淺析訪問控制技術在山西地震行業網中的應用

陳存田

摘要：隨著網絡技術的高速發展，各行業系統領域都已建成較為成熟系統網絡。在網絡系統的使用過程中，系統漏洞、網絡攻擊等網絡安全問題問題日漸突出。以山西省地震局行業網外聯單位區域為例，通過運用ACL訪問控制技術從OSI七層模型的網絡和傳輸層面解決該區域的安全授權訪問需求，以保證山西地震行業網安全有序運行提供必要的技術手段。

關鍵詞：訪問控制列表（acl）;網絡安全控制;山西地震行業網

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）08-0228-02

1 概述

隨著網絡技術的高速發展，各行業系統領域都已建成較為成熟系統網絡，基本實現了辦公網絡化。與此同時在各行業系統網絡的運行使用過程中各種安全問題日益凸顯，如何安全健康的使用網絡成為各行業領域網絡運維人員高度關注和急需解決的問題。既要防止未經授權的非法訪問數據入侵內部Intranet，也要防止各行業系統領域主機未經授權訪問外部網絡造成的信息泄密等。路由器作為網絡互連的網絡通信設備，在路由器的相關接口上運用ACL訪問控制技術可以很好地解決此類非授權的非法訪問，從而起到有效保護網絡的作用。ACL訪問控制技術適用于所有路由協議，通過在路由器中運用此種技術可以起到網絡安全訪問、網絡流量控制等作用。對于企業政府等行業在不增加防火墻安全設備的前提下，不失為一種安全可行的解決方案。

2 ACL的概述

ACL全稱訪問控制列表（Access Control List），是由一個或者多個用于報文過濾的規則組成的規則集合。常用在路由器或交換機接口的指令列表，用來控制端口進出的數據包的技術。

2.1 ACL的基本原理

ACL主要使用包過濾技術，其主要工作于OSI七層模型中的網絡層和傳輸層。通過讀取進出路由器或者交換機端口數據包頭中的源地址、目的地址、源端口號、目的端口號、協議類型等信息，來達到對數據包的過濾控制。ACL過濾技術是按照事先定義好的訪問控制列表集合中的規則順序執行，具體詳見下圖ACL工作流程圖。

2.2 ACL的功能

網絡中的結點分為資源結點和用戶結點兩大類，其中資源結點提供服務或數據，而用戶結點訪問資源結點所提供的服務與數據。ACL的主要功能就是一方面保護資源結點，阻止非法用戶對資源結點的訪問;另一方面限制特定的用戶結點對資源結點的訪問權限。概括起來主要有以下四點主要功能：

（1）ACL可以限制網絡流量，提高網絡性能;

（2）ACL提供對通信流量的控制手段;

（3）ACL是提供網絡安全訪問的基本手段;

（4）ACL可以在路由器或者交換機端口處決定進出該端口的數據被轉發或丟棄。

2.3 配置ACL的基本原則

ACL訪問控制列表在各廠商設備中的運行規則各有不同。相同的是都是順序從上至下執行列表集合，根據語句中描述的條件去匹配數據包，一旦匹配上就結束本次執行過程不再繼續向下執行剩余語句。不同的是訪問控制列表的語法運用規則不同。有的是除非允許，全部禁止，有的是除非禁止，全部允許。

2.4 訪問控制列表的分類

目前ACL訪問控制列表的分類有兩種，標準ACL和擴展ACL。

標準ACL是基于數據包的源地址進行過濾，使用的numer編號范圍2000-2999。擴展ACL是基于數據包源地址、目的地址、協議類型及所使用的端口號進行過濾，使用的numer編號范圍3000-3999。擴展acl在應用上更加靈活方便。各設備廠家系統軟件中針對訪問控制列表的語法語句略有不同，具體語法語句格式本文在本文中不進行詳細敘述。本文以華為路由器ACL訪問控制命令語法格式為例進行說明。

標準ACL訪問控制語句：acl number （2000-2999）

配置標準ACL訪問控制規則，允許源 IP 地址為 10.14.2.1的報文通過，并且通過命令查看列表類型。

system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule 0permit source 10.14.2.1 0

[Sysname-acl-basic-2000] display acl 2000

Basic ACL 2000， named -none-， 1 rule，

ACL's step is 5

rule 0 permit source10.14.2.1 0 （5 times matched）

擴展ACL訪問控制語句：acl number （3000-3999）

配置擴展ACL 訪問控制規則，允許 10.14.2.0網段的主機向 10.16.5.0網段的主機發送端口號為80的TCP報文。

system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000]rule 0 permit tcp source 10.14.2.00.0.255.255 destination 10.16.5.00.0.255.255 destination-port eq 80

[Sysname-acl-adv-3000] display acl 3000

Advanced ACL 3000， named -none-， 1 rule，

ACL's step is 5

rule 0 permit tcp source 10.14.2.0 0.0.255.255 destination 10.16.5.0 0.0.255.255? destination-port eq www （5 times matched）

3 ACL訪問控制技術實例應用

山西省地震局為中國地震局與山西省政府雙重領導的管理體制，承擔山西省防震減災政府行政管理職能。省政府設立山西省防震減災領導組作為防震減災協調領導機構，組長為省政府分管副省長;領導組辦公室設在省地震局，履行防震減災公共管理與社會服務職能;震時領導組自動轉為省政府抗震救災指揮部，省地震局履行指揮部辦公室職責。為保證領導組成員單位之間信息共享聯動協同工作，目前領導組成員單位全部通過租用營運商專用電路建立與省地震局網絡互聯互通。

山西地震行業網經過三個“五年計劃”的發展建設，目前已經形成區域中心（省中心）--綜合臺站、市局匯聚節點--無人值守臺站的三級網絡構架的組網模式。

第一層為區域中心（省中心），負責全省地震行業數據的匯集交換與處理，上連中國地震臺網中心，下連至匯聚層的省內11個地市地震局信息節點和省局直屬的地震臺站信息節點。

第二層為匯聚層，主要由山西省各地市地震局節點和省局直屬臺站節點組成，除承擔本節點的信息服務任務外，同時承擔三級節點的匯聚任務。

第三層無人值守監測臺站，包括測震臺站、前兆無人值守臺站、強震動臺站。屬于地震行業數據產出的最前端，產出數據通過租用電信運營商專用電路，傳輸至匯聚層。

區域中心（省中心）處于網絡架構的最頂層。

防震減災領導組成員單位通過租用電信運營商PTN專線方式與省地震局建立網絡互聯，實現數據共享。隨著近年來區域中心業務的不斷增加，網絡規模及結構都出現了變化，經過調研分析，重新劃分了外聯單位接入區域功能，明晰該區域與我局互連網絡邊界。在不增加防火墻等安全設備的前提下，在外聯單位區域接入核心交換機9306接口G2/0/16配置ACL訪問控制策略，明確成員單位授權訪問資源。

3.1 ACL訪問控制策略制定原則

防震減災領導組成員單位接入區域原接入方式較為簡單，成員單位通過租用電信運營商的PTN專用線路接入山西省地震局區域中心網絡。通過劃分三層vlan方式為其分配IP地址，完成與省地震局區域中心網絡的互聯互通。這種接入方式缺點是每個成員單位都單獨占用一個vlan地址段，在成員單位側互連設備只為一臺普通工作主機，通過廣泛調研及技術論證在不增加防火墻等安全設備的前提下，我局技術人員重新調整這部分區域接入方式，將原來每個單位占用一個VLAN IP地址段統一調整成統一的IP地址段即10.14.200.X ，同時在核心交換機9306 G2/0/16 接口上部署訪問控制策略，成員單位只能訪問我局服務資源區域即10.14.2.X段的主機，其他未授權資源區域全部禁止訪問。

具體的訪問控制策略如下：

（1）明確授權訪問的地址及授權訪問區域。

acl number 3001

rule 5 permit ip source 10.14.200.0 0.0.0.255 destination 10.14.2.0 0.0.0.255

rule10 deny ip

（2）過濾限制敏感端口及病毒端口等。

acl number 3000

rule 0 deny tcp destination-port eq 5554

rule 1 deny tcp destination-port eq 9996

rule 2 deny tcp destination-port eq 135

rule 3 deny udp destination-port eq 135

rule 4 deny tcp destination-port eq 137

rule 5 deny udp destination-port eqnetbios-ns

rule 6 deny tcp destination-port eq 138

rule 7 deny udp destination-port eqnetbios-dgm

rule 8 deny tcp destination-port eq 139

rule 9 deny udp destination-port eqnetbios-ssn

rule 10 deny tcp destination-port eq 593

rule 11 deny tcp destination-port eq 4444

rule 12 deny tcp destination-port eq 8998

rule 13 deny tcp destination-port eq 445

rule 14 deny udp destination-port eq 445

（3）定義數據流分類及行為關聯兩組訪問控制策略，匹配感興趣數據流。

ACL number 3000 、ACL number3001

traffic classifier wailiandanwei operator or precedence 30

if-matchacl 3001

traffic behavior wailianguize

traffic policy wailian

classifierc_deny behavior b_deny

classifierwailiandanwei behavior wailianguize

（4）運行策略至路由器G2/0/16接口

interface Vlanif2200

descriptionwailiandanwei

ip address 10.14.200.253 255.255.255.0

vrrpvrid 200 virtual-ip 10.14.200.254

vrrpvrid 200 priority 105

interface GigabitEthernet2/0/16

descriptionTO_boda-SWitch-tieluju-shengjunqu-gaopaolv

port link-type access

port default vlan 2200

traffic-policywailian inbound

port-mirroring to observe-port 1 both

（5）測試結果

在外聯單位區域配置主機終端IP地址10.14.200.8登錄10.14.2.100 門戶網站IP地址正常訪問，通過ping命令測試其他網段地址及互聯網地址均無法訪問。

4 總結

通過重新規劃設置外聯區域運用ACL訪問控制技術實現了成員單位的安全接入，使省中心局域網區域劃分更加合理邊界更加清晰。從網絡安全的角度看，實現了對我局授權資源的安全訪問，保護了整網的安全有效運行。但是ACL訪問控制技術只能過濾網絡層和傳輸層面對進出網絡設備的數據包進行過濾，還需聯動配合其他網絡安全設備才能全方位多層面地對進出網絡的數據包進行全面的分析過濾，實現對我局網絡資源訪問的安全可信訪問。

參考文獻：

[1] 王達.華為路由器學習指南[M].北京：人民郵電出版社，2014.

[2] 莫林利.使用ACL技術的網絡安全策略研究及應用[J].華東交通大學學報，2009，26（6）：79-82.

【通聯編輯：光文玲】