基于eNSP的网络安全访问控制策略的仿真设计与实现

◆甘卫民 周伟

（广州大学华软软件学院 广东 510900）

在互联网发达的今天，网络服务器承载数据访问压力越来越大，网络安全问题越发重视。在中小型企业网络中，硬件式的防火墙投入成本较高，访问控制列表（ACL）技术规则灵活，在路由器上定义相应参数设置，使数据包有选择的通过路由器达到过滤效果，起到软件式防火墙技术的作用。ACL应用在中小型网络中越来越得到重视，它不仅降低了组网成本，同时也能使数据访问安全得到保障[1]。

1 ACL定义

访问控制列表ACL规则灵活多变，设备可以定义一系列不同的ACL规则，对不同类型的数据报文进行分类处理，从而可以对网络访问行为进行控制、防止网络攻击、提高网络性能、限制网络流量等。保障了网络传输的可靠性和稳定性[2]。

2 ACL分类[3]

ACL分类如表1所示。

表1 ACL分类表

3 ACL规则定义

系统是根据什么样的顺序来选择规则进行报文匹配的呢？因为每个ACL可以定义多个规则，路由器设备根据定义的ACL规则来过滤数据流量。

每条规则都有一个规则ID（rule-id）来标识，规则ID可由系统按步长值自动生成，也可以用户配置，在定义一个ACL规则时，按照规则ID从小到大排序。如果不指定规则ID时，具体间隔大小由步长来设定。在华为路由设备中，ACL的步长默认设定为5，即ACL规则ID分配是按照5、10、15、20……来分配的。当然用户也可以根据规则ID把新规则插入到某一规则组的位置。

4 ACL规则匹配[4]

ACL的规则主要有两种规则分别为“permit”和“deny”。一个ACL规则可以由多条的“permit|deny”语句构成，规则内容可能存在重复或矛盾。在华为设备中主要支持两种规则匹配顺序，即配置顺序（config）和自动排序（auto）。当数据包和ACL的规则进行匹配的时，规则的优先级是由规则的匹配顺序来决定，规则之间重复或矛盾是由ACL的优先级来处理。

（1）配置顺序：按ACL规则编号（rule-id）从小到大的顺序进行匹配。

（2）自动排序：按“深度优先”的原则进行匹配。

“深度优先”即根据规则的精确度排序，匹配条件限制越严格越精确。若“深度优先”的顺序相同，则匹配该规则时按rule-id从小到大排列。

5 网络设计与ACL实现

通过eNSP搭建实验网络，网络拓扑及主要参数如图1所示。网络拓扑主要LEFT，MID，RIGHT三个区域来进行配置。

图1中型企业网络拓扑结构

5.1 业务需求

通过以上网络拓扑，现要求完成以下网络安全控制服务需求：所有服务器均开启HTTP和FTP服务，Public服务器同时开启DNS服务，对其他三个服务器提供地址解析。

（1）Vlan10内所有设备，不能访问vlan150-Server，只能通过http访问vlan100-Server。

（2）Vlan20-pc1，不能访问vlan100-Server，可以完全访问Vlan150的网络。

（3）Vlan100-pc1，可以访问vlan150-Server，不能访问vlan20-Server。

（4）Vlan10网络和Vlan20网络只能通过FTP访问public服务器。

（5）Vlan100网络和Vlan150网络只能通过HTTP访问Public服务器。

（6）所有网络的DNS服务都由public服务器提供。

（7）网络中所有节点都能够ping通网络中的主机。

5.2 网络配置实现

通过以上网络拓扑，完成各设备相关参数配置，使整个网络能够达到互通状态。

（1）主机配置Ip地址与对应网关设置（略）。

（2）MID网关路由器配置：

5.3 ACL配置

6 结束语

通过以上网络综合实验仿真，经反复测试达到我们预期的业务目标需求，对于中小型企业网络，ACL软件式防火墙应用降低了使用硬件式的防火墙组网的成本。在不需要加入硬件式防火墙的同时也能使网络安全得到保证，使网络流量得到控制。