隨著Internet/Intranet的飛速發(fā)展，全國(guó)各企事業(yè)單位都在建設(shè)局域網(wǎng)并連入互聯(lián)網(wǎng)，但信息網(wǎng)絡(luò)安全一直是我們關(guān)心的問(wèn)題，所以本文提出了在路由器下通過(guò)訪問(wèn)控制列表(ACL)來(lái)構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)的防火墻體系結(jié)構(gòu)。

一個(gè)組織全局的安全策略應(yīng)根據(jù)安全分析和業(yè)務(wù)需求分析來(lái)決定，因?yàn)榫W(wǎng)絡(luò)安全與防火墻關(guān)系緊密，所以我們要正確設(shè)置網(wǎng)絡(luò)的安全策略，使防火墻發(fā)揮最大的作用。

網(wǎng)絡(luò)防火墻安全策略是指要明確定義哪些數(shù)據(jù)包允許或禁止通過(guò)并使用網(wǎng)絡(luò)服務(wù)，以及這些服務(wù)的使用規(guī)則。而且，網(wǎng)絡(luò)防火墻安全策略中的每一條規(guī)定都應(yīng)該在實(shí)際應(yīng)用時(shí)得到實(shí)現(xiàn)。下面我們就路由器下通過(guò)訪問(wèn)控制列表實(shí)現(xiàn)安全策略，以達(dá)到防火墻的功能，并對(duì)其實(shí)現(xiàn)及應(yīng)用進(jìn)行詳細(xì)的敘述。

訪問(wèn)控制列表的作用
訪問(wèn)控制列表是應(yīng)用在路由器接口的指令列表，這些指令列表用來(lái)告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號(hào)、協(xié)議等特定指示條件來(lái)決定。通過(guò)靈活地增加訪問(wèn)控制列表，ACL可以當(dāng)作一種網(wǎng)絡(luò)控制的有力工具，用來(lái)過(guò)濾流入和流出路由器接口的數(shù)據(jù)包。

建立訪問(wèn)控制列表后，可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對(duì)通信流量起到控制的手段，這也是對(duì)網(wǎng)絡(luò)訪問(wèn)的基本安全手段。在路由器的接口上配置訪問(wèn)控制列表后，可以對(duì)入站接口、出站接口及通過(guò)路由器中繼的數(shù)據(jù)包進(jìn)行安全檢測(cè)。

IP訪問(wèn)控制列表的分類
標(biāo)準(zhǔn)IP訪問(wèn)控制列表
當(dāng)我們要想阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者充許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量，或者想要拒絕某一協(xié)議簇的所有通信流量時(shí)，可以使用標(biāo)準(zhǔn)訪問(wèn)控制列表來(lái)實(shí)現(xiàn)這一目標(biāo)。標(biāo)準(zhǔn)訪問(wèn)控制列表檢查路由的數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址的所有通信流量通過(guò)路由器的出口。

擴(kuò)展IP訪問(wèn)控制列表
擴(kuò)展訪問(wèn)控制列表既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，還檢查數(shù)據(jù)包的特定協(xié)議類型、端口號(hào)等。擴(kuò)展訪問(wèn)控制列表更具有靈活性和可擴(kuò)充性，即可以對(duì)同一地址允許使用某些協(xié)議通信流量通過(guò)，而拒絕使用其他協(xié)議的流量通過(guò)。

命名訪問(wèn)控制列表
在標(biāo)準(zhǔn)與擴(kuò)展訪問(wèn)控制列表中均要使用表號(hào)，而在命名訪問(wèn)控制列表中使用一個(gè)字母或數(shù)字組合的字符串來(lái)代替前面所使用的數(shù)字。使用命名訪問(wèn)控制列表可以用來(lái)刪除某一條特定的控制條目，這樣可以讓我們?cè)谑褂眠^(guò)程中方便地進(jìn)行修改。

在使用命名訪問(wèn)控制列表時(shí)，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多個(gè)ACL，不同類型的ACL也不能使用相同的名字。

通配符掩碼
通配符掩碼是一個(gè)32比特位的數(shù)字字符串，它被用點(diǎn)號(hào)分成4個(gè)8位組，每組包含8比特位。在通配符掩碼位中，0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。通配符掩碼與IP地址是成對(duì)出現(xiàn)的，通配符掩碼與子網(wǎng)掩碼工作原理是不同的。在IP子網(wǎng)掩碼中，數(shù)字1和0用來(lái)決定是網(wǎng)絡(luò)、子網(wǎng)，還是相應(yīng)的主機(jī)的IP地址。如表示172.16.0.0這個(gè)網(wǎng)段，使用通配符掩碼應(yīng)為0.0.255.255。

在通配符掩碼中，可以用255.255.255.255表示所有IP地址，因?yàn)槿珵?說(shuō)明所有32位都不檢查相應(yīng)的位，這是可以用any來(lái)取代。而0.0.0.0的通配符掩碼則表示所有32位都要進(jìn)行匹配，這樣只表示一個(gè)IP地址，可以用host表示。所以在訪問(wèn)控制列表中，可以選擇其中一種表示方法來(lái)說(shuō)明網(wǎng)絡(luò)、子網(wǎng)或主機(jī)。(責(zé)任編輯：liucl)