ACL在網絡安全的應用仿真

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了ACL在網絡安全的應用仿真范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：acl作為熱門的網絡技術之一，被廣泛應用于網絡管理領域中。文章結合企業(yè)對網絡的常用訪問控制需求，并利用思科PacketTracer仿真，模擬了ACL在網絡安全中的應用。

關鍵詞：ACL；網絡安全；仿真

1ACL概述

1.1ACL基本概念

訪問控制列表（AccessControlList，ACL），工作在OSI參考模型的第3層，用于通過建立的訪問規(guī)則對進出網絡中的數據包進行訪問控制，進而達到對網絡的控制和保護目的。訪問控制列表每條語句組成一個規(guī)則，決定數據包的運行通過或拒絕通過。ACL可分為標準的訪問控制列表和擴展的訪問控制列表兩類，標準的訪問控制列表基于源地址做過濾策略，適應場合有限，不能進行復雜的條件過濾。擴展的訪問控制列表可通過源IP地址、目的IP地址、端口號、協議等諸多信息來規(guī)定數據包的處理動作，對經過的數據流進行判斷、分類和過濾。通過訪問控制列表可以實現控制網絡流量，提高網絡性能；提供訪問權限，實現訪問控制等功能，是目前重要的安全保護技術，被廣泛應用于互聯網。

1.2ACL工作原理

ACL可以工作在路由器、交換機等網絡設備上，主要采用數據包過濾技術。以路由器為例，當數據包到達路由器的轉發(fā)端口時，首先判斷該端口是否有ACL，沒有則直接轉發(fā)；如果有則匹配ACL的轉發(fā)規(guī)則，根據轉發(fā)規(guī)則來決定數據包permit或deny；如果permit，則直接轉發(fā)；如果deny則丟棄該數據包并向數據源發(fā)送目標不可達的ICMP報文或終止TCP的連接請求。

1.3ACL使用原則

在配置和使用ACL時由于每個接口、每個方向、每種協議只能設置一個ACL，同時ACL按順序比較，直找到符合條件的那條以后就不再繼續(xù)比較，因此應注意以下3點原則。（1）最小權限原則：即只給予受控對象完成任務所必須的最小權限。（2）最靠近受控對象原則：即所有的網絡層訪問權限控制要盡量距離受控對象最近。（3）默認丟棄原則：即每個訪問控制列表最后都隱含了一條denyany規(guī)則。

2ACL在網絡安全中應用場景設計為研究

ACL在網絡安全中的應用，這里設計如下的企業(yè)應用場景。某企業(yè)有管理部、員工部、財務部3個部門，另企業(yè)架設了自己的FTP服務和Web服務器。其中VLAN10模擬管理部，VLAN20模擬員工部，VLAN30模擬財務部，VLAN40模擬服務器區(qū)。www1，www2模擬外網的Web服務器，PC3模擬未授權的網絡。為仿真ACL的網絡隔離、網絡保護、訪問控制等安全功能，提出如下網絡安全需求：（1）內網、外網都可以訪問企業(yè)的Web服務器，但FTP服務器只能被校內訪問。（2）管理部可以訪問員工部、財務部，但員工部不能訪問財務部。（3）管理部可以訪問外網www1和www2服務器，員工部只能訪問www1，而財務部拒絕訪問一切外網[1]。

3ACL關鍵配置

鑒于篇幅有限，本部分配置僅為ACL配置部分的關鍵代碼。（1）限制外網對FTP的訪問，仿真保護特定的內網目標。Router(config)#access-list101denytcpanyhost192.168.4.2eq21Router(config)#access-list101permitipanyanyRouter(config)#ints1/0Router(config-if)#ipaccess-group101in（2）管理部可以訪問員工部、財務部，但員工部不能訪問財務部，仿真內網的訪問控制。Switch(config)#access-list1permit192.168.1.00.0.0.255Switch(config)#access-list1deny192.168.2.00.0.0.255Switch(config)#access-list1permitanySwitch(config)#intvlan30Switch(config-if)#ipaccess-group1out（3）管理部可以訪問外網www1和www2服務器，員工部只能訪問www1，而財務部拒絕訪問一切外網，仿真外放的訪問控制和隔離。Router(config)#access-list102permitip192.168.1.00.0.0.255anyRouter(config)#access-list102permittcp192.168.2.00.0.0.255host222.222.222.2eq80Router(config)#access-list102denyip192.168.2.00.0.0.255anyRouter(config)#access-list102denyip192.168.3.00.0.0.255anyRouter(config)#access-list102permitipanyanyRouter(config)#intf0/0Router(config-if)#ipaccess-group102inRouter#showipaccess-lists102ExtendedIPaccesslist102permitip192.168.1.00.0.0.255any(15match(es))permittcp192.168.2.00.0.0.255host222.222.222.2eqwww(5match(es))denyip192.168.2.00.0.0.255any(12match(es))denyip192.168.3.00.0.0.255anypermitipanyany(47match(es))

4仿真結果驗證

無ACL時內網和外網都可正常訪問內網的FTP；配置ACL后的內網可正常訪問，PC3則無法訪問，實現了保護內網FTP目的。無ACL時，內網都可正常訪問財務部；配置ACL后，員工部PC1訪問被阻斷，實現了內網訪問控制目標。無ACL時，內網都能正常訪問外網的www1和www2；配置ACL后，PC0仍能正常訪問，而PC1只能正常訪問www1，PC2無法訪問www1、www2,實現了訪問控制和財務網絡隔離目標。

5結語

此次ACL的網絡安全應用的仿真實驗充分證明了ACL對網絡安全起到很好的控制和保護作用，但是ACL也具有一定的局限性，無法達到對所有節(jié)點的權限控制，所以在網絡安全中可以結合其他技術一起達到網絡安全防御的作用。

[參考文獻]

[1]石峰.訪問控制列表ACL在校園網中的作用分析[J].電腦知識與技術，2017（33）：70-71.

作者:梁賓 單位:九州職業(yè)技術學院