錄功能

    在全局模式下配置外網(wǎng)ISP_Router路由器及內(nèi)網(wǎng)Enterprise_Router路由器的VTY密碼和特權(quán)密碼，分別為OuterNet和IntraNet，以允許遠程登錄，配置命令以ISP_Router路由器為例進行說明，如圖5所示。同時在ISP_Router路由器和Enterprise_Router路由器上分別telnet對方，結(jié)果均成功，如圖6和圖7所示。

圖5 ISP_Router路由器的遠程登錄配置命令

圖6 外網(wǎng)路由器telnet內(nèi)網(wǎng)路由器的結(jié)果

圖7 內(nèi)網(wǎng)路由器telnet外網(wǎng)路由器的結(jié)果

    3.4 配置動態(tài)ACL

    全局模式下，在Checking_Router路由器上配置動態(tài)ACL，配置命令和相關(guān)解析如下：

    1）Checking_Router(config)# access-list 100 permit tcp any host 202.101.172.1 eq 23! 允許外網(wǎng)telnet Checking_Router路由器進行身份驗證

    2）Checking_Router(config)# access-list 100 permit tcp any host 202.101.172.1 eq 3001! 允許外網(wǎng)telnet Checking_Router路由器的3001端口進行管理

    3）Checking_Router(config)# access-list 100 dynamic LQP123 timeout 120 permit ip any any ！創(chuàng)建動態(tài)ACL，命名為LQP123。語句中第一個any關(guān)鍵字將被通過驗證的用戶IP地址替代，第二個any代指內(nèi)網(wǎng)所有主機。timeout是絕對時間，為120分鐘

    4）Checking_Router(config)# user LQP456 password LQP456 ！創(chuàng)建用戶LQP456和密碼LQP456，用于身份驗證

    5）Checking_Router(config)# line vty 0 3 ！虛擬終端用戶0、1、2、3

    6）Checking_Router(config-line)# login local ！使用Checking_Router路由器本地的用戶名和密碼進行驗證

    7）Checking_Router(config�瞝ine)# autocommand access-enable host timeout 5 ！語句中的host參數(shù)表示主機的源IP地址替換動態(tài)ACL中的any關(guān)鍵字，timeout指空閑時間，為5分鐘

    8）Checking_Router(config-line)# line vty 4！虛擬終端用戶4

    9）Checking_Router(config-line)# login local

    10）Checking_Router(config-line)# rotary 1！設置vty 4號線路為管理員使用telnet對Checking_Router路由器進行管理，telnet端口為3001

    11）Checking_Router(config-line)# interface serial 1/0! Checking_Router路由器的串行接口

    12）Checking_Router(config-if)# ip access-group 100 in！在Checking_Router路由器的Serial1/0接口上應用動態(tài)ACL

    3.5 驗證動態(tài)ACL

    1）在外網(wǎng)ISP_Router路由器上telnet內(nèi)網(wǎng)Enterprise_Router路由器，不能成功，結(jié)果如圖8所示：

圖8 配置動態(tài)ACL后，外網(wǎng)路由器telnet內(nèi)網(wǎng)路由器的結(jié)果

    這是因為ISP_Router路由器去往Enterprise_Router路由器的telnet數(shù)據(jù)包進入Checking_Router路由器的serial1/0接口時，被Checking_Router路由器的ACL100拒絕。同理，Enterprise_Router路由器去往ISP_Router路由器的流量沒有問題，但返回的流量進入Checking_Router路由器的serial1/0接口時，被拒絕。

    2）在ISP_Router路由器上telnet Checking_Router路由器的外網(wǎng)接口202.101.172.1，要求驗證。輸入用戶名LQP456和密碼LQP456，驗證通過，telnet會話自動被終止。在ISP_Router路由器上再次telnet Enterprise_Router路由器，遠程登錄成功，結(jié)果分別如圖9、圖10所示。Enterprise_Router路由器此時也同樣能成功登錄ISP_Router路由器。

圖9 外網(wǎng)路由器telnet Checking_Router

圖10 驗證后，遠程登錄成功

    3）外網(wǎng)主機訪問內(nèi)網(wǎng)Web頁面，結(jié)果如圖11所示。

    圖11 配置動態(tài)ACL后，外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)Web頁面

    4）查看Checking_Router路由器的ACL，結(jié)果如下所示。

    Checkin_Router#show access-lists

    Extended IP access list 100

    permit tcp any host 202.101.172.1 eq telnet(60 matches)

    permit tcp anyhost 202.101.172.1 eq 3001

    Dynamic LQP123 permit ip any any

    permit ip host 202.101.172.2 any (102 matches)(time left 281)

    從以上的輸出結(jié)果可以看出，最后一行是動態(tài)ACL產(chǎn)生的一個條目，該條目再過281秒將被刪除。有任何符合“permit ip host 202.101.172.2 any”的流量，都會刷新該計時器，如果沒有任何流量來刷新計時器，那么這個動態(tài)條目將在281秒后被刪除。

4 結(jié)束語

    動態(tài)訪問控制列表是對傳統(tǒng)訪問控制列表的一種功能增強，通過使用動態(tài)訪問控制列表，不僅為授權(quán)用戶提供了一個訪問受保護網(wǎng)絡的通道，還可以有效阻止未授權(quán)用戶的訪問和網(wǎng)絡攻擊，因此研究動態(tài)訪問控制列表在企業(yè)網(wǎng)絡上的應用具有一定的現(xiàn)實意義。文章設計了模擬拓撲圖，給出了路由器、服務器等的接口設置、IP地址分配以及配置命令，對使用動態(tài)訪問控制列表前后的結(jié)果進行了測試和對比分析，并在實際的網(wǎng)絡設備上進行了實驗驗證，為動態(tài)訪問控制列表在實際網(wǎng)絡上的應用提供了參考依據(jù)。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：動態(tài)訪問控制列表在企業(yè)網(wǎng)中的實現(xiàn)

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112155437.html