1ACL概述

1.1ACL基本概念

访问控制列表（AccessControlList，ACL），工作在OSI参考模型的第三层用于通过建立的访问规则访问和控制进出网络的数据包，从而达到控制和保护网络的目的。访问控制列表中的每个句子构成一个规则，决定数据包的运行或拒绝。ACL可分为标准访问控制列表和扩展访问控制列表。标准访问控制列表根据源地址制定过滤策略，适应场合有限，不能过滤复杂条件。扩展的访问控制列表可以通过源IP地址.目的IP地址.端口号.协议等信息规定数据包的处理动作，判断数据流.分类和过滤。通过访问控制列表控制网络流量，提高网络性能，提供访问权限，实现访问控制等功能，是互联网上广泛应用的重要安全保护技术。

1.2ACL工作原理

ACL可在路由器上工作.数据包过滤技术主要用于交换机等网络设备。以路由器为例。当数据包到达路由器的转发端口时，首先判断端口是否存在ACL，如果没有，直接转发；如果有，则匹配；ACL数据包转发规则根据转发规则确定permit或deny；如果permit，直接转发；如果deny丢弃数据包，将目标无法达到的目标发送给数据源ICMP报文或终止TCP连接请求。

1.3ACL使用原则

配置和使用ACL因为每个接口.每个方向.每个协议只能设置一个ACL，同时ACL按顺序比较，直接找到合格的，不再继续比较，所以要注意以下三个原则。(1)最小权限原则:即只给受控对象完成任务所必需的最小权限。(2)最接近受控对象的原则:即所有网络层的访问权限控制应尽可能接近受控对象。(3)默认丢弃原则:即每个访问控制列表最终都隐含一个denyany规则。

2ACL在网络安全中应用场景设计为研究

ACL在网络安全应用中，这里设计以下企业应用场景。企业有管理部门。.员工部.财务部有三个部门，另一个企业设置了自己的FTP服务和Web服务器VLAN10模拟管理部，VLAN20模拟员工部，VLAN30模拟财务部，VLAN40模拟服务器区域。www1，www2模拟外网的Web服务器，PC3模拟未经授权的网络。模拟模拟。ACL的网络隔离.网络保护.访问控制等安全功能提出以下网络安全要求:(1)内网.外网可以访问企业Web服务器，但FTP服务器只能在学校访问。(2)管理部可访问员工部。.财务部，但员工部不能访问财务部。(3)管理部门可访问外网。www1和www2服务器，员工部只能访问www1、财务部拒绝访问所有外网[1]。

3ACL关键配置

鉴于篇幅有限，本部分配置仅为ACL配置部分的关键代码。(1)限制外网对FTP访问，模拟保护特定的内网目标。Router(config)#access-list101denytcpanyhost192.168.4.2eq21Router(config)#access-list101permitipanyanyRouter(config)#ints1/0Router(config-if)#ipaccess-group101in(2)管理部可以访问员工部.财务部，但员工部不能访问财务部，模拟内网的访问控制。Switch(config)#access-list1permit192.168.1.00.0.0.255Switch(config)#access-list1deny192.168.2.00.0.0.255Switch(config)#access-list1permitanySwitch(config)#intvlan30Switch(config-if)#ipaccess-group1out(3)管理部可访问外网www1和www2服务器，员工部只能访问www1、财务部拒绝访问所有外网，模拟外部访问控制和隔离。Router(config)#access-list102permitip192.168.1.00.0.0.255anyRouter(config)#access-list102permittcp192.168.2.00.0.0.255host222.222.222.2eq80Router(config)#access-list102denyip192.168.2.00.0.0.255anyRouter(config)#access-list102denyip192.168.3.00.0.0.255anyRouter(config)#access-list102permitipanyanyRouter(config)#intf0/0Router(config-if)#ipaccess-group102inRouter#showipaccess-lists102ExtendedIPaccesslist102permitip192.168.1.00.0.0.255any(15match(es))permittcp192.168.2.00.0.0.255host222.222.222.2eqwww(5match(es))denyip192.168.2.00.0.0.255any(12match(es))denyip192.168.3.00.0.0.255anypermitipanyany(47match(es))

4模拟结果验证

无ACL内网和外网都可以正常访问内网FTP；配置ACL后内网可正常访问，PC3不能访问，实现内网保护FTP目的。无ACL内网可正常访问财务部；配置；ACL后，员工部PC1访问被阻断，实现了内网访问控制的目标。ACL当内网能正常访问外网时，www1和www2；配置ACL后，PC0仍然可以正常访问，而且PC1只能正常访问www1，PC2无法访问www1.www2、实现了访问控制和财务网络隔离的目标。

5结语

此次ACL网络安全应用的仿真实验充分证明了ACL对网络安全起到很好的控制和保护作用，但是ACL它也有一定的局限性，不能实现对所有节点的权限控制，因此可以结合其他技术实现网络安全防御。