ACL在网络安全中应用仿真实验

梁宾

摘要：ACL作为热门的网络技术之一，被广泛应用于网络管理领域中。文章结合企业对网络的常用访问控制需求，并利用思科Packet Tracer仿真，模拟了ACL在网络安全中的应用。

关键词：ACL；网络安全；仿真

1 ACL概述

1.1 ACL基本概念

访问控制列表（Access Control List， ACL），工作在OSI参考模型的第3层，用于通过建立的访问规则对进出网络中的数据包进行访问控制，进而达到对网络的控制和保护目的。访问控制列表每条语句组成一个规则，决定数据包的运行通过或拒绝通过。

ACL可分为标准的访问控制列表和扩展的访问控制列表两类，标准的访问控制列表基于源地址做过滤策略，适应场合有限，不能进行复杂的条件过滤。扩展的访问控制列表可通过源IP地址、目的IP地址、端口号、协议等诸多信息来规定数据包的处理动作，对经过的数据流进行判断、分类和过滤。通过访问控制列表可以实现控制网络流量，提高网络性能；提供访问权限，实现访问控制等功能，是目前重要的安全保护技术，被广泛应用于互联网。

1.2 ACL工作原理

ACL可以工作在路由器、交换机等网络设备上，主要采用数据包过滤技术。以路由器为例，当数据包到达路由器的转发端口时，首先判断该端口是否有ACL，没有则直接转发；如果有则匹配ACL的转发规则，根据转发规则来决定数据包permit或deny；如果permit，则直接转发；如果deny则丢弃该数据包并向数据源发送目标不可达的ICMP报文或终止TCP的连接请求。工作原理如图1所示。

1.3 ACL使用原则

在配置和使用ACL时由于每个接口、每个方向、每种协议只能设置一个ACL，同时ACL按顺序比较，直找到符合条件的那条以后就不再继续比较，因此应注意以下3点原则。

（1）最小权限原则：即只给予受控对象完成任务所必须的最小权限。（2）最靠近受控对象原则：即所有的网络层访问权限控制要尽量距离受控对象最近。（3）默认丢弃原则：即每个访问控制列表最后都隐含了一条deny any规则。

2 ACL在网络安全中应用场景设计

为研究ACL在网络安全中的应用，这里设计如下的企业应用场景。

某企业有管理部、员工部、财务部3个部门，另企业架设了自己的FTP服务和Web服务器。网络拓扑如图2所示，其中

为仿真ACL的网络隔离、网络保护、访问控制等安全功能，提出如下网络安全需求：（1）内网、外网都可以访问企业的Web服务器，但FTP服务器只能被校内访问。（2）管理部可以访问员工部、财务部，但员工部不能访问财务部。（3）管理部可以访问外网wwwl和www2服务器，員工部只能访问wwwl，而财务部拒绝访问一切外网[1]。

3 ACL关键配置

鉴于篇幅有限，本部分配置仅为ACLE置部分的关键代码。

（1）限制外网对FTP的访问，仿真保护特定的内网目标。

Router（config）#access-list 101 deny tcp any host 192.168.4.2eq 21

Router（config）#access-list 101 permit ip any any

Router（config）#int sl/0

Router（config-if）#ip access-group 101 in

（2）管理部可以访问员工部、财务部，但员工部不能访问财务部，仿真内网的访问控制。

Switch（config）#access-list 1 permit 192.168.1.00.0.0.255Switch（config）#access-list 1 deny 192.168.2.00.0.0.255Switch（config）#access-list 1 permit anySwitch（config）#int vlan 30Switch（config-if）#ip access-group 1 out

（3）管理部可以访问外网www1和www2服务器，员工部只能访问www1，而财务部拒绝访问一切外网，仿真外放的访问控制和隔离。

Router（config）#access-list 102 permit ip 192.168.1.00.0.0.255 any

Router（config）#access-list 102 permit tcp 192.168.2.00.0.0.255 host 222.222.222.2eq 80

Router（config）#access-list 102 deny ip 192.168.2.00.0.0.255 any

Router（config）#access-list 102 deny ip 192.168.3.00.0.0.255 any

Router（config）#access-list 102 permit ip any anyRouter（config）#int f0/0Router（config-if）#ip access-group 102 inRouter#show ip access-lists 102

Extended IP access list 102permit ip 192.168.1.0 0.0.0.255 any（15 match（es））permit tcp 192.168.2.0 0.0.0.255 host 222.222.222.2eqwww（5 match（es））

deny ip 192.168.2.0 0.0.0.255 any（12 match（es））deny ip 192.168.3.0 0.0.0.255 anypermit ip any any（47 match（es））

4 仿真结果验证

无ACL时内网和外网都可正常访问内网的FTP；配置ACL后的内网可正常访问，PC3则无法访问，实现了保护内网FTP目的。

无ACL时，内网都可正常访问财务部；配置ACL后，员工部PC1访问被阻断，实现了内网访问控制目标。

无ACL时，内网都能正常访问外网的www1和www2；配置ACL后，PC0仍能正常访问，而PC1只能正常访问wwwl，PC2无法访问wwwl、www2，实现了访问控制和财务网络隔离目标。

5 结语

此次ACL的网络安全应用的仿真实验充分证明了ACL对网络安全起到很好的控制和保护作用，但是ACL也具有一定的局限性，无法达到对所有节点的权限控制，所以在网络安全中可以结合其他技术一起达到网络安全防御的作用。

[参考文献]

[1]石峰.访问控制列表ACL在校园网中的作用分析[J].电脑知识与技术，2017（33）：70-71.