ACL在網(wǎng)絡安全的應用仿真

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了ACL在網(wǎng)絡安全的應用仿真范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：acl作為熱門的網(wǎng)絡技術之一，被廣泛應用于網(wǎng)絡管理領域中。文章結(jié)合企業(yè)對網(wǎng)絡的常用訪問控制需求，并利用思科PacketTracer仿真，模擬了ACL在網(wǎng)絡安全中的應用。

關鍵詞：ACL；網(wǎng)絡安全；仿真

1ACL概述

1.1ACL基本概念

訪問控制列表（AccessControlList，ACL），工作在OSI參考模型的第3層，用于通過建立的訪問規(guī)則對進出網(wǎng)絡中的數(shù)據(jù)包進行訪問控制，進而達到對網(wǎng)絡的控制和保護目的。訪問控制列表每條語句組成一個規(guī)則，決定數(shù)據(jù)包的運行通過或拒絕通過。ACL可分為標準的訪問控制列表和擴展的訪問控制列表兩類，標準的訪問控制列表基于源地址做過濾策略，適應場合有限，不能進行復雜的條件過濾。擴展的訪問控制列表可通過源IP地址、目的IP地址、端口號、協(xié)議等諸多信息來規(guī)定數(shù)據(jù)包的處理動作，對經(jīng)過的數(shù)據(jù)流進行判斷、分類和過濾。通過訪問控制列表可以實現(xiàn)控制網(wǎng)絡流量，提高網(wǎng)絡性能；提供訪問權限，實現(xiàn)訪問控制等功能，是目前重要的安全保護技術，被廣泛應用于互聯(lián)網(wǎng)。

1.2ACL工作原理

ACL可以工作在路由器、交換機等網(wǎng)絡設備上，主要采用數(shù)據(jù)包過濾技術。以路由器為例，當數(shù)據(jù)包到達路由器的轉(zhuǎn)發(fā)端口時，首先判斷該端口是否有ACL，沒有則直接轉(zhuǎn)發(fā)；如果有則匹配ACL的轉(zhuǎn)發(fā)規(guī)則，根據(jù)轉(zhuǎn)發(fā)規(guī)則來決定數(shù)據(jù)包permit或deny；如果permit，則直接轉(zhuǎn)發(fā)；如果deny則丟棄該數(shù)據(jù)包并向數(shù)據(jù)源發(fā)送目標不可達的ICMP報文或終止TCP的連接請求。

1.3ACL使用原則

在配置和使用ACL時由于每個接口、每個方向、每種協(xié)議只能設置一個ACL，同時ACL按順序比較，直找到符合條件的那條以后就不再繼續(xù)比較，因此應注意以下3點原則。（1）最小權限原則：即只給予受控對象完成任務所必須的最小權限。（2）最靠近受控對象原則：即所有的網(wǎng)絡層訪問權限控制要盡量距離受控對象最近。（3）默認丟棄原則：即每個訪問控制列表最后都隱含了一條denyany規(guī)則。

2ACL在網(wǎng)絡安全中應用場景設計為研究

ACL在網(wǎng)絡安全中的應用，這里設計如下的企業(yè)應用場景。某企業(yè)有管理部、員工部、財務部3個部門，另企業(yè)架設了自己的FTP服務和Web服務器。其中VLAN10模擬管理部，VLAN20模擬員工部，VLAN30模擬財務部，VLAN40模擬服務器區(qū)。www1，www2模擬外網(wǎng)的Web服務器，PC3模擬未授權的網(wǎng)絡。為仿真ACL的網(wǎng)絡隔離、網(wǎng)絡保護、訪問控制等安全功能，提出如下網(wǎng)絡安全需求：（1）內(nèi)網(wǎng)、外網(wǎng)都可以訪問企業(yè)的Web服務器，但FTP服務器只能被校內(nèi)訪問。（2）管理部可以訪問員工部、財務部，但員工部不能訪問財務部。（3）管理部可以訪問外網(wǎng)www1和www2服務器，員工部只能訪問www1，而財務部拒絕訪問一切外網(wǎng)[1]。

3ACL關鍵配置

鑒于篇幅有限，本部分配置僅為ACL配置部分的關鍵代碼。（1）限制外網(wǎng)對FTP的訪問，仿真保護特定的內(nèi)網(wǎng)目標。Router(config)#access-list101denytcpanyhost192.168.4.2eq21Router(config)#access-list101permitipanyanyRouter(config)#ints1/0Router(config-if)#ipaccess-group101in（2）管理部可以訪問員工部、財務部，但員工部不能訪問財務部，仿真內(nèi)網(wǎng)的訪問控制。Switch(config)#access-list1permit192.168.1.00.0.0.255Switch(config)#access-list1deny192.168.2.00.0.0.255Switch(config)#access-list1permitanySwitch(config)#intvlan30Switch(config-if)#ipaccess-group1out（3）管理部可以訪問外網(wǎng)www1和www2服務器，員工部只能訪問www1，而財務部拒絕訪問一切外網(wǎng)，仿真外放的訪問控制和隔離。Router(config)#access-list102permitip192.168.1.00.0.0.255anyRouter(config)#access-list102permittcp192.168.2.00.0.0.255host222.222.222.2eq80Router(config)#access-list102denyip192.168.2.00.0.0.255anyRouter(config)#access-list102denyip192.168.3.00.0.0.255anyRouter(config)#access-list102permitipanyanyRouter(config)#intf0/0Router(config-if)#ipaccess-group102inRouter#showipaccess-lists102ExtendedIPaccesslist102permitip192.168.1.00.0.0.255any(15match(es))permittcp192.168.2.00.0.0.255host222.222.222.2eqwww(5match(es))denyip192.168.2.00.0.0.255any(12match(es))denyip192.168.3.00.0.0.255anypermitipanyany(47match(es))

4仿真結(jié)果驗證

無ACL時內(nèi)網(wǎng)和外網(wǎng)都可正常訪問內(nèi)網(wǎng)的FTP；配置ACL后的內(nèi)網(wǎng)可正常訪問，PC3則無法訪問，實現(xiàn)了保護內(nèi)網(wǎng)FTP目的。無ACL時，內(nèi)網(wǎng)都可正常訪問財務部；配置ACL后，員工部PC1訪問被阻斷，實現(xiàn)了內(nèi)網(wǎng)訪問控制目標。無ACL時，內(nèi)網(wǎng)都能正常訪問外網(wǎng)的www1和www2；配置ACL后，PC0仍能正常訪問，而PC1只能正常訪問www1，PC2無法訪問www1、www2,實現(xiàn)了訪問控制和財務網(wǎng)絡隔離目標。

5結(jié)語

此次ACL的網(wǎng)絡安全應用的仿真實驗充分證明了ACL對網(wǎng)絡安全起到很好的控制和保護作用，但是ACL也具有一定的局限性，無法達到對所有節(jié)點的權限控制，所以在網(wǎng)絡安全中可以結(jié)合其他技術一起達到網(wǎng)絡安全防御的作用。

[參考文獻]

[1]石峰.訪問控制列表ACL在校園網(wǎng)中的作用分析[J].電腦知識與技術，2017（33）：70-71.

作者:梁賓 單位:九州職業(yè)技術學院