ACL established参数实现端口防护

Security信息安全责任编辑：赵志远 投稿信箱：netadmin@ established参数实现端口防护■陕西 汪双文 张振武随着各类网络病毒及攻击大量出现，内部网络及数据面临的威胁日益严重。这些病毒、网络攻击第一步总是通过扫描发现和利用各类计算机端口，从而达到入侵的目的。对于网络端口的防护手段很多，常用的是防火墙的包过滤策略。本文主要是针对没有防火墙的网络节点，探讨在路由器中利用ACL established参数实现端口防护。图1 网络拓扑示意图编者按：网络安全日益重要的今天，如何保护内部网络，用一条命令：同时又要保障网络的畅通，成为网络运维人员必须具备的能力。本文利用扩展ACL的established参数实现内部网络的端口防护，以提高网络安全。0.0.0.255然后将该ACL应用在R1连接A公司交换机的GE 0/0/0口的outbound方向。按照理解，对外访问不做任何限制，而仅阻断掉来自B公司源地址的访问。但是这样配置之后，发现A公司的所有业务全部中断了！笔者赶紧进行回退，然后分析原因。数据流假如从A发出，rule

1 deny ip

source

10.1.1.0

服务器所在区域，A公司的业务要访问B公司），而作为A公司来说，不想B公司无条件访问A公司。也就是说A访问B，但B不能访问A，要求A到B的单向访问控制。场景需求笔者所在公司为大型国企，网络庞大，各省、地市均有自身需要保护的数据资源。现实需求是，需要内部对外访问时候，无任何限制。而外部分公司对内部的访问，则要受到限制，不能无条件的任意访问。构造网络拓扑图，如图1所示。笔者所在公司为A公司，上级公司为B公司。A能够访问B公司网络（数据中心、访问控制列表及原理ACL（Access Control

List）是指应用到路由器或者三层交换机接口上的指令列表，通畅成为访问控制列表，是用来实现流识别功能的。可以分为基本ACL、高级ACL、二层ACL。那么A作为源地址，第一帧数据可以发现B，但是返回数据包时，B作为了源地址，A作为了目的地址，当返回数据包进入R1时，被R1接口GE0/0/1下的ACL策略阻断了。其实这个可以根据根据TCP的三次握手连接很好的解释。ACL的初步设计笔者最初在进行ACL设计时，想法比较简单。直接A公司作为客户端，发送连接请求报文SYN到B公司服务器端，第一次握手；1142018.04

责任编辑：赵志远 投稿信箱：netadmin@信息安全SecurityB服务器接受连接后，回复ACK报文，并为这次连接分配资源，第二次握手；但是这个报文，A是收不到的，被笔者写的ACL阻断了。这一步后，A收不到B发来的授予连接信息了，也就是SYN+ACK的信息收不到了。也就无法进行第三次握手，无法完成A向B发ACK报文。因此整个TCP连接无法正常建立，导致了笔者所在的A公司业务全部中断。图2 TCP设备中ACL配置笔者所在公司某个节点路由器的配置如图2所示。验证在配置完成后，笔者进行效果验证。从笔者所在的A公司访问B公司，所有业务正常。从B公司访问A公司，不能访问。达到了当初预期目标。这样做的好处在哪里，笔者在此进行总结：1.能对A公司内部网络进行有效防护。因无法进行TCP连接，很多暴力的扫描、非法访问、病毒传播都无法从外部进入内部网络。2.不影响A公司业务。对于需要访问外部公司的业务，不受影响。这样的好处，类似于一个公司内网可以访问外网，但是外网无法访问到公司内网。所以在当今网络安全日益严重的今天，这样的应用场景需求很多。RST位进行标记，从而识别出第二次握手的返回包。那么，笔者就将该识别的数据包进行放行，重新设计ACL：rule 1 permit tcp

source 10.1.1.0 0.0.0.255

established即允许带有标志位的10.1.1.0/24的网络段。这样之后，从A公司发出的第一次握手数据包就会匹配rule 1，对ACK和RST标ACL established设计分析出原因后，笔者就针对此向解决办法。主要问题出在TCP的第二次握手上，那么如何让在这个包通过，成为解决问题的关键。要识别出这个包，就得在这个数据包的包头上做标记进行区分。这里established参数很好的解决了这个问题。在华三/华为的网络设备中，ACL有一个不起眼的属性参数：established。笔者查阅资料，得知established参数就是在TCP连接中的ACK位、记为1，而第二次握手的返回报中，由于ACK和RST都为1，即允许通过。最后完整ACL设计如下：acl number 3018rule 1 permit tcp

source 10.1.1.0 0.0.0.255

establishedrule 999 deny tcp any最后一条规则是防止其他未允许的其他类似B的公司数据包访问A公司。之后在R1的GE 0/0/1口的outbond方向下应用。packet-filter 3018

outbound总结

本文仅采用了一个实例，说明了ACL established 的应用场景，及配置方法。对于大型公司【下转第116页】 2018.04115

Security信息安全责任编辑：赵志远 投稿信箱：netadmin@交换机的端口安全■陈童彬在企业中，交换机特别是第二层的交换机一般用途是用来连接终端设备如计算机，所以都会放在相对容易被用户接触到的地方，基于信息安全的角度考虑，网管人员往往希望禁止用户私自将未经验证的终端设备接上交换机的端口上，又或者基于封包流量、保证服务质量、交换器性能等方面考虑，不希望交换机上的端口串接太多的终端设备，这时候，交换机的端口安全就大派用场，通过设定，可以限制未经验证的设备接上公司网络，又或者限制交换器端口上连接的设备数量。我们知道，第二层交换机有认识MAC-address的本领，也可以通过MAC-address做图1 实例一架构图编者按：在企业网络中对交换机的安全配置是至关重要的，本文中探讨交换机的端口配置，限制未经验证的设备接上公司网络，或限制交换器端口上连接的设备数量。端口动态学习安全MAC，这是默认选项。2.静态安全MAC：交换机端口静态学习安全MAC，主要由网管人员静态将MAC地址与端口绑定。3.粘滞安全MAC：交换机端口学习安全MAC是先到先得的方法。如果一个端口违反了安全MAC的规则，可以受到以下的“惩罚”。端口受到保护到数据封包的精准传送，我们可以利用交换机能够学习到设备的MAC-address功能对交换机上的端口做一些安全性的设定。在具体设定交换机的端口安全之前，有一些概念和事项需要留意，交换机的安全MAC有三种形式：1.动态安全MAC：交换机（protect）。将违反安全MAC规则的设备封包丢弃。端口受到限制（restrict）。将违反安全MAC规则的设备封包丢弃，并且做日志记录。端口被关闭。将违反安全MAC规则的端口关闭，不【上接第115页】网络段较多，业务较多的场景，需要梳理出业务需求段。有时既存在A到B的主动访问，还有B到A的主动访问。对于A到B的主动访问，可通过established参数实现返回包通过。而对于B到A的主动访问，直接用不带参数的permit方式允许通过，并将该规则置前，因为ACL是从上到下顺序执行的。Established参数仅仅对TCP连接过滤，无法过滤UDP协议，因此假如有病毒是通过UDP协议端口传播，只能通过deny源地址进行，无法使用本文所述方法。1162018.04