發布時間:所屬分類:科技論文瀏覽:1次
摘 要: 近年,某單位進行了大規模的檔案整理和數字化工作,此項工作對對網絡數據的高速傳輸、數據傳輸的安全性和完整性都提出了很高的要求,本文介紹ACL技術在數字化工作網絡搭建中對控制流量、節約網絡資源、提高網絡安全等方面的運用。 【關鍵詞】檔案,數字化網絡
近年,某單位進行了大規模的檔案整理和數字化工作,此項工作對對網絡數據的高速傳輸、數據傳輸的安全性和完整性都提出了很高的要求,本文介紹ACL技術在數字化工作網絡搭建中對控制流量、節約網絡資源、提高網絡安全等方面的運用。
【關鍵詞】檔案,數字化網絡,ACL
1引言
自2011年起,某單位進行了大規模的明清檔案整理和數字化工作,其中,檔案的數字化加工工作對網絡數據的高速傳輸、數據傳輸的安全性和完整性都有很高的要求。隨著網絡規模的擴大和流量的增加,網絡訪問控制列表(即AccessControlList,以下簡稱ACL)的靈活運用可以有效防止非法用戶對網絡的訪問,同時也可以控制流量、節約網絡資源,本文結合該單位實際,談ACL技術在明清檔案數字化工作中的應用。
2基本概念的梳理
網絡環境,是指將分布在不同地點的多個計算機物理上進行互聯,依據某種協議互相通信,實現軟、硬件及其網絡文件共享的系統。網絡環境是單位信息化建設的一個重點,也是現代化管理軟件運用的平臺。
由于單位的網絡建設需要花費大量的資金投入,運行和維護費用高,網絡應用與技術開發難度大,以及硬件更新換代快的特點,需要從本單位的實際出發,根據工作實際的需要,科學構建合理高效實用的網絡環境,保證單位網絡切實為工作服務,提高網絡效率。訪問控制列表(即AccessControlList,以下簡稱ACL)是路由器和交換機的重要功能之一,是基于包過濾的軟件防火墻,根據網絡中數據包所含的信息,決定是否允許數據包通過,從而簡單高效地實現對網絡的保護。
ACL是由一系列語句組成,這些語句主要包括匹配條件和采取的動作(允許或者拒絕)兩個部分。當交換機的端口接收到報文后,即根據當前端口上應用的ACL規則對報文的字段進行分析,在識別出特定的報文之后,根據預先設定的策略允許或禁止相應的數據包通過。由ACL定義的數據包匹配規則,也可以被其它需要對流量進行區分的功能引用,如QoS中流分類規則的定義。
ACL通過一系列的匹配條件對數據包進行分類,這些條件可以是數據包的源地址、目的地址、端口號等。根據應用目的,可將ACL分為以下四種:A.基本ACL:只根據數據包的源IP地址制定規則。B.高級ACL:根據數據包的源IP地址、目的IP地址、IP承載的協議類型、協議特性等三、四層信息制定規則。C.二層ACL:根據數據包的源MAC地址、目的MAC地址、802.1p優先級、二層協議類型等二層信息制定規則。D.用戶自定義ACL:以數據包的頭部為基準,指定從第幾個字節開始與掩碼進行“與”操作,將從報文提取出來的字符串和用戶定義的字符串進行比較,找到匹配的報文。
ACL在交換機上的應用支持兩種應用方式:A.基于硬件的應用:即ACL被下發到硬件。例如配置Qos功能時引用ACL,對報文進行流分類,在這種情況下,交換機對匹配此ACL的報文采取的動作由Qos中流行為定義的動作決定。B.基于軟件的應用:ACL被上層軟件引用,在這種情況下,交換機對匹配此ACL的報文采取的動作由ACL規則中定義的動作決定。
3核心交換機上ACL的實現
考慮到某單位檔案整理和數字化項目的啟動,會擴大網絡規模,本單位內有更多的機器需要連入局域網,同時引入社會力量加入此項工作,需要更多的計算機為外包公司工作服務。根據實際情況采用的是核心層一接入層兩層的網絡結構。配備了高性能的核心交換機,對辦公網絡和數據加工網絡進行整合,同時搭配大量的接入層交換機,把館內所有的終端計算機接入網絡。網絡核心層主要作用是高速轉發通信,提供網絡優化、可靠的骨干傳輸結構,通過核心交換的接口、VLAN、協議設計等,確保整合后的網絡環境安全可信。網絡的高性能和高可靠性是設計的重點。
網絡接入層是底層網絡的接口,相對結構簡單,目的是允許終端用戶連接到網絡,因此接入層交換機具有低成本和高端口密度特性為了局域網的安全和工作的需要,辦公區內的計算機之間可以互訪,各個外包公司之間不可以互相訪問。辦公區和外包公司都可以訪問特定VLAN的服務器。為實現此功能,我們配置了高級的IPv4ACL。下面以A外包公司的網絡控制為例講述網絡訪問控制的實現。
A外包公司劃為VLANI6,終端計算機的IP為192.168.160.XXX,A外包公司內部之間可以互相訪問,并且可以訪問虛擬服務器,上傳下載檔案資料。其具體實現是通過ACL3000實現,并通過在A外包公司所屬于的VLAN內下發,可實現入方向的報文匹配。
如下所示,aclnumber3000rule0permitipsource192.168.160.00.0.0.255destination192.168.20.00.0.0.255rulelpermitipsource192.168.160.00.O.0.255destjnatjon】92.】68.】6O.O0.0.0.255rule2denyipinterfacevlan16ipaddress192.168.160.254255.255.255.0packet—filter3000inbound我們實現的ACL都是軟件實現的ACL,為了具體看到匹配信息,可以通過命令行,看到底層的ACL匹配原則。
通過匹配原則可以看到,Rule0的意思是任何IPv4報文,進入核心交換機的任何端口,如果是來自于VLAN16,,同時滿足源IP地址是192.168.160.XXX,目的IP地址是192.168.20.XXX,則允許通過。Rule1的意思是任何IPv4報文,進入核心交換機的任何端口,如果是來自于VLANI6,入方向的報文滿足源IP地址和目的IP地址都是192.168.20.XXX,則允許通過。
4ACL在病毒防范上的運用
2017年5月全球爆發了勒索病毒。病毒制造者通過美國NSA泄露的黑客武器庫攻擊Windows操作系統的漏洞。病毒通過加密技術鎖死文件,限期繳納贖金,否則刪除文件。由于采用了非對稱的加密算法,一旦中毒很難進行數據恢復。根據某網絡公司安全中心分析,國內傳播的勒索病毒是由名為“永恒之藍”的黑客武器,借助互聯網或企業內網(即局域網),通過遠程掃描并攻擊未進行防護的445等端口,在計算機及服務器進行傳播。
將館內殺毒軟件客戶端升級到可查殺“勒索病毒”的最新版本,對封閉445等端口、計算機補丁升級、防病毒應急工具包等技術手段在科內計算機上小范圍試用局域網全部交換機下發訪問控制策略,禁止向445端口等收發報文各個端口下發如下規則:ac]nE~mber3700rule0denytcpdestination—porteq135rule5denytcpdestination—porteq137rulei0denytcpdestination—porteq138rule15denytcpdestination-porteq139rule20denytcpdestination—porteq445結合殺毒軟件升級、windows系統升級,很好的杜絕了勒索病毒的蔓延。
5結語
ACL技術是交換機上的關鍵技術,靈活有效的運用,有利于科學構建合理高效實用的網絡環境,保證單位網絡切實為工作服務,提高網絡效率。
【參考文獻】
[1]陸軍.應用訪問控制列表技術增強網絡安全計算機安全[J】.2011.O1.
推薦期刊:《信息網絡安全》創刊于2001年的月刊雜志,是由公安部主管、公安部第三研究所主辦的綜合性專業月刊。該月刊是公安部公共信息網絡安全監察局及其各級網絡安全監察部門對外宣傳的窗口。雜志為部級B類刊物,是中國計算機學會唯一指定信息安全類會刊。
