企业安全 合理配置访问控制列表(ACL)
2008-09-10 13:22:07 来源:WEB开发网网络安全越来越受到大家的重视,不论是企业还是其他组织在构建网络环境时,首先需要考虑自己的网络需要什么样的安全防护,然后通过技术手段、管理制度等多方面都综合部署来加强网络的防护能力。其实困扰企业的并不仅仅是如何通过采用安全设备来保证网络安全,特别是一些拥有众多分支机构的大型企业,如何保证分支机构与总部,以及分支机构之间的通信安全才是最迫切的需求。近日的互联网大会上,安全企业纷纷表示了加强等级防护措施的重要性,只有加强对用户端数据进行验证、控制,才能真正有效地防止黑客入侵。 为何要使用ACL
我们知道ACL可以使用包过滤技术,在路由器上读取第三、四层包头部信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。网络中的节点可分为资源节点和用户节点两大类,其中资源节点提供服务或数据;用户节点访问资源节点所提供的服务与数据。ACL可以用来过滤流入和流出路由器或三层交换机接口的数据包。ACL的主要功能一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制用户节点的访问权限。但ACL的这种技术具有局限性。需要和更高级(如系统级、应用级)的访问控制结合使用,才能达到更好的预防攻击者的远程接入。
设置访问控制列表(ACL),管理员首先要了解网络概况,要对每台服务器进行分类,细分访问网络资源的客户端。为了保护网络访问的安全,通常有些企业会采用安全跳板来实现网络的相对安全。例如:为IP地址进行分类,使得存在安全隐患的计算机要访问服务器资源时,先登陆到管理员指定好跳转设备中,然后通过跳转平台的网络地址来访问所需的资源。
配置ACL
废话说了这么多,下面我们直接来看看如何配置ACL。首先在全局配置模式下定义访问列表,然后将其应用到接口中,使通过该接口的数据包与我们以定义的访问规则进行相应的匹配,然后决定是否允许通过。这种匹配过程是自上而下进行的,在执行到访问列表的尾部,如果还没有与其相匹配的语句,数据包将被拒绝通过。在实现过程中应给每一条访问控制列表加上相应的标准IP访问控制列表编号,其作用主要是阻止/允许某一网络的所有通信流量。
access-list access-list-number(1~99)
{deny|permit} source [source-wildcard]
如果对不符合ACL规则的数据包放行,可能会造成了严重的后果。下面通过两个例子来说明ACL的配置。
阻止源主机为192.168.1.1的一台主机通过e0,放行其他的通讯流量通过e0端口。
Router(config)#access-list 1 deny 192.168.1.1 255.255.255.0
Router(config)#access-list 1 permit any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 1 in
上面的语句主要说明:在全局配置模式下定义一条拒绝192.168.1.1主机通过的语句,掩码使用255.255.255.0,然后将其访问列表应用到接口中。
阻止192.168.1.1主机执行Telnet命令。
Router(config)#access-list 2 deny tcp 192.168.1.1 255.255.255.0 any eq 23
Router(config)#access-list 2 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 2 in
因为Telnet使用端口23,所以将端口号为23的数据包拒绝,最终应用到某一接口,这样就可以禁止Telnet命令对服务器的连接。如果需要网络地址变更的,一定要检查访问控制列表是否符合所需变更后的规则。作为网络管理员永远不要忘记,一个很小的失误就可能引起整个防线的崩溃,所以每次设置后都应该仔细测试下网络状况,确保所做的修改适合实际网络的需要。
对于企业或组织用户而言,正确地设置ACL访问控制列表将起到类似防火墙的作用。为了满足接入访问控制,以及分支网络间的访问控制,可以通过制订符合企业自身要求的访问控制列表(ACL),来达到防止黑客远程入侵目的。
更多精彩
赞助商链接