访问控制列表的使用

    如果有些非常重要的网络安全域边界不具备部署防火墙的条件，那就需要在路由器或划分VLAN的交换机上做好访问控制列表。路由器是区域与区域之间的边界设备，互通的报文都要经过路由器，对路由器进行合理的设置可以达到实现部分安全防范的目的，这时路由器成为保护每个区域的“前沿阵地”。具体措施是通过设置访问控制列表来实现。

    访问控制列表提供了一种机制用来控制通过路由器的信息流。这种机制允许用户使用访问控制列表来管理信息流，以制定网络相关安全策略。下面以一个例子说明在路由器上做好访问控制列表的重要性。

    以冲击波（Worm.Blaster）这个蠕虫病毒为例，该病毒利用Windows DCOM RPC接口远程缓冲区溢出漏洞和Windows 2000 WebDAV远程缓冲区溢出漏洞发起攻击，该蠕虫通过发送大量ICMP数据包，阻塞正常网络通信。危害很大，但防范并不难。通过在路由器上加载合适的访问控制列表就能很好地进行阻断，此后，该类蠕虫病毒将无法通过网络边界进入网络内部，从而将此威胁屏蔽在外。

    当然，访问控制策略必须是可行的和合理的。可行的策略意味着必须在阻止已知的网络风险和提供用户服务之间获得平衡。因此在配置访问控制列表前，我们必须认真地分析和掌握各类协议端口和威胁相应的特征，根据这些对访问控制策略不断调整，使路由器物尽其用，充分发挥访问控制列表是防御网络外来攻击第一道屏障的作用。对于划分VLAN的交换机可以参考路由器进行ACL设置。