ACL技术在民航管理信息网安全防护中的应用

来源:用户上传      作者:杜爱华

　　摘要：浙江管理信息网虽然本地不接互联网，但由于它是华东管理信息网的组成部分，有外联单位，这就意味着来自外部的威胁可以以外联单位为跳板，利用系统内部用户之间的相互信任关系，攻入网络内部。本文阐述了在浙江管理信息网网络安全防护中，借助于ACL技术，有效地控制了特定用户对网络交换机的访问以及对常见病毒端口的过滤，从而最大限度地保障了网络安全。
　　关键词：ACL访问控制列表;管理信息网;交换机;安全防护
　　中图分类号：TP393      文献标识码：A
　　文章编号：1009-3044（2019）26-0046-02
　　开放科学（资源服务）标识码（OSID）：
　　民航浙江管理信息网为分局日常公文管理、业务管理、门户网站和各类应用提供安全可靠的網络传输服务。该网络平台在本地与互联网完全物理隔离，仅通过系统内部专用的ATM网络与华东管理信息网互联。提起网络安全，人们常常关注于病毒破坏和黑客攻击等来自互联网的安全威胁，认为管理信息网这类与互联网完全物理隔离的内部网络是安全可信的。为了方便管理和应用，内部网络之间的访问控制相当粗放，几乎没有什么限制。但近年来在全国范围各系统内网频频出现的网络信息安全事件给我们敲响了警钟：内网并没有想象中那么安全！浙江管理信息网虽然本地不接互联网，但由于它是华东管理信息网的组成部分，有外联单位，这就意味着来自外部的威胁可以以外联单位为跳板，利用系统内部用户之间的相互信任关系，攻入相连单位的内部网络，从而获取相应内部服务器和交换机的控制权限，在内网中横行无忌。由于内网用户对服务器资源的访问需求相对比较固定，在内部网络部署时就未雨绸缪，充分考虑各类用户访问需求，做好精准的访问控制策略，及时修补安全策略漏洞是做好网络信息安全防范的重点。
　　1 ACL概述
　　访问控制列表（ACL）是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机。借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大限度地保障网络安全。ACL的定义是基于协议的，它适用于所有的路由协议，如IP、IPX等。它在路由器上读取数据包头中的信息，如源地址、目的地址、使用的协议、源端口、目的端口等，并根据预先定义好的规则对包进行过滤，从而达到对网络访问的精确、灵活控制。目前主要有三种ACL：标准ACL、扩展ACL和命名ACL。此外，有的厂商又自定义了一些分类更精确的ACL ，例如H3C 的ACL分类为：基本ACL（编号范围：2000-2999），高级ACL（编号范围：3000-3999），二层ACL（编号范围：4000-4999），用户自定义ACL（编号范围：5000-5999）。其中应用最为广泛的是基本ACL和高级ACL。
　　2 ACL在管理信息网安全防护中的应用
　　访问控制列表的主要作用有：1）拒绝、允许特定的数据流通过网络设备，如防止攻击、访问控制、节省带宽等;2）对特定的数据流、报文、路由条目等进行匹配和标识，以用于其他目的路由过滤，如QoS、Route-map等。本文谨以H3C S7503E主核心交换机为例，说明ACL在民航管理信息网安全防护中的应用。
　　实例一：利用ACL实现某交换机只允许特定IP的远程登录
　　1） 防护需求：
　　为了方便运维管理人员对交换机进行参数配置修改，一般都会开启交换机的Telnet远程登录服务。Telnet远程登录方式的密码在传输过程中是明文的，存在密码泄漏的风险。为了提高网络安全防范阈值，不让任何IP都能连接此交换机，我们通过ACL技术仅允许IP 10.13.40.36和10.13.42.80登录H3C S7503E交换机。
　　2）配置步骤：
　　在H3C S7503E交换机上我们进行如下配置：
　　3）验证配置：
　　配置完成后，尝试从10.13.40.36、10.13.42.80登录H3C S7503E交换机，登录成功。而从其他IP登录H3C S7503E交换机，无法登录。
　　实例二：利用ACL实现对常见病毒端口的过滤。
　　1）防护需求：
　　配置高级ACL访问控制列表，禁止常见的病毒端口135，137，138，139，445，3389访问。
　　2）配置步骤：
　　为从源头上控制被感染主机采用病毒端口进行通讯，减少对其他交换机上用户带来影响，我们可以在接入层交换机上进行如下配置：先创建一个序号为3001的高级ACL，然后通过QoS来下发策略。为节省篇幅，此处我们仅以禁止445、3389这两个远程访问端口为例，说明ACL的过滤机制。其他端口可照此配置：
　　3 ACL配置注意事项
　　3.1 “3P”原则
　　在路由器上应用ACL时，可以为每种协议（Per Protocol）、每个方向（Per Direction）和每个接口（Per Interface）配置一个ACL，一般称为“3P原则”。具体地说，一个ACL只能基于一种协议，每种协议都需要配置单独的ACL。每个接口可以配置进方向的ACL，也可以配置出方向的ACL，或者两者都配置，但是一个ACL只能控制一个方向。一个ACL只能控制一个接口上的数据流量，无法同时控制多个接口上的数据流量。
　　3.2 语句顺序决定了对数据的控制顺序
　　ACL的语句是一种自上而下的逻辑排列关系。数据匹配过程中是依次对语句进行比较，一旦匹配成功则按照当前语句控制策略处理，不再与之后的语句进行比较。因此，正确的语句顺序才能得到所需的控制效果。最有限制性的语句应该放在ACL的靠前位置，可以首先过滤掉很多不符合条件的数据，节省后面语句的比较时间，从而提高路由器的工作效率。所有ACL的最后一条语句都是隐式拒绝语句，表示当所有语句都无法匹配时，将拒绝数据通过并自动丢弃数据，以防数据意外进入网络。
　　4结束语
　　本文阐述了在民航管理信息网的网络安全防护中，如何结合分局网络结构特点，借助于访问控制列表，有效地控制了特定用户对网络交换机的访问以及对常见病毒端口的过滤，从而最大限度地保障了网络安全。
　　随着网络技术的快速发展，新技术应用越来越广泛，在防火墙、入侵防御、上网行为管理等边界防护设备中，有了更加人性化的访问控制策略配置界面，但在局域网网络内部，原有的访问控制列表因其能对网络访问进行精确、灵活的控制，目前仍被广泛地应用于路由器和三层交换机。随着分局管理信息网网络平台上承载的业务不断增加，如何利用有限的网络设备资源，灵活运用ACL技术，实现网络间的各种访问控制将是我们进一步实践的方向。
　　【通联编辑：光文玲】
转载注明来源:https://www.xzbu.com/8/view-15043896.htm