论文部分内容阅读
网络应用与互联网的普及在大幅提高企业生产经营效率的同时,也带来了安全问题。如何将一个网络有效地管理起来,尽可能地降低网络所带来的负面影响,这成为摆在网络管理员面前的一个重要课题。
山东省蓬莱市供电公司是一家国营企业下属的县级公司。近期,我们按照上级公司的要求对本公司的局域网进行了升级改造。我们通过购置一台Cisco 6509三层交换机作为核心层交换机,以及不同型号的Cisco交换机作为汇聚层和接入层交换机,以提高公司网络的性能;通过购置3台防火墙和一台网络单向隔离设备,对公司的业务进行网络安全分区,共划分为4个安全区,安全区之间通过防火墙和隔离设备进行了严格的访问控制。
这次改造一定程度上满足了上级公司对一个县级企业信息网络的要求,但是,它同时也存在很多不足之处,主要是安全区数目太少,对公司的业务网络不能进行细分,因为如果要细分就需要购置更多的防火墙(或多口防火墙,但其价格昂贵)。那能不能对目前的设备进行一定程度的改造、配置来实现安全区的细分呢?答案是肯定的,即利用Cisco的ACL技术。
ACL的基本原理
和功能
网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如Cisco 2950等也开始提供对ACL的支持,只不过所支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,只是名称和配置方式可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。
基本原理:ACL使用包过滤技术,在路由器或交换机上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所具备的访问权限。
实际网络环境描述
本公司的信息网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,通过对业务功能和地域的不同进行综合考虑,划分为几十个VLAN。具体可分为以下几类:服务器VLAN,包括营销服务器VLAN、生产服务器VLAN、网管服务器VLAN、多经服务器VLAN等;部室VLAN,包括信息中心VLAN、财务部VLAN、营销部VLAN、调度所VLAN等。
由于VLAN数目众多,在此只列举了4个有代表性的来说明ACL的具体用法,如下图所示,其中VLAN10为生产服务器VLAN,VLAN20为信息中心管理VLAN,VLAN30为财务部VLAN,VLAN40为调度所VLAN。
设置要求:生产服务器VLAN——VLAN10对所有VLAN提供www(80)端口,对信息中心管理VLAN——VLAN20提供所有端口,其他VLAN之间不能相互访问,但对信息中心管理VLAN提供icmp端口(网络维护使用)。
在具体设置中,VLAN20可以不做设置,VLAN20和VLAN40的设置相同。
Cisco的access-list(访问列表)最基本的分别为标准访问列表和扩展访问列表,两者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。分析一下设置的要求,规则中目标地址、源地址和网络协议及其端口都要用到,所以我们使用扩展访问列表。
山东省蓬莱市供电公司是一家国营企业下属的县级公司。近期,我们按照上级公司的要求对本公司的局域网进行了升级改造。我们通过购置一台Cisco 6509三层交换机作为核心层交换机,以及不同型号的Cisco交换机作为汇聚层和接入层交换机,以提高公司网络的性能;通过购置3台防火墙和一台网络单向隔离设备,对公司的业务进行网络安全分区,共划分为4个安全区,安全区之间通过防火墙和隔离设备进行了严格的访问控制。
这次改造一定程度上满足了上级公司对一个县级企业信息网络的要求,但是,它同时也存在很多不足之处,主要是安全区数目太少,对公司的业务网络不能进行细分,因为如果要细分就需要购置更多的防火墙(或多口防火墙,但其价格昂贵)。那能不能对目前的设备进行一定程度的改造、配置来实现安全区的细分呢?答案是肯定的,即利用Cisco的ACL技术。
ACL的基本原理
和功能
网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如Cisco 2950等也开始提供对ACL的支持,只不过所支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,只是名称和配置方式可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。
基本原理:ACL使用包过滤技术,在路由器或交换机上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所具备的访问权限。
实际网络环境描述
本公司的信息网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,通过对业务功能和地域的不同进行综合考虑,划分为几十个VLAN。具体可分为以下几类:服务器VLAN,包括营销服务器VLAN、生产服务器VLAN、网管服务器VLAN、多经服务器VLAN等;部室VLAN,包括信息中心VLAN、财务部VLAN、营销部VLAN、调度所VLAN等。
由于VLAN数目众多,在此只列举了4个有代表性的来说明ACL的具体用法,如下图所示,其中VLAN10为生产服务器VLAN,VLAN20为信息中心管理VLAN,VLAN30为财务部VLAN,VLAN40为调度所VLAN。
设置要求:生产服务器VLAN——VLAN10对所有VLAN提供www(80)端口,对信息中心管理VLAN——VLAN20提供所有端口,其他VLAN之间不能相互访问,但对信息中心管理VLAN提供icmp端口(网络维护使用)。
在具体设置中,VLAN20可以不做设置,VLAN20和VLAN40的设置相同。
Cisco的access-list(访问列表)最基本的分别为标准访问列表和扩展访问列表,两者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。分析一下设置的要求,规则中目标地址、源地址和网络协议及其端口都要用到,所以我们使用扩展访问列表。