Cisco路由器ACL配置实现网络安全策略

摘 要：随着中小企业信息化水平的不断提高，中小企业信息安全问题越来越为严重，针对大型企业提供的信息安全技术和设备，虽然能为中小企业提供相应的信息安全能力，但其专业性较强、成本较高，增加了中小企业的负担。ACL技术即访问列表控制技术，仅需利用路由器即可实现网络安全控制，成本低廉实现简单，能很好的满足中小企业信息安全的需要，具有极高的应用价值。本文以Cisco路由器为例，就如何通过ACL配置利用路由器实现网络安全策略进行探讨，可供中小企业借鉴。

关键词：Cisco路由器；ACL配置；网络安全；访问控制

中图分类号：TP393.08

信息化技术能有利的提升企业经营效率，是整个社会经济发展的必由之路。近年来，我国中小企业信息化水平得到了极大的提高，大多数中小企业都构建起了自身的网络系统，运用计算机技术、网络技术、信息化技术进行企业经营管理，对促进我国中小企业竞争能力的提升起着重要作用。

1 ACL技术基本原理

1.1 ACL技术实现途径

ACL技术是利用路由器和交换机接口的指令列表，来控制端口进出数据包的技术。这种技术适用于所有被路由协议之中，仅需要对访问控制列表进行关系匹配、条件查询，即可进行访问控制。这种技术是一种包过滤技术，通过读取包头信息与定义好的匹配规则进行比较实现包过滤，允许和拒绝相应的访问，从而达到访问控制的需要。在ACL工作过程中，当收到数据包后路由器先对数据包进行检查，如果数据包可路由则通过访问控制列表找出接口，如果该出口没有被编入ACL则直接从该口送出，如果被编入ACL则进行匹配执行，进行相应的处理。

1.2 ACL技术常见类型

目前常用的ACL技术可分为标准访问控制列表和扩展访问控制列表两类，进一步可细分为标准IP访问控制列表、扩展IP访问控制列表、命名IP访问控制列表三种。标准访问列表控制级别相对较低，只根据分组内源地址或一部分进行控制，编号范围在1-99之间。扩展IP访问控制列表拥有更多匹配项，包括源地址、源端口、目的地址、目的端口、IP优先级、协议类型等，扩充性和灵活性更强，其编号在100-199之间。命名IP访问控制列表则是以列表名来代替IP编号，这种方式突破了99个标准列表和100个扩展列表的数目限制，能直观的反映访问列表完成的功能，扩展较为容易。

1.3 ACL技术实现规则

在ACL配置中极为灵活，应用中必须注意一些基本规则。在权限赋予中，只能给予受控对象完成任务所需的最小权限，如果只是满足部分条件则访问拒绝。在访问控制过程中，ACL匹配是采用自上而下逐条匹配的方式，当发现符合条件时则立即执行，而不会继续对下面的ACL语句进行检测，因此要保证匹配规则最靠近受控对象。在ACL语句中，默认的最后一条是丢充所有不符合条件的数据包，采用默认丢弃原则，在实际应用中要根据需要进行修正，避免造成不必要的问题。同时，ACL所采用的是包过滤技术，其过滤依据为第三层和第四层包头信息，对具体个人、权限级别等的识别能力不足，在实际应用中还需要结合其它访问权限控制策略共同进行，而不能仅依靠ACL技术来进行网络安全管理。

2 Cisco路由器ACL配置实践

2.1 案例简介

某企业将网络结构分为客户接待和管理层两部分，应用企业内部服务器进行企业信息管理。企业内部所有接入企业内网的计算机都可以联网，客户接待部计算机与管理层计算机之间、路由器之间均可以互相访问。客户机不能直接访问企业内部服务器，管理层可以访问企业内部服务器，但不同管理职能部门，包括如财务部、业务部等所的访问权限需要进行控制，外网对企业内部服务器的访问权限也需要进行控制。该企业路由器采用Cisco1841，有服务器一台，客户接待部计算机8台，管理层计算机12台，管理层计算机分为4个部门，网络拓扑结构如图1：

图1

2.2 ACL配置分析

在该企业中，路由器以端口E0连接行政部，网段为192.168.1.0；以端口E1连接人事部，网段为192.168.2.0；以端口E2连接财务部，网段为192.168.3.0；以端口E3连接后勤部，网段为192.168.4.0；以端口E4连接客户接待部，网段为192.168.5.0；以端口E5连接服务器，网段为192.168.6.0。路由器E0-E5端口IP地址分别为192.168.1.1、192.168.2.1、192.168.3.1、192.168.4.1、192.168.5.1、192.168.6.1。其中，行政部计算机三台，IP地址分别为192.168.1.11、192.168.1.12、192.168.1.13；人事部计算机两台，IP地址分别为192.168.2.11、192.168.2.12；财务部计算机四台，IP地址分别为192.168.3.11、192.168.3.12、192.168.3.13、192.168.3.14；后勤部计算机三台，IP地址分别为192.168.4.11、192.168.4.12、192.168.4.13；客户接待部计算机八台，IP地址分别为192.168.5.11-192.168.5.18；服务器两台，IP地址分别为192.168.6.11和192.168.6.12。需要利通过路由器利用ACL配置，来实现企业的网络安全策略，对行政部、财务部、人事部、后勤部、客户接待部对网络和数据安全的不同要求进行安全控制。由于篇幅原因，本文仅只对部分ACL配置进行概述。

2.3 构建单向访问控制策略

在本企业应用中，财务部计算机主要用于财务管理工作，存储处理企业财务数据，这些数据不能让客户接待部所访问，但财务部需要从客户接待部采集相关财务信息，需要访问客户接待部计算机，因此需要构建单向访问控制策略。

配置成功后，客户接待部所处的192.168.4.0网段不能访问财务部的192.168.3.0网段，但财务部网段也不能访问客户接待部网段。因为路由器E2端口的访问控制策略阻止了客户接待部发送和回复的所有数据包，需要采用扩展访问控制列表来构建起单向访问控制策略。

通过配置，当TCP连接建立时，数据包在路由器E4端口in方向上检查通过，则数据包可以通过，但如果是192.168.4.0网段向192.168.3.0网段发起数据包，则不被确认而拒绝通过。通过单向访问配置，则客户接待部计算机不能任意访问财务部计算机，而财务部计算机可以访问客户接待部计算机。

2.4 服务器资源访问控制策略

客户服务部计算机连接入内部网络，即表示客户服务部计算机可以访问内部服务器资源，该企业内部服务器分别为FTP服务器和WWW服务器，FTP服务器提供企业信息资源的存储管理服务，WWW服务器提供WWW服务。客户服务部计算机不需要访问企业内部信息资源，仅需要提供WWW服务。

参考文献：

[1]莫林利.使用ACL技术的网络安全策略研究及应用[J].华东交通大学学报，2009（12）.

[2]白帆，罗进文.访问控制列表的配置与实现[J].电脑知识与技术，2009（08）.

作者单位：长庆钻井总公司，西安 710018