基于ACL的企业园区网络安全设计.docVIP

基于ACL的企业园区网络安全设计 　　摘要：该文介绍了ACL技术的工作原理、分类、特性；分析了企业园区网络的特点和存在安全问题；最后给出了通过建立ACL规则来网络的安全性的方法。 　　关键词：企业园区网；网络安全；ACL（访问控制列表） 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)17-4026-02 　　随着信息技术的飞速发展，电子政务、电子商务、企业信息化建设取得了显著成效，园区网络也已经被广泛的应用到企业日常工作、管理中去。与此同时网络安全问题日益突出，安全保密建设任务更加紧迫，如何切实有效的对终端用户的网络访问范围、权限加以控制，对病毒、木马的泛滥加以限制成为企业园区网络安全建设的面临的重要课题。 　　近年来由于三层交换设备在企业园区网络中的广泛应用，通过ACL（Access Control List，访问控制列表）进行数据流控制实现网络安全，变得具有普遍意义。 　　1 ACL技术介绍 　　1.1 ACL的工作原理 　　TCP/IP协议中数据包具有数据包由IP报头、TCP/UDP报头、数据组成，IP报头中包含上层的协议端口号、源地址、目的地址，TCP/UDP报头包含源端号、目的端口，设备信息。（如图1） 　　ACL利用这些信息来定义规则，通过一组由多条deny（拒绝）和permit（允许）语句组成的条件列表，对数据包进行比较、分类，然后根据条件实施过滤。――如果满足条件，则执行给定的操作；如果不满足条件，则不做任何操作继续测试下一条语句。（如：图2） 　　1.2 ACL的分类 　　ACL的分类根据网络厂商及设备IOS版本的不同存在一定的差别，但按照规则的功能一般ACL可以划分以下三种： 　　1）标准ACL：仅使用数据包的源IP地址作为条件来定义规则。 　　2）扩展ACL：既可使用数据包的源IP地址，也可使用目的IP地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型等其他第3层和第4层报头中的其他字段来定义规则。 　　3）基于以太帧的ACL：可根据数据包的源MAC地址、目的MAC地址、以太帧协议类型等其他以太网帧头信息来定义规则。 　　1.3 ACL的特性 　　1）每条ACL应当至少包含一条允许语句，否则将拒绝所有流量。 　　2）ACL被创建后并不是马上生效，只有在被应用到接口时才会过滤流量。 　　3）ACL只过滤通过设备的流量，而不过滤本设备所产生的流量。 　　4）将标准ACL尽可能放置在靠近目的地址的位置，将扩展ACL尽可能放置在靠近在源地址的位置，以避免不必要的流量占用网络带宽。 　　5）避免在核心层设备上大量使用ACL，这将大量占用设备的处理能力。 　　2 企业园区网络安全实例 　　2.1 典型企业园区网络 　　在典型企业园区网络环境中，网络依照三层架构建设及接入层、汇聚层、核心层，各部门通过Vlan划分为多个子网络。终端用户主要应用为OA系统、电子邮件以及部门打印机。（如图3） 　　2.2 企业园区网络所面临的安全问题 　　传统意义上的网络安全考虑的是防范外部网络对内网的攻击行为，即来自于英特网的攻击行为。外网安全威胁模型假设内部网络都是安全可信的，威胁都来自于外部，其途径主要通过内外网络边界出口，只要将网络边界处的安全控制措施做好，即可确保整个网络的安全。传统防火墙、入侵检测、防病毒网关和VPN设备都是基于这种思路来设计的。 　　事实上，内部网络并非完全安全可信。内部网络包含大量的终端、服务器和网络设备，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，威胁既可能来自外网，也可能来自内网的任何一个节点上，实现一个可管理、可控制和可信任的内网已成为维护企业网络系统正常运行，充分发挥信息网络效益的必然要求。 　　目前，对企业内部园区网络的常见安全问题有以下几点： 　　1）在企业管理中需要避免各个部门之间网络的相互影响，限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。 　　2）防止内网已有病毒在网络上的扩散传播，控制并减少病毒侵害的范围。 　　3）防止未经授权的非法终端设备接入网络，对网络中的设备进行。 　　2.3 ACL策略实现 　　对于企业园区网中的上述问题，以Cisco三层交换机为例设配置ACL策略，实现安全防范。 　　1）企业园区网络各部门Vlan收敛于核心交换机，因此在核心交换机上使用扩展ACL实现Vlan指定访问。 　　Switch（config）# access-list 101 permit any 192.168.254.0 0.0.0.255//允许目的地址为服务器区域地址段 　　Switch（config-if）# interface vlan 10