利用ACL来防范来自内部的安全风险
来源:中国IT实验室 更新时间:2007-08-26

 

  随着关键业务对网络依赖程度地日益增强,企业IT部门必须在保护网络安全方面投入更多的资金和精力。一种流行的方法是在网络边缘上部署防火墙,将来自攻击者的端口扫描和恶意数据流阻挡在企业网络的大门之外。  

  尽管边缘防火墙是实现网络安全的不可缺少的工具,但是它们对于阻止来自网络内部的攻击(来自网络内部的攻击可能是心怀不满的员工、物理安全事故或者利用WLAN发起的攻击)却无能为力。对于用户来说,仅仅在网络边缘部署防火墙,一次故障或一次错误的配置就可能危及整个网络。  

  化解这些风险,企业网络需要实施分层次的安全战略,即所谓的“纵深防御”。目前实现网络安全的一种有效途径是在网络中的路由器或交换机上使用访问控制列表(ACL)。ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。使用适当的ACL可以帮助用户有效减少安全风险。  

  ACL的工作原理

  ACL是一张规则表,路由器或交换机等网络设备按照顺序执行这些规则,并且处理每一个进入接口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。  

  虽然ACL是提高安全性的有效手段,但是目前许多用户并没有充分地利用ACL,一些用户甚至完全没有利用ACL。出现这种情况,主要是因为正确管理和维护网络设备的ACL十分困难,错误的ACL会造成长时间的停机和业务损失。当访问控制规则添加到路由器或交换机上时,就会出现以下问题:  

  1、ACL冗长而复杂,并且缺少确定添加或修改某些ACL的信息。  

  2、ACL的变化没有被定期监测或控制,导致有关各方很少关注和交流ACL的变化。  

  3、由于ACL长度和复杂性不断增加,停机时间和故障风险也会随之增加。  

  4、ACL缺少专人负责,多数企业用户没有将ACL交给专门工程师去处理。  

  为解决这些问题,公司需要采取合适的流程控制,而这种控制必须在基础层面上被有效执行。如果不执行,最好的安全政策和程序也会毫无用处,还会造成安全的假象。  

  ACL可以做些什么

  以下是几种帮助用户利用ACL化解风险的技术机制。  

  实时变化通知:不管何时网络设备的ACL发生了变化,都必须及时通知相应的管理人员。IT工程师必须掌握哪些设备发生了变化以及它们是如何修改的,只有这样才可以迅速地确定和改正问题,从而最终减少网络停机时间。  

  对规则变化进行注解:工程师必须了解增加每条ACL规则的原因。成功的ACL设置需要详细注解每一条规则。保留每条ACL规则的详细信息,以减少日后搜索ACL资源所用的时间。  

  审计跟踪:由于ACL存在的问题在于缺少专职负责ACL的工程师,所以企业应该派专人负责跟踪ACL的变化。  

  日志分析:任何一位安全专家都会建议用户必须为安全事件保留适当的追踪信息和历史数据。任何技术执行机制不仅生成记录修改网络设备ACL的日志,而且还必须将这些日志保存在历史知识库中,以满足日后的追踪分析要求。如果这种执行机制不仅为ACL,还能为所有的网络设备配置提供同样保存历史资料的能力,就更好了。  

  ACL作为一种提高安全性的有效工具,应当被经常使用。在ACL管理控制技术帮助下,ACL可以帮助企业在节省费用的同时提高安全性。