企业安全 合理配置访问控制列表（ACL）

核心提示：网络安全越来越受到大家的重视，不论是企业还是其他组织在构建网络环境时，企业安全 合理配置访问控制列表（ACL），首先需要考虑自己的网络需要什么样的安全防护，然后通过技术手段、管理制度等多方面都综合部署来加强网络的防护能力，以及分支网络间的访问控制，可以通过制订符合企业自身要求的访问控制列表（ACL），其实困扰企业的并不

网络安全越来越受到大家的重视，不论是企业还是其他组织在构建网络环境时，首先需要考虑自己的网络需要什么样的安全防护，然后通过技术手段、管理制度等多方面都综合部署来加强网络的防护能力。其实困扰企业的并不仅仅是如何通过采用安全设备来保证网络安全，特别是一些拥有众多分支机构的大型企业，如何保证分支机构与总部，以及分支机构之间的通信安全才是最迫切的需求。近日的互联网大会上，安全企业纷纷表示了加强等级防护措施的重要性，只有加强对用户端数据进行验证、控制，才能真正有效地防止黑客入侵。 　　为何要使用ACL

我们知道ACL可以使用包过滤技术，在路由器上读取第三、四层包头部信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。网络中的节点可分为资源节点和用户节点两大类，其中资源节点提供服务或数据；用户节点访问资源节点所提供的服务与数据。ACL可以用来过滤流入和流出路由器或三层交换机接口的数据包。ACL的主要功能一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制用户节点的访问权限。但ACL的这种技术具有局限性。需要和更高级（如系统级、应用级）的访问控制结合使用，才能达到更好的预防攻击者的远程接入。

设置访问控制列表（ACL），管理员首先要了解网络概况，要对每台服务器进行分类，细分访问网络资源的客户端。为了保护网络访问的安全，通常有些企业会采用安全跳板来实现网络的相对安全。例如：为IP地址进行分类，使得存在安全隐患的计算机要访问服务器资源时，先登陆到管理员指定好跳转设备中，然后通过跳转平台的网络地址来访问所需的资源。

配置ACL

废话说了这么多，下面我们直接来看看如何配置ACL。首先在全局配置模式下定义访问列表，然后将其应用到接口中，使通过该接口的数据包与我们以定义的访问规则进行相应的匹配，然后决定是否允许通过。这种匹配过程是自上而下进行的，在执行到访问列表的尾部，如果还没有与其相匹配的语句，数据包将被拒绝通过。在实现过程中应给每一条访问控制列表加上相应的标准IP访问控制列表编号，其作用主要是阻止/允许某一网络的所有通信流量。

access-list access-list-number(1~99)

{deny|permit} source [source-wildcard]

如果对不符合ACL规则的数据包放行，可能会造成了严重的后果。下面通过两个例子来说明ACL的配置。

阻止源主机为192.168.1.1的一台主机通过e0，放行其他的通讯流量通过e0端口。

Router(config)#access-list 1 deny 192.168.1.1 255.255.255.0

Router(config)#access-list 1 permit any

Router(config)#interface ethernet 0

Router(config-if)#ip access-group 1 in

上面的语句主要说明：在全局配置模式下定义一条拒绝192.168.1.1主机通过的语句，掩码使用255.255.255.0，然后将其访问列表应用到接口中。

阻止192.168.1.1主机执行Telnet命令。

Router(config)#access-list 2 deny tcp 192.168.1.1 255.255.255.0 any eq 23

Router(config)#access-list 2 permit ip any any

Router(config)#interface ethernet 0

Router(config-if)#ip access-group 2 in

因为Telnet使用端口23，所以将端口号为23的数据包拒绝，最终应用到某一接口，这样就可以禁止Telnet命令对服务器的连接。如果需要网络地址变更的，一定要检查访问控制列表是否符合所需变更后的规则。作为网络管理员永远不要忘记，一个很小的失误就可能引起整个防线的崩溃，所以每次设置后都应该仔细测试下网络状况，确保所做的修改适合实际网络的需要。

对于企业或组织用户而言，正确地设置ACL访问控制列表将起到类似防火墙的作用。为了满足接入访问控制，以及分支网络间的访问控制，可以通过制订符合企业自身要求的访问控制列表（ACL），来达到防止黑客远程入侵目的。