隨著Internet/Intranet的飛速發(fā)展，全國各企事業(yè)單位都在建設(shè)局域網(wǎng)并連入互聯(lián)網(wǎng)，但信息網(wǎng)絡(luò)安全一直是我們關(guān)心的問題，所以本文提出了在路由器下通過訪問控制列表(ACL)來構(gòu)建計算機網(wǎng)絡(luò)的防火墻體系結(jié)構(gòu)。

一個組織全局的安全策略應(yīng)根據(jù)安全分析和業(yè)務(wù)需求分析來決定，因為網(wǎng)絡(luò)安全與防火墻關(guān)系緊密，所以我們要正確設(shè)置網(wǎng)絡(luò)的安全策略，使防火墻發(fā)揮最大的作用。

網(wǎng)絡(luò)防火墻安全策略是指要明確定義哪些數(shù)據(jù)包允許或禁止通過并使用網(wǎng)絡(luò)服務(wù)，以及這些服務(wù)的使用規(guī)則。而且，網(wǎng)絡(luò)防火墻安全策略中的每一條規(guī)定都應(yīng)該在實際應(yīng)用時得到實現(xiàn)。下面我們就路由器下通過訪問控制列表實現(xiàn)安全策略，以達到防火墻的功能，并對其實現(xiàn)及應(yīng)用進行詳細的敘述。

訪問控制列表的作用
訪問控制列表是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號、協(xié)議等特定指示條件來決定。通過靈活地增加訪問控制列表，ACL可以當作一種網(wǎng)絡(luò)控制的有力工具，用來過濾流入和流出路由器接口的數(shù)據(jù)包。

建立訪問控制列表后，可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對通信流量起到控制的手段，這也是對網(wǎng)絡(luò)訪問的基本安全手段。在路由器的接口上配置訪問控制列表后，可以對入站接口、出站接口及通過路由器中繼的數(shù)據(jù)包進行安全檢測。

IP訪問控制列表的分類
標準IP訪問控制列表
當我們要想阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者充許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者想要拒絕某一協(xié)議簇的所有通信流量時，可以使用標準訪問控制列表來實現(xiàn)這一目標。標準訪問控制列表檢查路由的數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機的IP地址的所有通信流量通過路由器的出口。

擴展IP訪問控制列表
擴展訪問控制列表既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，還檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。擴展訪問控制列表更具有靈活性和可擴充性，即可以對同一地址允許使用某些協(xié)議通信流量通過，而拒絕使用其他協(xié)議的流量通過。

命名訪問控制列表
在標準與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數(shù)字組合的字符串來代替前面所使用的數(shù)字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改。

在使用命名訪問控制列表時，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。

通配符掩碼
通配符掩碼是一個32比特位的數(shù)字字符串，它被用點號分成4個8位組，每組包含8比特位。在通配符掩碼位中，0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。通配符掩碼與IP地址是成對出現(xiàn)的，通配符掩碼與子網(wǎng)掩碼工作原理是不同的。在IP子網(wǎng)掩碼中，數(shù)字1和0用來決定是網(wǎng)絡(luò)、子網(wǎng)，還是相應(yīng)的主機的IP地址。如表示172.16.0.0這個網(wǎng)段，使用通配符掩碼應(yīng)為0.0.255.255。

在通配符掩碼中，可以用255.255.255.255表示所有IP地址，因為全為1說明所有32位都不檢查相應(yīng)的位，這是可以用any來取代。而0.0.0.0的通配符掩碼則表示所有32位都要進行匹配，這樣只表示一個IP地址，可以用host表示。所以在訪問控制列表中，可以選擇其中一種表示方法來說明網(wǎng)絡(luò)、子網(wǎng)或主機。(責任編輯：liucl)