访问控制列表在校园网中的应用.docx
- 文档编号:756089
- 上传时间:2022-10-12
- 格式:DOCX
- 页数:18
- 大小:297.01KB
访问控制列表在校园网中的应用.docx
《访问控制列表在校园网中的应用.docx》由会员分享,可在线阅读,更多相关《访问控制列表在校园网中的应用.docx(18页珍藏版)》请在冰豆网上搜索。
访问控制列表在校园网中的应用
XXXXXX职业技术学院
毕业设计报告
设计题目访问控制列表在校园网中的应用
系别
专业
年级班别
学号
学生姓名
指导教师
提交日期:
年月日
访问控制列表在校园网中的应用
摘要:
随着计算机和互联网的高速发展,人们能够随时通过互联网了解到世界各地的信息。
而对于学校来说,校园网则肩负着教学资源共享、培养学生各方面能力的重任,因此对校园网进行有效管理就是目前各大院校师生的共同愿望。
校园网的安全是一个庞大的系统工程,需要全方位的防范,而ACL技术的出现带给了人们对校园网进行有效管理的信心。
本文基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网运作在一个安全稳定的环境下。
关键字:
ACL;访问控制列表;校园网;网络安全
前言
目前,在大部分大、中、小学的校园中,校园网资源的设备正在扮演非常重要的角色,一方面,校园网能够在很大程度上协助教师分担和改进大量计算机课程的授课,另一方面,校园网也是对学生进行多方面教育和培训的重要手段。
但是,近年来,随着很多学校进行扩招以及机房的加建,校园网的网络规模呈现着不断上升的状况,以及难以满足广大师生应用需求的现象也不断增多,加上网络互联也导致了部门之间数据保密性降低,影响了部门安全。
因此,校园网络监视需考虑部门之间的访问控制和网络设备的安全。
如管理人员可登陆网络设备或访问其他部门并可自由访问互联网;对学生或其他部门访问互联网的时间、内部相互访问的控制。
作为目前最为先进、有效的网络安全管理技术手段,ACL技术在校园网管理中的应用无疑是一种非常行之有效的方法。
因为它不仅可以很好地杜绝网络安全隐患,还可以省去购买硬件防火墙的开支。
1ACL的概述
访问控制列表ACL(AccessControlList)是一种对经过路由器的数据流进行判断、分类和过滤的技术。
它是一系列包含源地址、目的地址、端口号等信息的语句的集合,每条语句称之为一个规则(rule),它规定对到达数据包的处理动作。
通过匹配数据包中的信息与访问控制列表的规则可以过滤数据包,实现对交换路由设备和网络的安全控制。
1.1ACL的基本原理
ACL是一组命令,用来控制进入或离开接口的流量,可以为流过网络的流量提供一个基本级别的安全保护。
它的工作原理是查看数据包的第三层或者第四层信息,通过读取数据包的这些信息,ACL按照事先设置好的一套规则来决定如何处理数据包,是将它们转发到目的地,还是丢弃该数据包。
创建了ACL后,可以将其绑定到路由器的入口或出口,图1显示了一个将ACL应用到接口上的流入流量的例子。
在该例中,当接口收到数据包时,IOS首先确定ACL是否被应用到了该接口。
如果没有,IOS正常地路由该数据包,如果有,IOS处理ACL。
从第一条语句开始,将条件和数据包内容作比较,如果没有匹配,IOS处理列表中的下一条语句,如果有匹配,则执行操作:
允许(permit)或拒绝(deny)。
如果IOS查遍了整个ACL也没有找匹配,则丢弃数据包。
对于输出ACL,过程是相似的,流程图如图2所示。
当IOS接收到数据包时,首先将数据包路由到输出接口。
然后IOS检查在接口上是否有ACL输出,如果没有,IOS将数据包排在队列中,发送出接口。
否则,数据包通过与ACL条目进行比较被处理。
1.2ACL的主要功能
①限制网络数据流以提高网络性能
②提供流量控制
③提供基本的网络访问安全
④在路由器接口上决定转发或阻止哪些类型的数据流
⑤控制客户端可访问网络的哪些区域
⑥允许或拒绝主机访问网络服务
1.3ACL的分类
目前主要有三种ACL[1]:
标准ACL、扩展ACL和基于时间的ACL。
标准的ACL[2]使用1-99或1300~1999之间的数字作为表号,扩展的ACL使用100-199或2000~2699之间的数字作为表号。
这两种ACL的区别[3]是:
标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号以及其他参数。
网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议(比如IP)的所有通信陆良。
扩展ACL比标准ACL提供了更广泛的控制范围。
例如,网络管理员如果希望做到允许外来的Web通信流量通过,拒绝外来的Telnet等通信流量,那么,他可以使用扩展ACL来大道目的,标志ACL不能控制得这么精确。
基于时间的访问控制列表则是在继承了扩展访问控制列表的基础上,引入了时间机制,可以在定制的时间段内生效。
1.4ACL的执行过程
ACL通过接入控制列表可以在路由器、三层交换机上进行网络安全性配置,实现对进入路由器、三层交换机的输入数据流进行过滤。
过滤输入数据流可以是基于网络地址、TCP/UDP的应用等,可以选择对符合过滤规则的数据流是转发还是丢弃,从而达到访问控制的目的。
一个端口上允许有多条ACL则按照列表中的条件语句顺序执行判断,自上而下,如果一个数据包的包头跟表中某个条件判断语句相匹配,则执行,后面的语句忽略。
如果与第一条判断条件语句不匹配,则执行ACL的下一条判断条件语句,依次类推,直到找到相匹配的语句出口,数据立即发送到目的接口。
如果所有的ACL判断语句都检查完,没有匹配的语句出口,则丢弃当前数据包。
自上而下处理过程[4]的另外一个重要方面是:
如果路由器把分组和列表中的每一条语句都进行了比较,并且都没有找到和分组内容匹配的条目,路由器将丢弃分组。
这称为隐含拒绝。
在每个ACL的尾部都有一个不可见的语句,用来丢弃和ACL中前面所有语句都不匹配的流量。
通过这样的处理,就不再需要只包含deny语句的列表,因为隐含拒绝丢弃所有流量。
因此,每个ACL应该至少包含一条permit语句;否则,由于deny语句和隐藏的隐含拒绝语句,仅含deny语句的ACL将丢弃所有分组。
1.5ACL的3P原则
在路由器中配置ACL时,一种通用规则是3P原则[5],即可针对每种协议(perprotocol)、每个方向(perdirection)、每个接口(perinterface)配置一个ACL。
每种协议一个ACL:
要控制数据流穿越接口,必须为接口上启用的每种协议(如IP或IPX)定义一个ACL。
每个方向一个ACL:
一个ACL只能控制接口上一个方向的数据流。
要控制入站数据流和出站数据流,必须创建两个ACL。
每个接口一个ACL:
一个ACL只能控制一个接口(如FastEthernet0/0)上的数据流。
1.6ACL的放置
ACL要么应用于出站数据流要么应用于出站数据流。
出站[6]:
已经经过路由器处理,正离开路由器接口的流量(也称出口流量)。
源是流量起源的场所(在路由一侧),目的是流量要去的地方(远离这台路由器)。
入站:
已到达路由器接口的流量(也称为入口流量)将被路由器处理,穿过这台路由器到达目的地。
源是已到达的场所(在路由器之前),目的地是流量要去的地方(在路由器的另一侧)。
标准ACL应尽可能靠近接收站设备放置。
扩展ACL应尽可能靠近发送站设备放置。
2ACL的创建和配置
2.1标准ACL的基本语法
Router(config)#access-listcess-list-numberpermit|denysource_addresswildcard_mask
列如:
创建一个ACL允许192.168.1.0网段的所有主机。
Router(config)#access-list1permit192.168.1.00.0.0.255
应用到接口:
Router(config)#interfaceserial-number
Router(config)#ipaccess-proupacess-list-number{in/out}
例如:
Router(config)#interfaceserial0
Router(config)#ipaccess-group1in
其中:
acess-list-number标识条目所属的列表,它是一个1-99或1300-1999的符号;
permit/deny指明该条目是允许还是阻塞指定的地址;source-address标识源IP地址。
wildcardmask标识地址域中哪些位需要进行匹配,默认掩码是0.0.0.0(匹配所有),设定为反向子网掩码(如:
255.255.255.0反向子网掩码为0.0.0.255);
serial-number端口号。
in/out选择将访问控制列表作为输入过滤器还是输出过滤。
2.2扩展ACL的基本语法
Router(config)#access-listacess-list-numberpermit|denyIP_protocolsource_addresssource_wildcard_mask[operatorport]destination_addressdestination_wildcard_mask[operatorport]
例如:
拒绝网络192.168.1.0/24访问FTP服务器192.168.2.100/24,而允许其他主机访问。
Router(config)#access-list102denytcp192.168.1.00.0.0.255host192.168.2.100eq21
Router(config)#access-list102permitipanyany
Router(config)#interfaceserial0/应用到接口/
Router(config)#ipaccess-group102in
其中:
扩展ACL的access-list-number使用在100-199或2000-2699之间的一个号标识列表。
protocol可以是IP、TCP、UDP、ICMP、GRE或IGRP。
operatorport可以是lt(小于),gt(大于),eq(等于),neq(不等于)一个端口号。
2.3命名式ACL的基本语法
命名ACL是以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种列表。
命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目,这样可以使网络管理员方便修改ACL。
创建命名访问控制列表的语法如下:
Router(config)#ipaccess-list{standard|extended}access-list-name
其中:
standard:
创建标准的命名访问控制列表。
extended:
创建扩展的命名访问控制列表。
access-list-name:
命名控制列表的名字,可以是任意字母和数字的组合。
标准命名ACL语法如下:
Router(config-std-nacl)#[Sequence-Number]{permit|deny}source[souce-wildcard]
扩展命名ACL语法如下:
Router(config-ext-nacl)#[Sequence-Number]{permit|deny}protocol{sourcesouce-wildcarddestinationdestination-wildcard}[operatoroperan]
无论是配置标准命名ACL语句还是配置扩展命名ACL语句,都有一个可选参数Sequence-Number。
Sequence-Number参数表明了配置的ACL语句在命令ACL中所处的位置,默认情况下,第一条为10,第二条为20
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 访问 控制 列表 校园网 中的 应用