ACL在網(wǎng)絡(luò)安全的應(yīng)用仿真

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了ACL在網(wǎng)絡(luò)安全的應(yīng)用仿真范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：acl作為熱門的網(wǎng)絡(luò)技術(shù)之一，被廣泛應(yīng)用于網(wǎng)絡(luò)管理領(lǐng)域中。文章結(jié)合企業(yè)對網(wǎng)絡(luò)的常用訪問控制需求，并利用思科PacketTracer仿真，模擬了ACL在網(wǎng)絡(luò)安全中的應(yīng)用。

關(guān)鍵詞：ACL；網(wǎng)絡(luò)安全；仿真

1ACL概述

1.1ACL基本概念

訪問控制列表（AccessControlList，ACL），工作在OSI參考模型的第3層，用于通過建立的訪問規(guī)則對進(jìn)出網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行訪問控制，進(jìn)而達(dá)到對網(wǎng)絡(luò)的控制和保護(hù)目的。訪問控制列表每條語句組成一個規(guī)則，決定數(shù)據(jù)包的運(yùn)行通過或拒絕通過。ACL可分為標(biāo)準(zhǔn)的訪問控制列表和擴(kuò)展的訪問控制列表兩類，標(biāo)準(zhǔn)的訪問控制列表基于源地址做過濾策略，適應(yīng)場合有限，不能進(jìn)行復(fù)雜的條件過濾。擴(kuò)展的訪問控制列表可通過源IP地址、目的IP地址、端口號、協(xié)議等諸多信息來規(guī)定數(shù)據(jù)包的處理動作，對經(jīng)過的數(shù)據(jù)流進(jìn)行判斷、分類和過濾。通過訪問控制列表可以實現(xiàn)控制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能；提供訪問權(quán)限，實現(xiàn)訪問控制等功能，是目前重要的安全保護(hù)技術(shù)，被廣泛應(yīng)用于互聯(lián)網(wǎng)。

1.2ACL工作原理

ACL可以工作在路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備上，主要采用數(shù)據(jù)包過濾技術(shù)。以路由器為例，當(dāng)數(shù)據(jù)包到達(dá)路由器的轉(zhuǎn)發(fā)端口時，首先判斷該端口是否有ACL，沒有則直接轉(zhuǎn)發(fā)；如果有則匹配ACL的轉(zhuǎn)發(fā)規(guī)則，根據(jù)轉(zhuǎn)發(fā)規(guī)則來決定數(shù)據(jù)包permit或deny；如果permit，則直接轉(zhuǎn)發(fā)；如果deny則丟棄該數(shù)據(jù)包并向數(shù)據(jù)源發(fā)送目標(biāo)不可達(dá)的ICMP報文或終止TCP的連接請求。

1.3ACL使用原則

在配置和使用ACL時由于每個接口、每個方向、每種協(xié)議只能設(shè)置一個ACL，同時ACL按順序比較，直找到符合條件的那條以后就不再繼續(xù)比較，因此應(yīng)注意以下3點(diǎn)原則。（1）最小權(quán)限原則：即只給予受控對象完成任務(wù)所必須的最小權(quán)限。（2）最靠近受控對象原則：即所有的網(wǎng)絡(luò)層訪問權(quán)限控制要盡量距離受控對象最近。（3）默認(rèn)丟棄原則：即每個訪問控制列表最后都隱含了一條denyany規(guī)則。

2ACL在網(wǎng)絡(luò)安全中應(yīng)用場景設(shè)計為研究

ACL在網(wǎng)絡(luò)安全中的應(yīng)用，這里設(shè)計如下的企業(yè)應(yīng)用場景。某企業(yè)有管理部、員工部、財務(wù)部3個部門，另企業(yè)架設(shè)了自己的FTP服務(wù)和Web服務(wù)器。其中VLAN10模擬管理部，VLAN20模擬員工部，VLAN30模擬財務(wù)部，VLAN40模擬服務(wù)器區(qū)。www1，www2模擬外網(wǎng)的Web服務(wù)器，PC3模擬未授權(quán)的網(wǎng)絡(luò)。為仿真ACL的網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)保護(hù)、訪問控制等安全功能，提出如下網(wǎng)絡(luò)安全需求：（1）內(nèi)網(wǎng)、外網(wǎng)都可以訪問企業(yè)的Web服務(wù)器，但FTP服務(wù)器只能被校內(nèi)訪問。（2）管理部可以訪問員工部、財務(wù)部，但員工部不能訪問財務(wù)部。（3）管理部可以訪問外網(wǎng)www1和www2服務(wù)器，員工部只能訪問www1，而財務(wù)部拒絕訪問一切外網(wǎng)[1]。

3ACL關(guān)鍵配置

鑒于篇幅有限，本部分配置僅為ACL配置部分的關(guān)鍵代碼。（1）限制外網(wǎng)對FTP的訪問，仿真保護(hù)特定的內(nèi)網(wǎng)目標(biāo)。Router(config)#access-list101denytcpanyhost192.168.4.2eq21Router(config)#access-list101permitipanyanyRouter(config)#ints1/0Router(config-if)#ipaccess-group101in（2）管理部可以訪問員工部、財務(wù)部，但員工部不能訪問財務(wù)部，仿真內(nèi)網(wǎng)的訪問控制。Switch(config)#access-list1permit192.168.1.00.0.0.255Switch(config)#access-list1deny192.168.2.00.0.0.255Switch(config)#access-list1permitanySwitch(config)#intvlan30Switch(config-if)#ipaccess-group1out（3）管理部可以訪問外網(wǎng)www1和www2服務(wù)器，員工部只能訪問www1，而財務(wù)部拒絕訪問一切外網(wǎng)，仿真外放的訪問控制和隔離。Router(config)#access-list102permitip192.168.1.00.0.0.255anyRouter(config)#access-list102permittcp192.168.2.00.0.0.255host222.222.222.2eq80Router(config)#access-list102denyip192.168.2.00.0.0.255anyRouter(config)#access-list102denyip192.168.3.00.0.0.255anyRouter(config)#access-list102permitipanyanyRouter(config)#intf0/0Router(config-if)#ipaccess-group102inRouter#showipaccess-lists102ExtendedIPaccesslist102permitip192.168.1.00.0.0.255any(15match(es))permittcp192.168.2.00.0.0.255host222.222.222.2eqwww(5match(es))denyip192.168.2.00.0.0.255any(12match(es))denyip192.168.3.00.0.0.255anypermitipanyany(47match(es))

4仿真結(jié)果驗證

無ACL時內(nèi)網(wǎng)和外網(wǎng)都可正常訪問內(nèi)網(wǎng)的FTP；配置ACL后的內(nèi)網(wǎng)可正常訪問，PC3則無法訪問，實現(xiàn)了保護(hù)內(nèi)網(wǎng)FTP目的。無ACL時，內(nèi)網(wǎng)都可正常訪問財務(wù)部；配置ACL后，員工部PC1訪問被阻斷，實現(xiàn)了內(nèi)網(wǎng)訪問控制目標(biāo)。無ACL時，內(nèi)網(wǎng)都能正常訪問外網(wǎng)的www1和www2；配置ACL后，PC0仍能正常訪問，而PC1只能正常訪問www1，PC2無法訪問www1、www2,實現(xiàn)了訪問控制和財務(wù)網(wǎng)絡(luò)隔離目標(biāo)。

5結(jié)語

此次ACL的網(wǎng)絡(luò)安全應(yīng)用的仿真實驗充分證明了ACL對網(wǎng)絡(luò)安全起到很好的控制和保護(hù)作用，但是ACL也具有一定的局限性，無法達(dá)到對所有節(jié)點(diǎn)的權(quán)限控制，所以在網(wǎng)絡(luò)安全中可以結(jié)合其他技術(shù)一起達(dá)到網(wǎng)絡(luò)安全防御的作用。

[參考文獻(xiàn)]

[1]石峰.訪問控制列表ACL在校園網(wǎng)中的作用分析[J].電腦知識與技術(shù)，2017（33）：70-71.

作者:梁賓 單位:九州職業(yè)技術(shù)學(xué)院