2024年5月2日发(作者：)

维普资讯

Ｉ学术．技术ｌ实用技术　

反射访问控制列表　

湖南生物机　

摘要访问控制列表在网络安全中，是一种重要的手段，｛　

范例，介绍了如何通过反射访问列表实现ＪＰ会话和病毒的过　

用　

关键词路由器网络安全反射访问控制列表病毒黑客　

当今社会，网络发展日益迅速，作为公司或企、Ｉ　的网络　

管理员，经常面临一个重要的安全问题，那就是要允许员工　

访问外部网络，但是又要拒绝不希望的外部访问连接，比如，　

网络管理员想允许局域网内的用户访问Ｉｎｔｅｒｎｅｔ，但不愿意　

局域网以外的用户通过Ｉｎｔｅｒｎｅｔ访问本地局域网。这就要求　

能够对进出网络的通信流量进行过滤。在此，为了解决这个　

问题，我们先来了解一下路由器的访问控制列表的概念及功　

能，然后再来分析如何通过路由器访问控制列表来实现ＩＰ会　

话的过滤。　

一

、

访问控制列表　

１

、

访问控制列表概念　

访问控制列表（ＡＣＬ）是应用到路由器接口的指令列表，　

用来控制端口进出的数据包，至于数据包是被接收还是拒绝，　

可以由类似于源地址、目的地址、端口号等的特定指示条件　

来决定。路由器访问控制列表必须应用到接口上才能发挥作　

用，应用到接口上以后，访问控制列表提供了基于路由器端　

口的一种基本安全访问技术，也可以认为是一种内部防火墙　

技术。　

２、访问控制列表功能　

访问列表为网络控制提供了一个有力的方法，这些列表　

增加了在路由器上过滤数据包出入的灵活性。这种控制可以　

帮助限制网络流量，以及控制用户和设备对网络的访问。具　

体可归纳为以下几点：　

（１）ＡＣＬ可以限制网络流量、提高网络性能。例如，　

ＡＣＬ可以根据数据包的协议，指定数据包的优先级。　

（２）ＡＣＬ提供对通信流量的控制手段。例如，ＡＣＬ可　

以限定或简化路由更新信息的长度，从而限制通过路由器某　

一

网段的通信流量。　

（３）Ａ　ＣＬ实现网络安全访问。例如，Ａ　ＣＬ允许主机Ａ　

访问网络，而拒绝主机Ｂ访问。　

（４）ＡＣＬ可以在路由器端口上转发或阻塞某些类型的数　

据流。例如，用户可以允许Ｅ－ｍａｉｌ通信流量被路由，拒绝　

所有的Ｔｅｌｎｅｔ通信流量。　

３、访问控制列表分类　

准访问　

基本访问表控制基于网络地址的信息流，且　允许过滤　

源地址。　

扩展的ＩＰ访问表用于扩展报文过滤能力。一个扩展的　

ＩＰ访问表允许用户根据如下内容过滤报文：源和目的地址，　

协议、源和目的端口以及在特定报文字段中允许进行特殊位　

比较等等。　

这两种访问列表在大多数情况下，都能满足网络管理的　

需要，但是针对某些情况，就不适用了，比如，Ａ和Ｂ为两　

台主机，只有当Ａ发出访问请求，访问Ｂ时，Ｂ才能和Ａ　

进行通信。在其他情况下，Ｂ都不能访问Ａ。在此，我们必　

须了解另一种访问控制列表——反射访问控制列表。　

二、反射访问控制列表　

１

、

基本概念　

反射访问列表和其他访问列表有许多相似之处，表现在　

反射列表包含了定义允许ＩＰ分组通过的规则的条目。路由器　

依次对这些条目进行检测，发现匹配的条目后，便不再检查　

其他条目。　

反射访问列表也与其他类型的列表存在一些重要的差　

异。表现在反射访问列表自身并不直接应用到接口，而是嵌　

套在用于接口的扩展命名ＩＰ访问列表中，并且反射列表只包　

含临时条目，这些条目在新的会话开始时创建，并在会话结　

束时被删除。　

２、工作原理　

在被保护的内部网络上发起一个新的ＩＰ上层会话（如　

ＴＣＰ或ＵＤＰ），并经过路由器将分组发送到外部网络时，路　

由器上的反射访问列表被触发。此时，反射访问列表生成一　

个新的临时条目，如果从外部网络传输过来的数据流是该会　

话的一部分，则此条目将允许它进入内部网络；否则，禁止　

进入网络内部。　

反射访问控制列表提供了一种真正意义上的会话过滤功　

能，由于在允许分组通过路由器之前，分组必须与更多的过　

滤规则匹配（例如，除了检查ＡＣＫ和ＲＳＴ位外，还检查源　

维普资讯

实用技术Ｉ学术．技术　

地址、目标地址和端口号），所以反射访问列表能更有力地抵　

Ｒ　ｌ（ｃｏｎｆｉｇ—ｉｆ１茸ｉｐ　ａｃｃｅｓｓ—ｇｒｏｕｐ　ｉｎｂｏｕｎｄｆｉｌｔｅｒ　ｉｎ　

御电子欺骗。另外，因为会话过滤使用临时过滤器，在会话　

结束时，临时过滤器被删除。所以，将黑客的攻击机会限制　

在一个更小的时限窗口内。　

三、反射访问控制列表应用举例　

有一小型公司内部网络，网络地址为私有地址，通过路　

由器地址转换连接到Ｉｎｔｅｒｎｅｔ，公司希望保障内部网络的安　

全性。希望内部网络的用户可以随时访问Ｉｎｔｅｒｎｅｔ，但是不　

允许Ｉｎｔｅｒｎｅｔ中的主机发起会话，也就是说，Ｉｎｔｅｒｎｅｔ中的　

主机只有当内部网络中的主机发起会话连接时才能与内部主　

机进行通信，实现网络单向访问。现通过反射访问控制列表　

实现这个要求。公司网络拓扑图简化如图ｌ所示，路由器Ｒｌ　

为Ｃｉｓｃｏ２６２０。　

路由器主要配置命令如下：　

（１）配置路由（这里以静态路由为例）　

在本网络路由器配置为：　

Ｒｌ（ＣＯｎｆｉｇ）＃ｉＰ　ｒｏｕｔｅ　０．０．０．０　０、０．０．０　

６】．】６８．８０．２　

在ＩＳＰ路由器配置为：　

Ｒ２（ＣＯ１＂１ｆｉｇ）＃ｉＰ　

６１．１６８．８０．１　

这里配置了路由后，本地路由器和Ｉｎｔｅｒｎｅｔ之间就连通　

了。　

一～　

ｌ　一．　

乓皂　皂　

图１　某小型公司网络拓扑结构图　

（２）配置反射访问列表实现ｌＰ会话过滤　

这个要求只需要在本地路由器上配置。　

ＲＩｆ　ＣＯｎｆｉｇ）＃ｉｐ　ａｃｃｅｓｓ—ｌｉ　ｓｔ　ｅｘｔｅｎｄｅｄ　

ｉｎｂＯｕｎｄｆｉｌｔｅｒ　

Ｒｌ（ｃｏｎｆｉｇ—ｅｘｔ—ｎａｃ１）＃ｐｅｒｍｉｔ　ｉｐ　ａｎｙ　ａｎｙ　

ｒｅｆｌｅｃｔ　ｉｎｔｅｒｎｅｌｔｒａｆｆｉｃ　

Ｒ　ｌ（ｃｏｎｆｉｇ—ｅｘｔ—ｎａｃ１）＃ｅｘｉｔ　

Ｒｌ（Ｃ０ｎｆｉｇ）＃ｉＰ　ａｃｃｅ　ｓｓ—ｌｉ　ｓｔ　ｅｘｔｅｎｄｅｄ　

ｏｕｔｂｏｕｎｄｆｉｌｔｅｒ　

Ｒ　１（ｃｏｎｆｉｇ－ｅｘｔ－ｎａｃ１）　ｅｖａｌｕａｔｅ　ｉｎｔｅｍｅｌｔｒａｆｆｉｃ　

Ｒ　ｌ（ｃｏｎｆｉｇ—ｅｘｔ—ｎａｃ１）＃ｅｘｉｔ　

（３）将反射访问列表应用到Ｒ１的ＦａＯ／Ｏ接口　

Ｒ　ｌ（ｃｏｎｆｉｇ）＃ｉｎｔ　ｆａ０／０　

Ｒ　ｌ（ｃｏｎｆｉｇ—ｉｆ１盘　ｉｐ　ａｃｃｅｓｓ—ｇｒｏｕｐ　Ｏｕｔｂｏｕｎｄｆｉｌｔｅｒ　

ｏｕｔ　

注意在反射访问控制列表中只能用命名方式的ＡＣＬ，不　

能用数字编号方式的ＡＣＬ　

经过这些配置后，在本地路由器巾生成了两个访问控制　

列表ｉｎｂｏｕｎｄｆｉｌｔｅｒ和ｏｕｔｂｏｕｎｄｆＩｌｔｅｒ，而且都应用在ｆａ０／０　

接口上，ｏｕｔｂｏｕｎｄｆｉｌｔｅｒ的部分决定ｒ哪些进入内部网络的　

数据流是需要被单向访问的，ｉｎｂｏｕｎｄｆｉｌｔｅｒ部分决定了这些　

发起连接的ＰＣ机。　

上述配置在达到了限制外部网络用户主动访问内部网络　

的目的的同时，还达到了其他一些网络安全的目的：（１）防　

病毒病毒不会轻易地从外部网络传播到内部网络了。因为　

很多病毒都是主动进行ＴＣＰ连接进行传播的，由于本地路　

由器上采用反射访问控制列表禁止了外部网络的ＴＣＰ主动　

连接，因此病毒无法顺利传播；（２）防木马及黑客的攻击　

一

般的木马程序都包括客户端和服务端两个程序，比如冰河，　

其客户端是用于攻击者远程控制的机器，服务器端程序即是　

木马程序。攻击者要通过木马攻击你的系统，他所做的第一　

步是要把木马的服务器端程序植入到你的主机上。假若服务　

端程序不小心传到了本地网络中的机器上，Ｈ在被感染的机　

器上成功运行，攻击者就可以使用客户端与服务端建立连接，　

并进一步控制被感染的机器。但是本地网络路由器上采用反　

射访问控制列表禁止了外部网络的主动连接请求，因此黑客　

无法建立连接，无法控制被中木马的机器。　

本文讨论的反射访问控制列表技术能实现对网络的安全　

保护，主要是由于对ＩＰ会话的过滤，能禁止非法用户的访问　

及病毒的感染和传播。因此，本文讨论的技术对于很多网络　

的安全防护来说，有一定的借鉴意义。＠　

参考文献　

【１］　【美］Ｃｉｓｃｏ公司．Ｃｉｓｃｏ　１０Ｓ网络安全．／，－Ｋ邮电出版社，　

２ｏｏ１．　

【２］　【美］Ｖｉｔｏ　Ａｍａｔｏ．思科网络技术学院教程（下册）．人民　

邮电出版社，２００１．　

【５】【美】Ｍａｒｋ　ＭｃＧｒｅｇｏｒ．ＣＣＮＰ思科网络技术学院教程（第五学　

期）实验手册高级路由．人民邮电出版社．２００２．　

ｆ４］　黄中伟、计算机网络管理与安全技术．人民邮电出版社　

．

２００６．　

【５］　清华万博．网络设备．北京清华万博网络技术股份有限　

公司．２００４．