ACL在中小型企业网络中的应用

50技术TechnologyACL在中小型企业网络中的应用于本成陈彦杨勇（徐州工业职业技术学院，江苏徐州221000）现如今，各个企业为了方便业务开展和提高工作效率，都将网络应用引入企业的日常工作。但员工使用网络的随意性，对网络的性能和安全造成巨大威胁。为保障网络畅通，就要设法拒绝非法的外网访问，严格控制上网时间。若通过网络安全设备来管理整个网络，就大大增加了企业的额外开销。因此，对于这些问题，我们都可以通过网络控制来完成，利用ACL访问控制列表来进行企业网络安全的管理与维护。网络安全；网络控制；ACLAbstract:Inordertofacilitatebusinessdevelopmentandimproveefficiency,everyenterpriseintroducesnetworkapplicationofdailywork,buttheemployeesusethenetasonepleases,performanceandsafetyofnetworkwerefacedagreatthreat.Forthesmoothofnetwork,andlimitaccesstowebsitesandonlinetime,alsowanttorefuseillegalaccess,Tomanagetheentirenetworkbythenetworksecurityequipmentwillgreatlyincreasetheenterpriseoverhead.Thus,fortheseproblemscanbeaccomplishedthroughnetworkcontrol,usingtheACLaccesscontrollisttoimprovetheenterprisenetworksecuritymanagementandmaintenance.Networksecurity;Networkcontrol;ACL随着网络应用在企业运营中的作用越来越重要，网络的应用为不同企业之间的合作，企业内部部门之间通信，以及资源的共享提供了途径；但同时网络互联也导致了企业的资料和各部门之间数据的保密性降低，影响了企业的信息安全。因此，企业网络的安全管理必需考虑到各部门之间的访问控制，采用访问控制列表ACL能够保证企业网络资源不被非法使用和访问，外来入侵者不能盗窃到内部信息，并能降低企业增加网络安全设备所付出的额外开支。现以一个实例，设计中小企业网络控制方案并实现：企业有人事部、软件开发部、网站设计部、财务部4个中心部门。企业内部有一台主交换机，各部门可以再接普通交换机进行扩充，现用一台路由器来实现企业内部各部门间的访问控制及互联网访问控制。1.不同部门之间不能互相访问，同部门之间的员工可以互相访问；2.企业管理者可以访问所有的部门，自由访问Internet；3.部门的员工在特定时间段访问Internet；4.对服务器的访问有限制，要区分不同部门的网络；5.财务部只有Email的数据被允许，而其他类型的数据流量都会被路由器禁止。这样可以限制企业内部对外部网络的访问，只允许收发邮件，而不能进行其他的网络访问；6.各部门禁止访问QQ和网络游戏，还可以限制员工浏览网页、限制员工上传企业内部的资料，从而保护企业信息的安全，限制使用BT下载工具浪费流量等；7.控制上班期间上网时间分配。1.首先给4个部门划分VLAN，人事、软件开发、网站设计和财务部分别对应VLAN2，VLAN3，VLAN4和VLAN5，再为它们分配相应的IP网段，再根据企业的需于本成（1981-），男，徐州工业职业技术学院，教师，研究方向为网络技术。　　　　　陈　彦（1982-），男，徐州工业职业技术学院，教师，研究方向为网络技术。　　　　　杨　勇（1982-），男，徐州工业职业技术学院，教师，研究方向为艺术设计。51要，如图1所示利用基于IP地址的扩展ACL来控制各部门之间的访问限制。2.访问控制列表保护企业网络安全在企业内部服务器和客户端上使用访问控制列表可以保护企业的内部网络安全，使该企业的网络连接互联网时免受外部黑客的攻击。然而对于企业网络来说，不仅有外部攻击还有内部的攻击。内部的访问控制列表ACL可以帮助保护网络安全免遭内部危害，如员工盗窃企业机密文件，各企业竞争有人造成内部破坏等。所以，我们根据企业的安全分析和业务需求分析来决定该企业的安全策略，利用ACL来为该企业构建一套网络防火墙。企业的网络防火墙安全策略指明了哪些外部数据包被允许或被禁止通过，并且制定了内部网络服务的一些规则。在路由器上设置访问控制列表ACL来完成该企业的安全策略布局，实现网络防火墙的功能，如图2所示。3.路由器和交换机：在企业的路由器中设置ACL可以提高安全性。在网络传输中限制传输的类型，提高性能，减少网络漏洞，能防止内部的攻击，如各种木马程序和蠕虫病毒的攻击。通过对病毒进行分析，了解病毒主要是通过TCP的135、136、137、138、445、4444端口，UDP的69、135、136、445端口来发动攻击的。路由器作为内部计算机的跨网访问的通道，可以将这些端口限制掉，便可以防止病毒通过路由器从外网进入，也可以防止内部的病毒通过路由器向外传染病毒，同时在中心交换机上划分的VLAN也可以防止病毒在子网之间的传播。Router(config)#access-list101denytcphost192.168.4.3host192.168.6.2eq135Router(config)#access-list101denytcphost192.168.4.3host192.168.6.2eq136Router(config)#access-list101denytcphost192.168.4.3host192.168.6.2eq137Router(config)#access-list101permitipanyanyRouter(config)#inte0Router(config-if)#ipaccess-group101in4.财务部：由于财务部的数据库服务器上面的数据是比较机密的，不是任何人都可以访问上面的数据，这时就要用到访问控制列表ACL，在列表中规定哪些主机可以访问财务部数据库服务器，并且此列表外的主机要想访问财务部服务器时，就会被路由器过滤掉access-list101denyip192.168.1.00.0.0.255192.168.4.00.0.0.255access-list101denyip192.168.2.00.0.0.255192.168.4.00.0.0.255access-list101denyip192.168.3.00.0.0.255192.168.4.00.0.0.255access-list101permitipanyany禁止人事部、软件开发部、网站设计部访问财务部。5.软件开发部：由于软件开发部需要编写大量程序，大部分时间用于编程，但有时候需要上网搜索资料。所以利用基于时间的ACL来限制上网的时间。只允许软件开发部172.16.3.0网段的员工在周一到周五下午三点到五点访问服务器172.16.5.13上的FTP资源，其他工作时间不能下载该FTP资源。路由器配置命令：Router#showclockRouter#clocksetRouter(config)#time-rangeworktime定义时间段名称为技术Technology52worktimeRouter(config-time-rang)#absolutestart15:00end17:00Router(config-time-rang)#periodicweekdaysmondaytofirdayperiodicweekend15:00to17:00定义具体时间范围为每周一到周五的三点到五点。periodicweekdaysmondaytofirday是定义工作日。access-list101denytcpany172.16.5.130.0.0.0eqftptime-rangeaaa禁止在时间段aaa范围内访问172.16.5.13的FTP服务。access-list101permitipanyany容许其他时间段和其他条件下的正常访问。intE1进入E1端口。ipaccess-group101out输出方向。基于时间的ACL比较适合于时间段的管理，通过上面的设置，172.16.3.0的用户就只能在周一到周五下午三点到五点访问服务器的FTP资源，其他时间均不能访问6.网站设计部：负责企业的主要工作，为客户设计其要求的网站。在这里，员工是不允许上网的，但是其又需要不断地与客户交流。所以，部门内必须设置特定的主机，与客户进行远程交流。这里利用ACL在主交换机上设置一台特定主机能过访问外网并能过telnet。access-list1permithost192.168.2.2access-list1denyanyints0/0ipaccess-group1outlinevty04access-list1in7.人事部：人事部主要负责人事招聘，需要经常上网了解网上人力资源，了解各种人才对企业的需求。所以，在工作期间，可能会有人上QQ、玩游戏、下载文件等，造成企业流量浪费。所以，限制他们一些其他类型的数据流量，而有Email的数据流量被允许，这样就可以限制该企业内部对外部网络的访问，只允许员工接收外部邮件，访问一些固定的网址。用ACL来禁止QQ，QQ登陆使用时8000端口（TCP/UDP）Router(config)#access-list101denyudpanyanyeq8000禁止QQ流量；Router(config)#access-list101permitudpanyany允许过滤后所有UDP流量；Router(config)#access-list101permittcpanyany允许过滤后所有TCP流量；Router(config)#access-list101permitipanyany允许过滤后所有IP流量。Router(config)#Inte0/0Router(config)#Ipaccess-group101in利用ACL限制BT下载access-list101denytcpanyanyrang68816890access-list101denytcpanyrang68816890anyaccess-liat101permitipanyany8.管理服务器：主要用来管理和限制各个部门之间的访问权限，便于管理者管理和及时了解企业数据信息。通过在管理服务器上设置ACL，管理者可以访问所有的部门，自由访问Internet，而其他部门则没有权限访问管理服务器。access-list101permitip192.168.5.00.0.0.255anyaccess-list101denyanyipaccess-listextendedoutfilter这样，企业管理者可访问所有部门并能自由上网，所有部门不能够访问该企业的管理服务器等功能。该企业设置访问控制列表后，可以限制一些部门访问网络的流量，提高网络宽带速度和性能，对数据流量起到一定的控制作用，同时也是保护网络访问安全的基本手段。在路由器的端口上配置访问控制列表后，可以对进入端口、出去端口和通过路由器中继的一些数据包进行检测以确保安全。在各部门的交换机上设置ACL，不但禁止了各部门之间的随意访问，而且保护了各部门的数据安全，使各部门履行其职。如果企业的部门较多，只需要在本设计上类似的扩充即可。本设计不但方便了企业的网络管理，提高了企业网络的安全性，更节省了企业在网络方面的额外开支，是一种极具可行性、操作性、指导性的设计。[1]原峰山,陈立德.网络管理与安全.清华大学出版社[2]诸晔.用ACL实现系统的安全访问控制[J].计算机应用与软件.2005.22(3):111-114[3]范萍,李罕伟.基于AC