利用自反ACL 实现单一方向防火墙方案设计

◆汪海涛 石灵心 戴宏明

（1.广东科贸职业学院信息与自动化学院 广东 510620；2.广东轻工职业技术学院管理学院 广东510300）

1 引言

在网络系统中，时常需要根据网络管理者的意图，让某些满足条件的数据包可以通过，不满足条件的数据包拒绝通过，这时就需要用到ACL。ACL 即访问控制列表，通过定义ACL，可以实现数据包的过滤规则[1]。

ACL 的类别可以分为：标准ACL 和扩展ACL。标准ACL 只检查数据包的源地址，扩展ACL 检查数据包的源地址、目的地址、协议、端口。首先，根据网络管理者的意图定义好ACL，然后将ACL绑定在数据包通过三层设备的某个接口，那么这个ACL 过滤规则便生效了。在特殊情况下，网络管理者要求过滤规则是用户对Ⅰnternet发起请求的回路信息可以通过，但是来自Ⅰnternet 对用户的主动访问被拒绝，就需要使用自反ACL 这一特殊功能[2]。

2 自反ACL 的定义

自反访问列表ACL（Reflexive Access Lists），Reflexive 翻译过来即自反的意思。自反ACL 会根据一个方向的访问控制列表，自动生成另一个反方向的控制列表，该反方向的控制列表和原本控制列表的源地址和目的地址反转，而且源端口号和目的端口号也相应反转的一个列表[3]。有的情况下，这个反转的列表还匹配了时间限制，过了有效时间就会超时，这个新创建的自反列表就会消失，这样极大地提高了网络的安全性[4]。

自反ACL 不能直接应用到路由器或者是三层交换机的接口，而是“嵌套”在接口所使用的扩展命名ACL 中，然后网络管理者将这个扩展命名的ACL 绑定到三层设备的某个接口。自反ACL 不能单独定义，只能在扩展命名ACL 中定义。自反ACL 不可以在编号ACL 或标准命名ACL 中定义，也不能在其他协议ACL 中定义[5]。

3 自反ACL 的特点

自反ACL 的特点是让出站数据包的目的地收到数据包后，发出的相应的应答流量回到该出站数据包的源地址。网络管理者制定规则时，允许这种应答流量通过，并返回到出站数据包的源地址。但拒绝来自外部用户对源地址主动发起的数据流量[6]。

网络管理员使用自反ACL 来允许从内部网络发起会话的ⅠP应答流量，同时拒绝外部网络发起的主动ⅠP 流量。因此，自反ACL 应用在网络三层设备中，使得网络管理者可以动态管理会话流量。三层设备检查出站的数据包，就会在临时ACL 中添加条目以允许针对该出站的应答数据包进入[7]。自反ACL 只创建临时条目，当新的会话开始，有用户数据包出站，这些条目将自动产生，当应答信息返回到源地址，本次会话结束时三层设备自动删除这些条目[8]。

自反ACL 相比基本的ACL 具有以下几个优点：

（1）自反ACL 使用简单。与标准和扩展ACL 相比，他对网络传输中的数据包实施更强的控制。自反ACL 是允许高层会话信息的ⅠP 数据包过滤规则。

（2）自反ACL 可以较安全的保护内部网络，因为他可以阻止从外部网络主动发起的访问内部用户的流量，但是外网对内网用户的应答流量可以通过。

（3）自反ACL 是临时产生的，有用户数据包出站，这些自反ACL 将自动产生，当Session 结束时，自反ACL 就被自动删除。

（4）自反ACL 不能直接被定义为列表号或者是名称，而是嵌套在一个扩展命名访问列表下的。

4 自反ACL 实现单一方向防火墙方案设计实现

4.1 方案建设原则

本项目以自反ACL 技术为核心，实现局域网内部用户可以访问外网用户，但外网用户不能主动发起对局域网用户的访问，保护局域网内部用户的安全。方案建设过程中，各个路由器之间运行路由协议，在路由器的接口上绑定自反ACL 时需要注意允许路由协议之间的路

由更新信息的通过，不然会造成整个网络的路由通讯故障。

4.2 方案的总体规划

本方案的网络系统分为内部网和外网，R1 为内部网的路由器，PC1 为内网网的用户电脑，R3 为外部网的路由器，PC2 为外部网用户电脑。R2 处于内部网和外网的边界，在R2 上配置自反ACL 并绑定在R2 的S1/2 接口上。实现内部网用户PC1 可以访问外部网用户PC2 并得到应答信息，但是外部网用户PC2 不能主动发起对内部网用户PC1 的访问请求。R1、R2 和R3 之间运行OSPF 协议，全部工作在area0 区域。内部网用户PC1 的ⅠP 网段是192.168.1.0/24，外网PC2 的ⅠP 网段是200.1.1.0/24，R1 和R2 之间的网段是1.1.1.0/24，R2 和R3 之间的网段是2.2.2.0/24。

整个系统的拓扑图如图1 所示。

图1 系统拓扑图

4.3 方案的实现

4.3.1 先配置各个接口ⅠP 地址

配置R1 的ⅠP 地址，R1 上配置两个接口的ip 地址，一个是局域网口f0/0，该接口ip 地址作为内网用户PC1 的默认网关，另一个是广域网口s1/0，该接口提供时钟。R2 和R3 的接口ⅠP 配置和R1 类似，配置局域网口和广域网口ⅠP 地址（如图2 所示）。

图2 配置接口的ip

4.3.2 配置OSPF 协议

在R1、R2 和R3 上启用OSPF 协议，网络系统中的所有网段都工作在area 0 区域。具体配置如图3 所示。

图3 OSPF 协议配置

4.3.3 自反ACL 的配置

自反ACL 当有出站数据包时，就临时产生一个访问性条目，该条目是有生存周期的，Session 结束则该条目被删除。首先在R2 上配置临时性访问条目的生存时间，R2（config）#ip reflexive-list timeout 400，生存期为400s。然后，在R2 上配置ACLOUT 和ACLⅠN 两个扩展命名的列表，嵌套自反的ACL。具体配置如图4 所示。

图4 自反ACL 配置

注意ACLOUT 和ACLⅠN 两个扩展命名的控制列表里面都允许了对ospf 协议流量的通过，避免了由于访问控制列表而导致整个网络发生通信故障。定义好两个列表后，将这两个扩展命名列表分别绑定到路由器R2 广域网口s1/2 的out 和in 两个方向，这样自反ACL就可以生效了。

4.3.4 系统测试结果

最后，设置内部网计算机PC1 的ⅠP 地址为192.168.1.1，默认网关为192.168.1.254。设置外部网计算机PC2 的ⅠP 地址为200.1.1.1，默认网关为200.1.1.254。打开PC1 的DOS 窗口，使用ping 命令发起对外部网PC2 的访问，测试内部网主机能否访问外部网主机。发出四个数据包，收到四个数据包，数据通信正常，如图5 所示。表明内部网主机可以任意发起对外部网主机的访问，并得到外网主机的回馈信息。

图5 内网可以访问外网的测试结果

然后，打开PC2 的DOS 窗口，使用ping 命令发起对内部网PC1的主动访问，测试外部网主机能否主动访问内部网主机。发出四个数据包，丢弃四个数据包，显示无法到达的主机，如图6 所示。表明系统的自反ACL 包过滤防火墙禁止外部网主机主动发起对内部网主机的访问。

图6 外网不能主动发起对内网访问的测试结果

5 结论

ACL 技术分类较多，本文重点论述了自反ACL 技术，分析了自反ACL 和其他ACL 应用的不同点，自反ACL 列表定义的方法。在本文的系统方案中，左边为内部网环境，右边为外部网络环境，根据网络管理者意图，要求内部网用户可以访问外网用户，并且访问过程中产生的外网用户回馈内网用户信息可以通过，但是外网用户主动发起对内部网用户信息被防火墙拒绝。最后，系统利用自反ACL 技术成功实现单一方向防火墙方案效果。