一、引言

　　隨著網(wǎng)絡(luò)上的資源越來越豐富，網(wǎng)絡(luò)安全問題也開始突現(xiàn)，為此需要一種機制對網(wǎng)絡(luò)資源的訪問進行有效控制。訪問控制列表ACL是網(wǎng)絡(luò)訪問控制的基本手段，它可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能。在路由器或交換機的接口上配置ACL后，可以對進出接口及通過接口中繼的數(shù)據(jù)包進行安全檢測。本文重點討論如何利用ACL來提高網(wǎng)絡(luò)安全性。

二、ACL的類型

　　（一）Standard或Extended IP ACLs

　　標(biāo)準(zhǔn)ACL只能針對源地址進行報文過濾，功能少局限性大。擴展ACL可對源地址、目的地址和上層協(xié)議數(shù)據(jù)進行過濾。

　　（二）MAC Extended ACLs

　　可對任意源/目的MAC地址的報文設(shè)置允許其通過或拒絕的條件。

　　（三）基于時間的ACLs

　　可以使ACL基于時間進行運行，如工作時間段內(nèi)禁止使用QQ。

　　（四）Expert Extended ACLs

　　可實現(xiàn)對VLAN/網(wǎng)段的過濾，限制某些網(wǎng)絡(luò)只能使用特定的應(yīng)用。如，禁止學(xué)生自習(xí)時間玩網(wǎng)絡(luò)游戲，只要給教室分配一個網(wǎng)段，對這個網(wǎng)段應(yīng)用ACL，在這個時間段禁止網(wǎng)絡(luò)游戲報文的傳輸即可。

三、ACL在構(gòu)建企業(yè)網(wǎng)安全中的應(yīng)用

　　1.限制遠程的非法登錄

　　網(wǎng)絡(luò)管理員經(jīng)常通過虛擬終端vty接口登錄到路由器對其進行配置和管理，如果只有訪問口令一層安全保護，而不對登錄路由器的主機進行限制，這將使路由器安全性不高。如果在vty接口上應(yīng)用ACL進行遠程登錄控制，可以很大程度增加路由器的安全性。例如，只允許192.168.1.X的主機使用Telnet登錄路由器，則網(wǎng)絡(luò)配置命令為：

　　router(config)#access-list 16 permit 192.168.1.0 0.0.0.255

　　router(config)#line vty 0 4

　　2.根據(jù)不同的用戶群定義數(shù)據(jù)的流向

　　企業(yè)網(wǎng)建立之后可能會出現(xiàn)很多問題。例如，任何一臺PC均能訪問總經(jīng)理的PC，或某員工非法進入財務(wù)處計算機等。解決這類問題的簡單方法就是在關(guān)鍵的接口處應(yīng)用ACL，對用戶進行訪問限制。例：允許來自特定網(wǎng)段(192.168.1.x)的任一主機，拒絕其它任一主機，達到某一部門數(shù)據(jù)保密的目的，實現(xiàn)數(shù)據(jù)的單向流動，則配置如下：

　　SwitchB(config)#ip access-list standard permit_host192.168.l.x

　　SwitchB(config-std-nacl)#permit 192.168.1.0 0.0.0.255 any

　　SwitchB(config-std-nacl)#deny any

　　3.訪問時間權(quán)限控制

　　基于時間的ACL可以為一天中的不同時段，或者一星期的不同日期，制定不同的訪問控制策略，從而滿足用戶對網(wǎng)絡(luò)的靈活需求。例如：要求上班時間(周一到周五的9：00-18：00)不允許部門職員訪問互聯(lián)網(wǎng)的ftp服務(wù)器，則配置如下：

　　Switch(config)#time-range no-ftp

　　Switch(config-time-range)#absolute start 8：00 15 5 2010 end8：00 1 5 2020

　　Switch(config-time-range)#periodic weekdays 9：00 to 18：00

　　Switch(config)#ip access-list extended deny_ftp

　　Switch(config-ext-nacl)#deny tcp any any eq ftp time-range no-ftp

　　Switch(config-ext-nacl)#permit ip any any

　　4.應(yīng)用ACL防范病毒

　　病毒入侵經(jīng)常會使用某些特殊端口，如135、445等，關(guān)閉這些端口可有效防止常見病毒的攻擊。例如最近公司網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)沖擊波病毒，造成了很多地方感染，網(wǎng)絡(luò)癱瘓。我們可以利用S21系列智能交換機的ACL功能做出限制，禁止其轉(zhuǎn)發(fā)和傳播，配置命令為：

　　access-list 115 deny udp any any eq 69

　　access-list 115 deny tcp any any eq 135

　　access-list 115 deny udp any any eq 135

　　access-list 115 deny udp any any eq 137

　　access-list 115 deny udp any any eq 138

　　access-list 115 deny tcp any any eq 139

　　access-list 115 deny udp any any eq 139

　　access-list 115 deny tcp any any eq 445

　　access-list 115 deny tcp any any eq 593

　　access-list 115 deny tcp any any eq 4444

　　access-list 115 permit ip any any5.防止IP地址盜用

　　專家級ACL可以利用MAC地址、IP地址、VLAN號、傳輸端口號、協(xié)議類型等定義規(guī)則，按照規(guī)則進行訪問控制，保證網(wǎng)絡(luò)安全。假設(shè)有人利用某些網(wǎng)絡(luò)工具試圖對企業(yè)服務(wù)器進行攻擊和訪問，我們就可以用專家級ACL，對攻擊方的IP地址和MAC地址進行綁定，拒絕其訪問服務(wù)器。例：要求只有總經(jīng)理主機(192.168.1.1)可訪問ftp服務(wù)器192.168.10.10，則配置如下：

　　Switch(config)#expert access-list extentded jingli

　　Switch(config-ext-macl)#permit tcp host 192.168.1.1 host 00d0.f800.0099 host 192.168.10.10 any eq ftp

　　5.流量控制

　　企業(yè)網(wǎng)內(nèi)用戶利用BT等工具下載電影，占用了大量帶寬，影響了企業(yè)網(wǎng)的正常使用。此時，可采取ACL限制企業(yè)網(wǎng)外的用戶對網(wǎng)內(nèi)的BT用戶發(fā)起連接，或利用ACL對不同數(shù)據(jù)流分配不同的帶寬，從而限制流量。例：只允許企業(yè)網(wǎng)內(nèi)的主機主動與網(wǎng)外的主機建立TCP連接，不允許網(wǎng)外的主機對網(wǎng)內(nèi)的主機主動發(fā)起連接，則配置如下：

　　Router(config)#access-list 120 permit tcp any any gt 1023 established

　　Router(config)#access-list 120 permit tcp any any

四、小結(jié)

　　本文通過在路由器或交換機上建立ACL，列舉了ACL在企業(yè)網(wǎng)控制方面的幾個具體應(yīng)用，可見ACL在削減網(wǎng)絡(luò)安全威脅方面的作用是強大的。通過以上配置實例，使路由器成為一個包過濾防火墻，提高了企業(yè)網(wǎng)絡(luò)的安全性。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：ACL構(gòu)建企業(yè)網(wǎng)安全

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112155438.html