隨著Internet/Intranet的飛速發(fā)展，全國各企事業(yè)單位都在建設(shè)局域網(wǎng)并連入互聯(lián)網(wǎng)，但信息網(wǎng)絡(luò)安全一直是我們關(guān)心的問題，所以本文提出了在路由器下通過訪問控制列表(ACL)來構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)的防火墻體系結(jié)構(gòu)。

一個組織全局的安全策略應(yīng)根據(jù)安全分析和業(yè)務(wù)需求分析來決定，因?yàn)榫W(wǎng)絡(luò)安全與防火墻關(guān)系緊密，所以我們要正確設(shè)置網(wǎng)絡(luò)的安全策略，使防火墻發(fā)揮最大的作用。

網(wǎng)絡(luò)防火墻安全策略是指要明確定義哪些數(shù)據(jù)包允許或禁止通過并使用網(wǎng)絡(luò)服務(wù)，以及這些服務(wù)的使用規(guī)則。而且，網(wǎng)絡(luò)防火墻安全策略中的每一條規(guī)定都應(yīng)該在實(shí)際應(yīng)用時得到實(shí)現(xiàn)。下面我們就路由器下通過訪問控制列表實(shí)現(xiàn)安全策略，以達(dá)到防火墻的功能，并對其實(shí)現(xiàn)及應(yīng)用進(jìn)行詳細(xì)的敘述。

訪問控制列表的作用
訪問控制列表是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號、協(xié)議等特定指示條件來決定。通過靈活地增加訪問控制列表，ACL可以當(dāng)作一種網(wǎng)絡(luò)控制的有力工具，用來過濾流入和流出路由器接口的數(shù)據(jù)包。

建立訪問控制列表后，可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對通信流量起到控制的手段，這也是對網(wǎng)絡(luò)訪問的基本安全手段。在路由器的接口上配置訪問控制列表后，可以對入站接口、出站接口及通過路由器中繼的數(shù)據(jù)包進(jìn)行安全檢測。

IP訪問控制列表的分類
標(biāo)準(zhǔn)IP訪問控制列表
當(dāng)我們要想阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者充許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者想要拒絕某一協(xié)議簇的所有通信流量時，可以使用標(biāo)準(zhǔn)訪問控制列表來實(shí)現(xiàn)這一目標(biāo)。標(biāo)準(zhǔn)訪問控制列表檢查路由的數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址的所有通信流量通過路由器的出口。

擴(kuò)展IP訪問控制列表
擴(kuò)展訪問控制列表既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，還檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。擴(kuò)展訪問控制列表更具有靈活性和可擴(kuò)充性，即可以對同一地址允許使用某些協(xié)議通信流量通過，而拒絕使用其他協(xié)議的流量通過。

命名訪問控制列表
在標(biāo)準(zhǔn)與擴(kuò)展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數(shù)字組合的字符串來代替前面所使用的數(shù)字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進(jìn)行修改。

在使用命名訪問控制列表時，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。

通配符掩碼
通配符掩碼是一個32比特位的數(shù)字字符串，它被用點(diǎn)號分成4個8位組，每組包含8比特位。在通配符掩碼位中，0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。通配符掩碼與IP地址是成對出現(xiàn)的，通配符掩碼與子網(wǎng)掩碼工作原理是不同的。在IP子網(wǎng)掩碼中，數(shù)字1和0用來決定是網(wǎng)絡(luò)、子網(wǎng)，還是相應(yīng)的主機(jī)的IP地址。如表示172.16.0.0這個網(wǎng)段，使用通配符掩碼應(yīng)為0.0.255.255。

在通配符掩碼中，可以用255.255.255.255表示所有IP地址，因?yàn)槿珵?說明所有32位都不檢查相應(yīng)的位，這是可以用any來取代。而0.0.0.0的通配符掩碼則表示所有32位都要進(jìn)行匹配，這樣只表示一個IP地址，可以用host表示。所以在訪問控制列表中，可以選擇其中一種表示方法來說明網(wǎng)絡(luò)、子網(wǎng)或主機(jī)。(責(zé)任編輯：liucl)