实现基于华为路由器的网络安全访问

摘要：利用华为路由器。合理有效地使用时间段配置等命令。制订安全保护策略，实现了对内部网络访问的安全有效控制。

关键词：华为路由器 配置 安全策略

中图分类号：TP393.2　文献标识码：B 文章编号：1002-2422(2008)01-25-02

华为路由器为了过滤数据包，通过配置访问控制列表ACL(Access Control List)定义一系列的规则，决定什么样的数据包能够通过。ACL有四种形式，分别是基本访问控制列表、基于接口的访问控制列表、基于MAC(Media AccessContr01)地址的访问控制列表和高级访问控制列表。

1 使用原理

基于时间段命令的配置就是在控制列表中对应的ACL规则加入有效时间范围来更合理有效地控制网络。需要控制的每条ACL规则都可单独定义一个时间范围，然后就能在定义的访问规则上应用了，并且对于不同的访问表都是相对独立的。

2 命令细节

每条需要的规则用time-range／undo time-range命令来指定时间范围，然后在所有视图下执行display命令可以显示配置后ACL和时间段的运行情况，通过查看显示信息确认配置的效果。命令格式为：

time-range time-name[start-time to end-time][days][fromtimel date1][to time2 date2]

undo time-range time-mmle[start-time to end-time][days][from time1 date1][to time2 date2]

display time-range{all time-name}每个命令和参数的详细情况和使用如下：

命令time-range用来定义一个时间段，描述一个特殊的时间范围。

命令undo time-range用来删除一个时间段。

参数time-name：时间段的名字。

由time-runge time-name[from timel dateI][to time2 date2]命令指定为绝对时间的时间范围。

由time-range time-name[start-time to end-time][days]命令指定为周期的时间范围。

其中to为关键字，在关键字前后的时间要以24小时制：hh：mm(小时：分钟)表示，日期要按照月／日／来表示。也可以都省略，如果省略，表示与之相联系的permit或de-ny语句立即生效，并一直作用到end处的时间为止。

在time-range time-name[start-time to end-time][days][from timel date1][to time2 date2]命令中既包含绝对时间段又包含周期时间段，周期时间段只在绝对时间段范围内有效。例如：

(1)名为test的ACL规则从2007年1月1日早1点开始起作用，直到2007年1月31日晚24点停止作用，语句如下：

[Quidway]time-range test from 0：00 01／01／2007 to 24：00 01／31／2007：

(2)要表示每天的早8点到晚5点可用这样的语句：

[Quidway]time-range test 08：00 to 17：00 daily；

(3)从2007年5月1日08：00起，到2007年12月1日20：00之间，在每个周一的上午09：00到17：00之间有效，语句为：

[Quidwayl time-range test 09：00 to 17：00 Monday from 08：00 05／01／2007 to 20：00 12,01／2007

组合时间范围定义，使对应的ACL规则访问时间在列表中变得的灵活，实现网络的安全时间控制，对于网络管的管理和安全都是十分有益的。

3 应用范例

路由器的两个以太网接口EO和E1，分别连接着192，168，1，0和192，168，2，0两个子网络。还有一个串口S1，连入Internet。为了防止浏览非法网页影响正常的工作，使192，168，1，0子网内的机器在工作时间(每周一到周五的早8点到晚5点)不能进行WEB浏览。而对192，168，2，0子网的机器不做限制，对其中高级访问控制列表的ACL规则加上入下时间段命令来实现功能：

[Quidway]ac1 number 3001

[Quidway-acl-adv-3001]rule permit tep source 192，168，1，0 0，0，255，255 destination-port eq WWW time-range config1 8：00 to 17：00 working-day

因为高级访问控制列表可针对协议的特性进行过滤，进而控制了WEB访问的HTTP协议，所以以上时间段命令实现了要求的功能。

4 结束语

利用华为路由器基于时间段和协议的配置命令，实现内部网络用户对各类网络的访问控制，可以有效地保护内部网络。