边界路由策略在网络安全中的应用研究

                      2019-11-06 06:11:49 物联网技术 2019年9期

                      张思卿 张帆

                      摘 要:路由策略和策略路由的目的都是提高网络的安全性能。通过对路由策略和策略路由两者的比较,发现都是根据一定的要求制定相应的规则,通过改变某些参数实现不同流量在不同转发路径之间的传输控制。区别在于路由策略是路由发现时所用到的规则,能控制路由表的大小;策略路由是数据包转发时所用到的规则,能实现网络的负载均衡和链路备份。路由策略和策略路由应用技术对提高网络安全性能具有重要意义。

                      关键词:网络安全;ACL;流量控制;路由器;安全性能;TCP/UDP

                      中图分类号:TP39;TN915.08文献标识码:A文章编号:2095-1302(2019)09-00-05

                      0 引 言

                      在对网络服务质量要求越来越高的大环境中,访问控制列表(Access Control List,ACL)产生并得到了快速、广泛的应用。ACL是一组指令集,可根据网络安全的不同需求,通过有序的排列组合形成有效的条件列表,实现对流量的分类过滤,过滤技术是ACL实现的核心[1],可以在交换机、路由器、防火墙等网络设备中应用ACL以更好地实现对网络的安全防护。

                      ACL实际上是路由器上的流量过滤器,它可以根据分组的属性,比如IP地址来识别特定类型的分组流量[2]。在识别以后ACL可执行特定操作,比如阻止它们通过某个特定的接口。ACL作为网络安全领域发展较为成熟的一项流量控制技术,在网络安全中发挥着较为重要的作用。在ACL的具体应用中,通过标准ACL与扩展ACL相结合实现对流量的控制,并且对不同级别的用户提供不同的服务器访问权限[3];在ACL的扩展應用中,通过设计ACL与其他应用技术相结合以实现不同的路由策略。

                      1 ACL工作原理

                      ACL由访问控制条目(ACE)组成,ACE通常也被称为ACL语句,其根据某一标准(源地址、目的地址、协议号和端口号)创建[4]。

                      ACL从第三层数据包报头中读取源IP地址、目的IP地址、ICMP消息类型信息;从第四层数据包报头中读取TCP/UDP源端口号、TCP/UDP目的端口号信息;根据预先定义的规则决定哪些数据包可以接收,哪些数据包需要拒绝,从而实现访问控制目的[5]。

                      ACL提供了一种区分不同类型数据包的方法。根据各自的特点,将不同的数据包分为不同的类型,以达到控制用户访问的目的。

                      ACL的工作原理如图1所示。

                      2 应用需求

                      2.1 路由策略需求

                      路由策略通过某些规则来改变影响路由发布、接收及路由选择的参数,从而改变路由发现的结果,目的是控制路由表的内容[6]。路由策略需求如下:

                      (1)路由器R1只能将环回接口中第3位为奇数的路由和F0/0接口的路由发送出去;

                      (2)在路由器R1和路由器R2之间使用RIPv2路由协议。

                      2.2 策略路由需求

                      策略路由仅针对某些特定需求,如主机不根据当前路由表中的路由进行转发,而单独使用别的路径转发。策略路由在数据包转发时进行策略匹配,使用单独的路径转发但不改变路由表中的路由信息。需求如下:

                      (1)在路由器R3的F0/0接口采用相应策略,PCA数据的下一跳地址为192.168.23.2,所有其他数据包正常转发;

                      (2)在路由器R3的F0/1接口应用相应策略,源地址为192.168.2.0/24网段的TELNET包,设置下一跳地址为192.168.32.2,将IP包的优先级设置为critical,其他包正常转发;

                      (3)在路由器R2与路由器R3之间使用EIGRP路由协议。

                      2.3 拓扑结构

                      应用拓扑结构如图2所示。

                      拓扑图中在路由器R1与R2之间实现路由更新策略,路由器R2与R3之间实现策略路由;路由器R4,R5,R6分别表示三台主机。

                      2.4 设备需求及IP地址分配

                      根据需求分析及应用拓扑图,该应用设备及IP分配见表1所列。

                      3 应用实现

                      3.1 路由策略实现

                      4 应用测试

                      4.1 路由策略测试

                      在R2上查看路由表,结果如图3所示。

                      结果分析:

                      在路由器R1的接口S2/0的出方向应用distribute-list 10,该分发列表中调用ACL 10 只允许第三位为奇数的路由条目,其他路由条目拒绝。

                      图中大写字母R表示从路由器R1所收到的RIPv2路由条目,并且第三位为奇数,基于ACL的路由更新控制生效。

                      4.2 策略路由测试

                      4.2.1 网络层测试结果

                      在PCA上ping地址2.2.2.2,路由器R3上显示的信息如图4所示。

                      结果分析:

                      以上输出信息表明源地址为192.168.1.2的主机发送给目的地址2.2.2.2的数据包在接口F0/0匹配route-map MAP1的序列号10所定义的策略,执行策略路由并设置数据包下一跳地址为192.168.23.2。

                      在PCA上使用L0接口地址ping地址2.2.2.2,路由器 R3显示的信息如图5所示。

                      结果分析:

                      以上输出信息表明源地址为3.3.3.3接口发送到目的地址的2.2.2.2数据包在接口F0/1不匹配策略路由,数据包正常转发。

                      在策略路由中只允许源地址为192.168.1.2的数据包,所以当源地址为3.3.3.3时不匹配策略路由故正常转发。

                      4.2.2 应用层测试结果

                      在PCB上访问2.2.2.2的TELNET服务,路由器R3显示的信息如图6所示。

                      结果分析:

                      以上输出信息表明从PCB发送的TELNET数据包在接口F0/1匹配策略,执行策略路由并设置数据包下一跳地址为192.168.32.2。

                      在PCB上ping路由器R2的2.2.2.2,路由器R3显示的调试信息如图7所示。

                      结果分析:

                      以上输出信息表明源地址为192.168.2.2的主机发送到目的地址2.2.2.2的数据包在接口F0/1不匹配路由策略,数据包正常转发。

                      在策略中ACL只接纳源地址为192.168.2.2的TELNET数据包,在PCB上ping路由器R2的地址2.2.2.2则产生ICMP类型数据包,不匹配策略,所以正常转发。

                      在PCB上用L0接口访问2.2.2.2的TELNET服务,路由器R3显示的信息如图8所示。

                      结果分析:

                      以上输出信息表明源地址为4.4.4.4的接口发送到目的地址2.2.2.2的HTTP数据包在接口F0/1不匹配路由策略,数据包正常转发。

                      虽然源地址4.4.4.4发送的是TELNET类型数据包,但在策略中只允许源地址为192.168.2.2的数据包执行策略,所以不匹配策略正常转发。

                      5 结 语

                      本文通过不同的需求实现路由策略和策略路由。分析实现需求,列出路由协议的配置和策略配置,对应用进行测试,并对测试结果进行分析说明。两者的相同点:均根据一定的要求制定相应的规则,通过改变某些参数实现不同流量在不同转发路径之间的传输控制。两者之间的区别:路由策略是路由发现时所用到的规则,可控制路由表的大小。策略路由是数据包转发时所用到的规则,能实现网络的负载均衡和链路备份。路由策略和策略路由应用技术对提高网络安全性能具有重要意义。

                      参 考 文 献

                      [1]兀俊. ACL访问控制列表在交易连接平台上的应用[D].上海:复旦大学,2008.

                      [2]张峥.基于访问控制技术的银行网络安全研究及应用[D].重慶:重庆大学,2007.

                      [3]秦成海.访问列表在网络管理中的应用[J].中国科技信息,2011(17):102.

                      [4]刘辉.企业计算机网络的安全管理[J].工业安全与环保,2003,29(11):40-41.

                      [5]王芳.路由器访问控制列表及其应用技术研究[D].郑州:解放军信息工程大学,2007.

                      [6]刘军,彩萍. ACL在IP网络中的应用[J].计算机与数字工程,2009,7(1):178-181.

                      [7]童列高.一种改进的海上无线传感网动态源路由算法[J].物联网技术,2018,8(1):33-34.

                      [8]林晖.云南移动支撑网边界路由器安全策略的实施[J].电信技术,2003(8):52-54.

                      [9]梅冯阳.无线传感器网络基于泰森图分簇的路由算法[J].物联网技术,2016,6(8):44-47.

                      [10]范体贵,吕立君.基于访问控制列表的路由器防火墙在网络安全中的应用研究[J].计算机与网络,2004(24):52-53.

                      (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();