近年,某单位进行了大规模的档案整理和数字化工作,此项工作对对网络数据的高速传输、数据传输的安全性和完整性都提出了很高的要求,本文介绍ACL技术在数字化工作网络搭建中对控制流量、节约网络资源、提高网络安全等方面的运用。
【关键词】档案,数字化网络,ACL
1引言
自2011年起,某单位进行了大规模的明清档案整理和数字化工作,其中,档案的数字化加工工作对网络数据的高速传输、数据传输的安全性和完整性都有很高的要求。随着网络规模的扩大和流量的增加,网络访问控制列表(即AccessControlList,以下简称ACL)的灵活运用可以有效防止非法用户对网络的访问,同时也可以控制流量、节约网络资源,本文结合该单位实际,谈ACL技术在明清档案数字化工作中的应用。
2基本概念的梳理
网络环境,是指将分布在不同地点的多个计算机物理上进行互联,依据某种协议互相通信,实现软、硬件及其网络文件共享的系统。网络环境是单位信息化建设的一个重点,也是现代化管理软件运用的平台。
由于单位的网络建设需要花费大量的资金投入,运行和维护费用高,网络应用与技术开发难度大,以及硬件更新换代快的特点,需要从本单位的实际出发,根据工作实际的需要,科学构建合理高效实用的网络环境,保证单位网络切实为工作服务,提高网络效率。访问控制列表(即AccessControlList,以下简称ACL)是路由器和交换机的重要功能之一,是基于包过滤的软件防火墙,根据网络中数据包所含的信息,决定是否允许数据包通过,从而简单高效地实现对网络的保护。
ACL是由一系列语句组成,这些语句主要包括匹配条件和采取的动作(允许或者拒绝)两个部分。当交换机的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止相应的数据包通过。由ACL定义的数据包匹配规则,也可以被其它需要对流量进行区分的功能引用,如QoS中流分类规则的定义。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。根据应用目的,可将ACL分为以下四种:A.基本ACL:只根据数据包的源IP地址制定规则。B.高级ACL:根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。C.二层ACL:根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。D.用户自定义ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
ACL在交换机上的应用支持两种应用方式:A.基于硬件的应用:即ACL被下发到硬件。例如配置Qos功能时引用ACL,对报文进行流分类,在这种情况下,交换机对匹配此ACL的报文采取的动作由Qos中流行为定义的动作决定。B.基于软件的应用:ACL被上层软件引用,在这种情况下,交换机对匹配此ACL的报文采取的动作由ACL规则中定义的动作决定。
3核心交换机上ACL的实现
考虑到某单位档案整理和数字化项目的启动,会扩大网络规模,本单位内有更多的机器需要连入局域网,同时引入社会力量加入此项工作,需要更多的计算机为外包公司工作服务。根据实际情况采用的是核心层一接入层两层的网络结构。配备了高性能的核心交换机,对办公网络和数据加工网络进行整合,同时搭配大量的接入层交换机,把馆内所有的终端计算机接入网络。网络核心层主要作用是高速转发通信,提供网络优化、可靠的骨干传输结构,通过核心交换的接口、VLAN、协议设计等,确保整合后的网络环境安全可信。网络的高性能和高可靠性是设计的重点。
网络接入层是底层网络的接口,相对结构简单,目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性为了局域网的安全和工作的需要,办公区内的计算机之间可以互访,各个外包公司之间不可以互相访问。办公区和外包公司都可以访问特定VLAN的服务器。为实现此功能,我们配置了高级的IPv4ACL。下面以A外包公司的网络控制为例讲述网络访问控制的实现。
A外包公司划为VLANI6,终端计算机的IP为192.168.160.XXX,A外包公司内部之间可以互相访问,并且可以访问虚拟服务器,上传下载档案资料。其具体实现是通过ACL3000实现,并通过在A外包公司所属于的VLAN内下发,可实现入方向的报文匹配。
如下所示,aclnumber3000rule0permitipsource192.168.160.00.0.0.255destination192.168.20.00.0.0.255rulelpermitipsource192.168.160.00.O.0.255destjnatjon】92.】68.】6O.O0.0.0.255rule2denyipinterfacevlan16ipaddress192.168.160.254255.255.255.0packet—filter3000inbound我们实现的ACL都是软件实现的ACL,为了具体看到匹配信息,可以通过命令行,看到底层的ACL匹配原则。
通过匹配原则可以看到,Rule0的意思是任何IPv4报文,进入核心交换机的任何端口,如果是来自于VLAN16,,同时满足源IP地址是192.168.160.XXX,目的IP地址是192.168.20.XXX,则允许通过。Rule1的意思是任何IPv4报文,进入核心交换机的任何端口,如果是来自于VLANI6,入方向的报文满足源IP地址和目的IP地址都是192.168.20.XXX,则允许通过。
4ACL在病毒防范上的运用
2017年5月全球爆发了勒索病毒。病毒制造者通过美国NSA泄露的黑客武器库攻击Windows操作系统的漏洞。病毒通过加密技术锁死文件,限期缴纳赎金,否则删除文件。由于采用了非对称的加密算法,一旦中毒很难进行数据恢复。根据某网络公司安全中心分析,国内传播的勒索病毒是由名为“永恒之蓝”的黑客武器,借助互联网或企业内网(即局域网),通过远程扫描并攻击未进行防护的445等端口,在计算机及服务器进行传播。
将馆内杀毒软件客户端升级到可查杀“勒索病毒”的最新版本,对封闭445等端口、计算机补丁升级、防病毒应急工具包等技术手段在科内计算机上小范围试用局域网全部交换机下发访问控制策略,禁止向445端口等收发报文各个端口下发如下规则:ac]nE~mber3700rule0denytcpdestination—porteq135rule5denytcpdestination—porteq137rulei0denytcpdestination—porteq138rule15denytcpdestination-porteq139rule20denytcpdestination—porteq445结合杀毒软件升级、windows系统升级,很好的杜绝了勒索病毒的蔓延。
5结语
ACL技术是交换机上的关键技术,灵活有效的运用,有利于科学构建合理高效实用的网络环境,保证单位网络切实为工作服务,提高网络效率。
【参考文献】
[1]陆军.应用访问控制列表技术增强网络安全计算机安全[J】.2011.O1.
推荐期刊:《信息网络安全》创刊于2001年的月刊杂志,是由公安部主管、公安部第三研究所主办的综合性专业月刊。该月刊是公安部公共信息网络安全监察局及其各级网络安全监察部门对外宣传的窗口。杂志为部级B类刊物,是中国计算机学会唯一指定信息安全类会刊。
* 稍后学术顾问联系您