基于ACL的边界路由策略的应用研究

基于ACL的边界路由策略的应用研究摘要:通过某科研所对边界路由策略需求的分析,针对ACL的基本功能实现和其在禁ping,封端口,封ip段等边界路由中使用的安全策略进行了分析与研究。关键词:ACL;路由策略本文在对acl功能和原理研究的基础上,对其在某科研所的边界路由器上的策略进行分析与研究。1ACLACL(AccessControlLis,tACL)又名访问控制列表。ACL是路由器和接口的指令列表,用来控制端口进出的数据包。ACL可以过滤网络中的数据流量,是控制访问的一种网络技术手段。它可用于指定信息点之间进行通信,内部外部网络之间进行通信,可通过安全策略来阻止非授权用户的访问,达到对访问进行控制的目的,以保证内部网洛的安全性。以H3C设备为例,ACL基本命令如下:①创建基本ACL并进入基本ACL视图aclnumberacl-number[nameacl-name][match-order{auto|config}]②定义规则,可创建多条规则rule[rule-id]{deny|permit}[fragment|logging|source{sour-addrsour-wildcard|any}|time-rangetime-name|vpn-instancevpn-instance-name]2某科研所基本情况为不透漏某科研所的真实ip和便于进行本工程的科学研究,对实际问题进行了简化和虚拟。这里假定科研所使用的外部ip地址为:202.1.1.1,内部架设的服务器ip地址为:192.168.1.1,其他科研所使用的外ip地址为:202.1.1.2,合作企业的外ip地址为202.1.1.3。把实际问题工程化为:可以允许192.168.1.0网段的ip数据包访问外部网络;192.168.1.1与202.1.1.1内外网地址进行转换,并允许202.1.1.2和202.1.1.3访问内部服务器192.168.1.1。网络交互拓扑如图所示:3ACL基本功能实现3·1配置ACL主要内容[router]aclnumber3000[router-acl-adv-3000]rule0permitsource192.168.1.00.255.255.255[router-acl-adv-3000]rule1permitip[router]aclnumber3001[router-acl-adv-3001]rule0permitsource202.1.1.2255.255.255.255[router-acl-adv-3001]rule1permitsource202.1.1.3255.255.255.255[router-acl-adv-3001]rule2denyip3·2ACL在防火墙和地址转换中的应用[router]firewallenable[router]firewalldefaultdeny[router-Serial1/0]firewallpacket-filter3001inbound[router-Serial1/0]natoutbound3000[router-Serial1/0]natserverprotocoltcpglobal202.1.1.1ftpinside192.168.1.1ftp4ACL安全策略应用4·1禁ping黑客入侵时,大多使用Ping命令来检测主机,如果Ping不通,就可以一定程度的保护网络的信息,防止黑客的攻击。[router-acl-adv-3000]ruledenyicmpsourceanydestinationany4·2封端口封端口常用于通过限制某款软件的通信信道使用的端口号而起到阻止使用该款软件的作用,或者用于防止病毒的攻击和传播。防止Blaster蠕虫病毒是防止tcp的4444号端口和udp协议的69号端口。[router-acl-adv-3001]rule10denytcpsourceanydestinationanydestination-porteq4444[router-acl-adv-3001]rule11denyudpsourceanydestinationanydestination-porteq69用于控制振荡波的扫描和攻击是封tcp协议中的445号端口、5554端口、9995端口、9996端口,控制Worm_MSBlas.tA蠕虫的传播是封掉udp协议的1434端口。4·3封ip段有些软件或病毒具有启用随机端口进行连线的能力,如QQ默认情况下使用udp协议的4000端口和6000端口,如果这两个端口被禁止的话,它会自动寻找其它端口,比如,用tcp协议的10XX的端口(随机的)连接到服务器,这就要求我们查封它的服务器所在的ip阻止通信。5结语使用ACL配置边界路由策略,可以对ip数据包的出入进行很好的控制,起到防攻击,保护内网安全的作用。ACL还有很多功能,这里只针对该项目的实际情况对ACL的应用做了分析与研究。