基于ACL校园网络安全的实现.docx
- 文档编号:27648393
- 上传时间:2023-07-03
- 格式:DOCX
- 页数:31
- 大小:316.73KB
基于ACL校园网络安全的实现.docx
《基于ACL校园网络安全的实现.docx》由会员分享,可在线阅读,更多相关《基于ACL校园网络安全的实现.docx(31页珍藏版)》请在冰豆网上搜索。
基于ACL校园网络安全的实现
南阳理工学院
本科生毕业设计(论文)
学院(系):
软件学院
专业:
网络工程
学生:
指导教师:
完成日期2012年04月
XX理工学院本科生毕业设计(论文)
基于ACL的校园网络安全策略的设计与实现
BasedonDesignandImplementationofth
ecampusnetworksecuritypolicyinACL
总计:
毕业设计(论文)21页
表格:
3个
图片:
6个
XX理工学院本科毕业设计(论文)
基于ACL的校园网络安全策略的设计与实现
BasedonDesignandImplementationofth
ecampusnetworksecuritypolicyinACL
学院(系):
软件学院
专业:
网络工程
学生姓名:
学号:
指导教师(职称):
讲师
评阅教师:
完成日期:
2012年04月14日
XX理工学院
NanyangInstituteofTechnology
基于ACL的校园网络安全策略的设计与实现
网络工程
1[摘要]随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。
高校校园网的安全是一个庞大的系统工程,需要全方位的防X。
防X不仅是被动的,更要主动进行。
ACL(访问控制列表)是网络安全防X和保护的主要策略,网络管理员通常首选ACL策略来完成对所管理网络的安全配置。
由此可见ACL在网络中的重要性。
本文通过在校园网中配置ACL实现对网络安全策略的应用,论文首先论述了ACL的发展和应用,详细介绍ACL的概念、作用、工作流程、分类和局限性,然后介绍了各种类型的访问控制列表的具体配置,最后搭建配置校园网的环境,具体配置校园网的控制访问列表,实现校园网运作在一个安全稳定的环境中。
2[摘要]ACL;校园网;网络安全策略
BasedonDesignandImplementationofth
ecampusnetworksecuritypolicyinACL
NetEngineeringMajor
1Abstract:
Withtherapiddevelopmentofthenetwork,thepopularityofthenetworkmoreandmorecivilianspervasiveinpeople'slearningandallaspectsoflife,thenetworkhasbroughtgreatconveniencetopeople'slearningandlife,buttheacpanyingnetworkthesecurityissuehasdrawnincreasingattention.CampusNetworksecurityisahugeproject,afullrangeofprevention.Preventionisnotonlypassive,butalsototaketheinitiative.ACL(AccessControlList)isthemainstrategyofpreventionandprotectionofnetworksecurity,networkadministratorsoftenpreferredtheACLpolicytopletethesecurityconfigurationonthemanagementnetwork.ThisshowstheimportanceofACLinthenetwork.
ThisarticlethroughinthecampusnetworkconfigurationACLtoachieveintheapplicationofnetworksecuritypolicy,thispaperfirstdiscussesthedevelopmentandapplicationoftheACL,detailedintroducestheconcept,function,ACLworkingprocess,andtheclassificationandlimitations,andthenintroducesvarioustypesofaccesscontrollistofthespecificconfiguration,buildenvironmentofcampusnetworklastconfiguration,andthespecificconfigurationofthecampusnetworkaccesscontrollist,realizecampusnetworkoperatinginasafeandstableenvironment
1Keywords:
ACL;CampusNetwork;NetworkSecurityPolicy
1.ACL的发展和应用
1.1ACL发展
ACL(AccessControlList)的全称是控制访问列表,控制访问起源于20世纪60年代,是一种重要的信息安全技术。
所谓访问控制,就是通过某种途径显示地准许或限制访问能力及X围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。
网络中常说的ACL是CISCOIOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方法都可能有细微的差别。
CISCO路由器中有两种常用的控制访问列表,一种是标准访问列表,另一种是扩展访问列表。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制X围。
例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。
使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。
在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
随着网络的发展和用户要求的变化,从IOS12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。
通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。
这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间X围来更合理有效地控制网络。
首先定义一个时间X围,然后在原来的各种访问列表的基础上应用它。
1.2ACL的应用
ACL(AccessControlList,访问控制列表)是用来实现流识别功能的。
网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。
通过在路由器以及交换机上配置相关规则即可实现对数据包的过滤,而不需要添加额外的防火墙等过滤设备既能够实现对数据包的过滤。
由于实现方式简单,效果明显,并且成本低廉,适合校园网、小型企业等节约网络成本的网络中用于数据包的控制[1]。
同时其他网络技术结合ACL配置也能够实现相应的功能,例如NAT、IPSEC、路由策略、QOS等,由此可见ACL的重要性。
2.ACL的概述
2.1ACL的定义
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
这X表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
2.2ACL的作用
访问控制列表(AccessControlList,ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则。
ACL可以限制网络流量、提高网络性能。
ACL可以根据数据包的协议,指定数据包的优先级。
ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段,ACL允许主机A访问网络,而拒绝主机B访问。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
ACL是路由器接口的指令列表,用来控制端口进出的数据包,ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
例如,用户可以允许通信流量被路由,拒绝所有的Telnet通信流量。
2.3ACL基本原理
网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。
ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:
允许、拒绝
ACL是CISCOIOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码——丢弃DENY.所以在写ACL时,一定要注意先后顺序。
可以发现,在ACL的配置中的一个规律:
越精确的表项越靠前,而越笼统的表项越靠后放置。
当入站数据包进入路由器内时,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。
接下来选择路由器接口,进入接口后使用ACL。
ACL使用包过滤技术,在路由器上读取第三层及第四层XX中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的[2]。
其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。
ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。
通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。
具体过程如下图所示:
图2–1
2.4ACL的工作过程
无论在路由器上有无ACL,接到数据包的处理方法都是一样的:
当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息——包括AD,METRIC……及对应的出接口。
这时,我们假定该数据是可路由的,并且已经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入ACL,如果没有ACL的话,则直接从该口送出。
如果该接口编入了ACL,那么就比较麻烦[3]。
第一种情况——路由器将按照从上到下的顺序依次把该数据和ACL进行匹配,从上往下,逐条执行,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进行相应处理(允许或拒绝),并停止继续查询匹配;当查到ACL的最末尾,依然未找到匹配,则调用ACL最末尾的一条隐含语句denyany来将该数据包丢弃。
2.5ACL的分类
目前有两种主要的ACL:
标准ACL和扩展ACL。
标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
这两种ACL的区别是,标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制X围。
例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,上表指出了每种协议所允许的合法表号的取值X围。
IP标准访问控制列表编号:
1~99或1300~1999
IP扩展访问控制列表编号:
100~199或2000~2699
标准访问控制列表和扩展访问控制列表的对比如下图所示。
图2–2标准ACL与扩展ACL对比
2.6ACL的局限性
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层XX中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等[4]。
因此,要达到endtoend的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
2.7ACL的匹配顺序
ACL的执行顺序是从上往下执行,CiscoIOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。
一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。
在写ACL时,一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句
图2–3ACL匹配顺序
2.8通配符掩码
通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示“不检查(忽略)相应的位”。
IP地址掩码的作用:
区分网络为和主机位,使用的是与运算。
0和任何数相乘都得0,1和任何数相乘都得任何数。
通配符掩码:
把需要准确匹配的位设为0,其他位为1,进行或运算。
1或任何数都得1,0或任何数都得任何数。
特殊的通配符掩码:
1.Any
0.0.0.0255.255.255.255
2.Host
172.16.30.280.0.0.0
Host172.16.30.28
2.9正确放置ACL
ACL通过制定的规则过滤数据包,并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的[5]。
但是网络能否有效地减少不必要的通信流量,同时达到保护内部网络的目的,将ACL放置在哪个位置也十分关键。
假设存在着一个简单的运行在TCP/IP协议的网络环境,分成4个网络,设置一个ACL拒绝从网络1到网络4的访问。
根据减少不必要通信流量的准则,应该把ACL放置于被拒绝的网络,即网络1处,在本例中是图中的路由器A上。
但如果按这个准则设置ACL后会发现,不仅是网络1与网络4不能连通,网络1与网络2和3也都不能连通。
回忆标准ACL的特性就能知道,标准ACL只检查数据包的中的源地址部分,在本例子中,凡是发现源地址为网络1网段的数据包都会被丢弃,造成了网络1不能与其他网络联通的现象。
由此可知,根据这个准则放置的ACL不能达到目的,只有将ACL放置在目的网络,在本例子中即是网络4中的路由器D上,才能达到禁止网络1访问网络4的目的。
由此可以得出一个结论,标准访问控制列表应尽量放置在靠近目的端口的位置。
在本例子中,如果使用扩展ACL来达到同样的要求,则完全可以把ACL放置在网络1的路由器A上。
这是因为扩展访问控制列表不仅检查数据包中的源地址,还会检查数据包中的目的地址、源端口、目的端口等参数。
放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段,则会丢弃这个数据包,而检查出数据包的目的地址是指向网络2和3的网段,则会让这个数据包通过。
既满足了减少网络通信流量的要求,又达到了阻挡某些网络访问的目的。
由此,可以得出一个结论,扩展访问控制列表应尽量放置在靠近源端口的位置。
图2–4正确设置ACL
编辑原则:
标准ACL要尽量靠近目的端,扩展ACL要尽量靠近源端。
3.ACL的各种应用配置
3.1标准ACL的配置
标准ACL命令的详细语法
创建ACL定义
例如:
Router(config)#access-list1permit10.0.0.00.255.255.255
将配置应用于接口:
例如:
Router(config-if)#ipaccess-group1out
下面更详细的介绍扩展ACL的各个参数:
以下是标准访问列表的常用配置命令。
跳过简单的路由器和PC的IP地址设置
配置路由器上的标准访问控制列表
R1(config)#access-list1deny172.16.1.00.0.0.255
R1(config)#access-list1permitany
R1(config)#access-list2permit172.16.3.10.0.0.255
常用实验调试命令
在PC1网络所在的主机上ping2.2.2.2,应该通,在PC2网络所在的主机上ping2.2.2.2,应该不通,在主机PC3上Telnet2.2.2.2,应该成功。
……
Outgoingaccesslistisnotset
Inboundaccesslistis1
……
以上输出表明在接口S2/0的入方向应用了访问控制列表1。
3.2扩展ACL的配置
扩展ACL命令的详细语法
创建ACL定义
例如:
accell-list101permithost10.1.6.6anyeqtelnet
应用于接口
例如:
Router(config-if)#ipaccess-group101out
Router(config)#access-listaccess-list-number
{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]
表格1扩展ACL参数描述
参数
参数描述
access-list-number
访问控制列表表号
permit|deny
如果满足条件,允许或拒绝后面指定特定地址的通信流量
protocol
用来指定协议类型,如IP、TCP、UDP、ICMP等
Sourceanddestination
分别用来标识源地址和目的地址
source-mask
通配符掩码,跟源地址相对应
destination-mask
通配符掩码,跟目的地址相对应
operator
lt,gt,eq,neq(小于,大于,等于,不等于)
operand
一个端口号
established
如果数据包使用一个已建立连接,便可允许TCP信息通过
表格2常见端口号
端口号(PortNumber)
20
文件传输协议(FTP)数据
21
文件传输协议(FTP)程序
23
远程登录(Telnet)
25
简单传输协议(SMTP)
69
普通文件传送协议(TFTP)
80
超文本传输协议(HTTP)
53
域名服务系统(DNS)
相比基本访问控制列表,扩展访问控制列表更加复杂,不仅需要读取数据包的源地址,还有目的地址、源端口和目的端口。
图3–1
扩展访问控制列表的常见配置命令。
(1)配置路由器
(config)#access-list100permittcp172.16.1.00.0.0.255host2.2.2.2eq
(2)常用调试命令
分别在访问路由器的Telnet和服务,然后查看访问控制列表100:
R1#showipaccess-lists100
ExtendedIPaccesslist100
permittcp172.16.1.00.0.0.255host2.2.2.2eq
……
3.3命名ACL
命名ACL是IOS11.2以后支持的新特性。
命名ACL允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL,命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目,这样可以让网络管理员方便地修改ACL[6]。
它提供的两个主要优点是:
解决ACL的不足问题;
可以自由的删除ACL中的一条语句,而不必删除整个ACL。
命名ACL的主要不足之处在于无法实现在任意位置加入新的ACL条目。
语法为:
Router(config)#
ipaccess-list{standard|extended}name
名字字符串要唯一
Router(config{std-|ext-}nacl)#
{permit|deny}{ipaccesslisttestconditions}
{permit|deny}{ipaccesslisttestconditions}
no{permit|deny}{ipaccesslisttestconditions}
允许或拒绝陈述前没有表号
可以用“NO”命令去除特定的陈述
Router(config-if)#ipaccess-groupname{in|out}
在接口上激活命名ACL
例如:
ipaccess-listextendserver-protect
permittcp10.1.0.00.0.0.255host10.1.2.21eq1521
intvlan2
ipaccess-groupserver-protect
命名ACL还有一个很好的优点就是可以为每个ACL取一个有意义的名字,便于日后的管理和维护。
最后是命名ACL常用配置命令。
(1)在路由器上配置命名的标准ACL
R1(config)#ipaccess-liststandardstand
R1(config-std-nacl)#deny172.16.1.00.0.0.255
R1(config-std-nacl)#permitany
创建名为stand的标准命名ACL
(2)在路由器上查看命名ACL
R1#showipaccess-lists
StandardIPaccesslist1
deny172.16.1.00.0.0.255
permitany(110match(es))
……
(3)在路由器配置命名的扩展ACL
R1(config)#ipaccess-listex
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 ACL 校园 网络安全 实现
![提示](https://static.bdocx.com/images/bang_tan.gif)