网络层访问权限控制技术ACL详解(下)

进一步完善对服务器数据的保护――ACL执行顺序再探讨

在服务器网段中的数据库服务器中存放有大量的市场信息，市场部门的人员不希望研发部门访问到数据库服务器，经过协商，同意研发部门的领导的机器（IP地址为10.1.6.33）可以访问到数据库服务器。这样，我们的服务器网段的的访问权限部分如下表所示：
协议 源地址 源端口 目的地址 目的端口 操作
TCP 10.1/16 所有 10.1.2.20/32 80 允许访问
TCP 10.1/16 所有 10.1.2.22/32 21 允许访问
TCP 10.1/16 所有 10.1.2.21/32 1521 允许访问
TCP 10.1.6/24 所有 10.1.2.21/32 1521 禁止访问
TCP 10.1.6.33/32 所有 10.1.2.21/32 1521 允许访问
IP 10.1/16 N/A 所有 N/A 禁止访问

于是，网管就在server-protect后面顺序加了两条语句进去，整个ACL变成了如下形式：
ip access-list extend server-protect
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp
deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521
permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521

做完之后发现根本没起到应有的作用，研发部门的所有机器还是可以访问到数据库服务器。这是为什么呢？

前面我们提到过，ACL的执行顺序是从上往下执行，一个包只要遇到一条匹配的ACL语句后就会停止后续语句的执行，在我们的这个ACL中，因为前面已经有了一条permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521语句。内部网上所有访问10.1.2.21的1521端口的在这儿就全部通过了，跟本不会到后面两句去比较。所以导致达不到我们的目的。应该把server-protect这个ACL按如下形式进行修改才能满足我们的要求：
ip access-list extend server-protect
permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521
deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp

这个例子告诉我们在写ACL时，一定要遵循最为精确匹配的ACL语句一定要写在最前面的原则，只有这样才能保证不会出现无用的ACL语句。

基于时间的ACL

在保证了服务器的数据安全性后，领导又准备对内部员工上网进行控制。要求在上班时间内(9:00-18:00)禁止内部员工浏览internet，禁止使用QQ、MSN。而且在2003年6月1号到2号的所有时间内都不允许进行上述操作。但在任何时间都可以允许以其它方式访问Internet。天哪，这可叫人怎么活呀，但领导既然这样安排，也只好按指示做了。

首先，让我们来分析一下这个需求，浏览internet现在基本上都是使用http或https进行访问，标准端口是TCP/80端口和TCP/443，MSN使用TCP/1863端口，QQ登录会使用到TCP/UDP8000这两个端口，还有可能使用到udp/4000进行通讯。而且这些软件都能支持代理服务器，目前的代理服务器主要布署在TCP 8080、TCP 3128（HTTP代理）和TCP1080(socks)这三个端口上。这个需求如下表所示：

应用 协议 源地址 源端口 目的地址 目的端口 操作
IE TCP 10.1/16 所有 所有 80 限制访问
IE TCP 10.1/16 所有 所有 443 限制访问
MSN TCP 10.1/16 所有 所有 1863 限制访问
QQ TCP 10.1/16 所有 所有 8000 限制访问
QQ UDP 10.1/16 所有 所有 8000 限制访问
QQ UDP 10.1/16 所有 所有 4000 限制访问
HTTP代理 TCP 10.1/16 所有 所有 8080 限制访问
HTTP代理 TCP 10.1/16 所有 所有 3128 限制访问
Socks TCP 10.1/16 所有 所有 1080 限制访问
All other IP 10.1/16 N/A 所有 N/A 允许访问