基于路由器的访问控制列表保护内部网络安全.docx

基于路由器的访问控制列表保护内部网络安全.docx

《基于路由器的访问控制列表保护内部网络安全.docx》由会员分享，可在线阅读，更多相关《基于路由器的访问控制列表保护内部网络安全.docx（6页珍藏版）》请在冰豆网上搜索。

基于路由器的访问控制列表保护内部网络安全

基于路由器的访问控制列表保护内部网络安全

 1 引言

   随着Internet的不断普及，越来越多的计算机接入国际互联网，随之而来的网络安全问题也备受人们关注。

一般大型的骨干网络会配备专业的防火墙等网络防护设备，以阻断外部的非法访问和恶意攻击。

对于一般小规模的办公网络用户而言，部署专业防火墙的代价相对较高，且会影响网络性能。

路由器在网络体系结构中起着非常重要的作用，主要功能是转发来自不同网络的数据包。

目前大部分路由器都具有访问控制列表的功能，利用访问控制列表可以在路由器上配置访问规则隔离内网和外网，阻止存在安全风险的外网用户对内部敏感数据的访问，实现防火墙的功能，从而简单高效地实现对内网的保护。

2 访问控制列表的简介

2.1 访问控制列表的原理

图1  ACL工作过程

   访问控制列表是路由器某端口的一系列关于网络数据包允许或拒绝的规则集合，是路由器实现网络管理的一种方法。

ACL通过访问控制列表到路由器接口来管理流量和审视特定分组，任何经过该接口的数据包都要接受ACL中条件的检测。

ACL适用于所有的路由协议，如IP、IPX等，当分组经过时进行过滤。

图1是ACL的工作过程。

2.2 访问控制列表的作用

   ACL具有以下功能：

（1）实现数据包过滤，限制用户访问某些外部网段、端口、应用服务器，或者限制外部数据包访问内部网络的某些网段、端口、应用服务器等。

（2）在接口上控制报文传输。

   （3）控制虚拟终端连接（VTY）的访问

3 访问控制列表的基本配置

   访问控制列表分为标准访问控制列表和扩展访问控制列表。

3.1 标准访问控制列表

   标准ACL根据源地址进行匹配，路由器检查分组的源地址，并与标准访问控制列表进行比较和匹配，然后决定丢弃或转发。

（1）用数字或者名字来标识访问控制列表，其完整语法如下：

   Router（config）#access-listaccess-list-number

   Router（config）#ipaccess-liststandardname

（2）定义标准访问控制列表的访问规则，其具体语法如下：

   Router（config）#access-listaccess-list-number{deny|permit}source[source-wildcard]log]

   这里的source-wildcard用于掩去源地址中不需要匹配的位。

掩码中为1的位表示不予理会的地址位，而为0的位表示出去必须准确匹配的地址位。

关键字log用于让路由器向主控制台发送日志信息。

3.2 扩展访问控制列表

   扩展ACL可以基于分组的源地址、目标地址、协议类型、端口地址和应用来决定访问是被允许或者拒绝。

扩展ACL也需要以名字或数字来标识访问规则。

其完整语法如下：

   Router（config）#access-listaccess-list-number[dynamicdynamic-name[timeoutminutes]]{deny|permit}protocolsourcesource-wilddestinationdestination-wild[precedenceprecedence] [tostos][log|log-input][ime-rangetime-range-name][fragments]

   因为扩展ACL提供了更大的弹性和控制范围，在实际中它比标准ACL使用的更多。

在下面的举例应用中都将采用扩展ACL。

4 访问控制列表在内网安全中的具体应用

4.1 防止某些外部网络的访问和非法探测

   如图2所示，一个内部的局域网通过S0端口与互联网相连接，网口Eth1与内部交换机连接，假设内网的网络地址为192.168.1.0/24。

网内用户一般不希望外部的某些网络访问本地计算机，并且防止外网的黑客通过扫描工具探测内网。

图2 网络拓扑结构

   假设我们不希望外网的200.200.200.0/24、176.36.25.0/24访问我们的内部网络，并且不让外部用户通过Ping、Tracert探测内网，可以设置以下规则：

   Router（config）#ipaccess-listwaiwang

   Router（config-ext-nacl）#deny200.200.20000.0.0.255any

   Router（config-ext-nacl）#deny176.36.25.000.0.0.255any

   Router（config-ext-nacl）#denyicmpanyanyecho

   Router（config-ext-nacl）#denyicmpanyanyecho-reply

   Router（config-ext-nacl）#denyicmpanyanyhost-unknown

   Router（config-ext-nacl）#denyicmpanyanyhost-unreachable

   Router（config-ext-nacl）#denyicmpanyanytraceroute

4.2 只对外开放可供访问的服务

   对于内部网络，存在各种各样的服务，我们通常只允许外网访问我们提供的某些服务。

同样以上图为例，假设这里只开放Web和Ftp服务，即只向外网开放80、20、21端口。

   Router（config）#ipaccess-listfuwu

   Router（config-ext-nacl）#permittcpany192.168.1.00.0.0.255eq80

   Router（config-ext-nacl）#permittcpany192.168.1.00.0.0.255eq20

   Router（config-ext-nacl）#permittcpany192.168.1.00.0.0.255eq21

   Router（config-ext-nacl）#denytcpanyany

   Router（config-ext-nacl）#denyudpanyany

   ACL规则的顺序非常重要，流入流出的数据分组同ACL规则一条一条进行比较，如果有匹配的规则就不做任何比较操作。

4.3 禁止访问内网的特定端口

   黑客入侵经常会使用某些特殊端口，如135、139等，关闭这些端口可有效防止常见病毒、木马的攻击，可以通过配置ACL规则对这些端口进行过滤。

   Router（config）#ipaccess-listrefusedports

   //控制Blaster蠕虫的传播

   Router（config-ext-nacl）#denytcpanyanyeq4444

   Router（config-ext-nacl）#denyudpanyanyeq4444

   Router（config-ext-nacl）#denyudpanyanyeq69

   //防止冲击波病毒利用RPC漏洞

   Router（config-ext-nacl）#denytcpanyanyeq135

   Router（config-ext-nacl）#denyudpanyanyeq135

   //禁用NetBios协议

   Router（config-ext-nacl）#denytcpanyanyeq139

   Router（config-ext-nacl）#denyudpanyanyeq139

   //禁止计算机开放提供终端服务

   Router（config-ext-nacl）#denytcpanyanyeq3389

   Router（config-ext-nacl）#denyudpanyanyeq3389

4.4 规定内网的访问时间

   目前几乎所有的防火墙都提供了基于时间的控制对象，路由器的访问控制列表也提供了定时访问的功能，用于在指定的日期和时间范围内应用访问控制列表。

它的语法规则如下：

（1）为时间段起名

   Router（config）#time-rangetime-range-name

（2）配置时间对象

   Router（config-time-range）#absolute[starttimedate][endtimedate] 

   或者

   Router（config-time-range）#periodicdays-of-the-weekhh：

mm：

to[days-of-the-week]hh：

mm

   其中absolute语句指定绝对时间范围，periodic语句允许使用大量的参数，如MondayFriday等。

   （3）配置实例

   假设规定上班期间早八点到晚八点启用规则、周末全天启用规则，具体配置如下：

   Router（config）#time-rangeworktime

   Router（config-time-range）#periodicweekends00：

00to23：

59

   Router（config-time-range）#periodicmonday08：

00tofriday20：

00

4.5 限制虚拟终端连接（VTY）的访问

   路由器上有5个虚拟终端连接，它们的编号从0到4，用户可以通过VTY来访问和配置路由器。

VTY的访问使用Telnet协议，与路由器产生一个非物理连接，配置ACL，用户可以被允许或者拒绝通过VTY访问路由器，从而增强网络安全性。

假设我们只允许192.168.123这个IP地址通过VTY访问路由器，其配置如下：

   Router（config）#access-list2permithost192.1681.1

   Router（config）#access-list2denyany

   !

Applyingtheaccesslist：

   Router（config）#linevty04

   Router（config）#login

   Router（config）#password*****

   Router（config）#access-class2in

   只有数字的访问列表才可以应用到虚拟连接中。

5 总结

   通过配置ACL也可以实现包过滤防火墙的功能，这样可有效地保障内部网络的安全。

在小型办公网络环境中，配置ACL的路由器不仅可有效保障内部网络安全，还可节约成本。

在实际中，在网络中合理适当地使用访问控制列表进行访问权限和流量控制，网络的安全性和实际工作性能都可以得到很大提升。

参考文献

[1]CiscoSystems公司.思科网络技术学院教程[M].清华大学等译.北京：

人民邮电出版社，2002：

132-1481

[2]陆魁军等.网络实战指南[M].北京：

清华大学出版社，2007：

696-702

[3]CiscoSystems公司.网络核心技术内幕[M].希望图书创作室译北京：

北京希望电子出版社，2000：

87-941

[4]王忠力.Windows系统计算机端口及安全问题．计算机与信息技术[J]，2007，9：

34-37

收稿日期：

6月3日   修改日期：

6月10日

作者简介：

张军伟（1984-），男，陕西渭南人，硕士研究生，主要研究方向：

网络与信息安全；罗红（1963-），男，陕西西安人，副教授，博士，主要研究方向：

网络与信息安全；乔向东（1970-），男，陕西佳县人，副教授，博士，主要研究方向：

信息融合与信息安全。