文档介绍：基于自反ACL和时间ACL的应用分析与网络设计
【摘要】文章主要介绍了自反 ACL 与基于时间 ACL 的概念及基本策略的实施,然后在边界路由器上通过两者的联合应
用来设计保护企业内部网络的安全,实现任何发自内部网络的合法数据流能正常访问,而外网(非信任网络)的数据流
只能到达内网中对外发布的 web 服务器。同时在保证了服务器和内部网络数据安全性后,对内部员工上网进行控制,要求在上
班时间禁止内部员工使用 QQ 及 MSN。通过在路由器上实施策略基本上可以满足小型企业网络安全需求。
【关键词】自反 ACL;基于时间 ACL;非信任网络;安全
(一)网络需求分析
随着互联网的不断扩大,网络面临的威胁也越来越多。网络安全问题成为网络管理人员最为头疼的问题,这就是为了业务的发展,必须允许对网络资源的访问,同时又必须确保内部网络数据和资源的尽可能安全。网络安全采用的技术很多,而通过访问控制列表可以对数据进行过滤,是实现基本的网络安全手段之一,ACL 可以通过对网络数据流量的控制,过滤掉有害的数据包,从而达到执行安全策略的目的。而自反 ACL 则更具有配置灵活、精确控制的特点,使得其成为实现防火墙的重要手段。自反访问列表基于上层会话信息过滤数据包,它允许起源于内网(受保护网络)的数据流通过路由器,外网(非信任网络)响应起源于内网的会话的数据流也可以通过路由器,但禁止起源于外网的数据通过路由器进入内网,通过设置基本上达到了防火墙的基本功能。在保证企业内部网络安全同时,企业可能会为了提高工作效率,禁止员工在上班时间如 9:00-12:00 和 13:00-18:00这两个时间段内使用 QQ 和 MSN 等,但可以通过网络来查询相关资料,而在规定的时间段外是可以使用 QQ 和 MSN 等工具的,此时就要求我们的网络管理员通过设置策略来实现公司的要求,即凡是从内部网络发起且在规定的时间段内到达 QQ 和MSN 服务的数据流都被拒绝掉,而其他的数据流则能正常通过,这样就达到智能去管理网络,减轻网络管理员的工作量。
(二)自反 ACL 的概述与应用分析
自反访问表是 CISCO 提供给企业网络的一种较强的安全手段,利用自反访问表可以很好的保护企业内部网络,免受外部非法用户的攻击。自反访问列表基于上层会话信息过滤数据包,它允许起源于内网(受保护网络)的数据流通过路由器,外网(非信任网络)响应起源于内网的会话的数据流也可以通过路由器,但禁止起源于外网的数据通过路由器进入内网,是保护网络安全的重要组成部分,它可以防范网络黑客,应对身份欺骗和 DOS 攻击。
ACL 的基本的工作原理
(1)只能由内部网络始发的,外部网络的响应流量可以进入。
(2)由外部网络始发的流量如果没有明确的允许,是禁止进入的。
ACL 的工作流程
(1)由内网始发的流量到达配置了自反访问表的路由器,路由器根据此流量的第三层和第四层信息自动生成一个临时性的访问表,临时性访问表的创建依据下列原则:
1)protocol 不变。
2)source-IP 地址, destination-IP 地址严格对调。
3)source-port,destination-port 严格对调。
4)对于 icmp 这样的协议,会根据类型号进行匹配。
(2)路由器将此流