基于ACL的校园网络安全策略.docx
- 文档编号:7832788
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:17
- 大小:289.48KB
基于ACL的校园网络安全策略.docx
《基于ACL的校园网络安全策略.docx》由会员分享,可在线阅读,更多相关《基于ACL的校园网络安全策略.docx(17页珍藏版)》请在冰豆网上搜索。
基于ACL的校园网络安全策略
目录
摘要1
关键词1
前言1
1基本功能、原理与局限性1
2访问控制列表概述2
2.1访问控制列表的分类3
2.2访问控制列表的匹配顺序3
2.3访问控制列表的创建3
2.4通配符掩码5
2.5正确放置ACL6
3访问控制列表的配置6
3.1访问控制列表配置7
3.1.1配置标准访问控制列表7
3.1.2配置扩展访问控制列表7
3.1.3配置命名访问控制列表8
3.1.4删除访问控制列表9
3.2基于时间段的访问控制列表配置10
3.3访问控制列表的显示和调试11
4校园网ACL配置实例11
4.1搭建配置环境12
4.2校园网ACL实际用例13
5小结16
参考文献:
16
Abstract16
Keywords16
致谢17
基于ACL的校园网络安全策略
计算机科学与技术专业指导老师
[摘要]随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。
高校校园网的安全是一个庞大的系统工程,需要全方位的防范。
防范不仅是被动的,更要主动进行。
本文基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网运作在一个安全稳定的环境下。
[关键词]ACL;校园网;网络安全策略;访问控制列表
前言
自从产生了网络,随之而来的就是网络的安全问题。
任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。
既要防止XX的非法数据从外部侵入内部Intranet,也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取,将会带来巨大的损失。
路由器作为Intranet和Internet的网间互连设备,是保证网络安全的第一关,而在路由器上设置控制访问列表(ACL)可以很好的解决这些网络安全问题。
访问控制列表适用于所有的路由协议,通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具。
一个设计良好的访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
1基本功能、原理与局限性
基本原理:
入站数据包进入路由器内,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。
接下来选择路由器接口,进入接口后使用ACL。
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。
ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。
通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。
图1ACL工作原理
功能:
网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。
ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
局限性:
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到endtoend的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
2访问控制列表概述
访问控制列表(AcessControlList,ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则
访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
在这里,只介绍IP协议的ACL。
ACL的作用
1.ACL可以限制网络流量、提高网络性能。
2.ACL提供对通信流量的控制手段。
3.ACL是提供网络安全访问的基本手段。
4.ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
2.1访问控制列表的分类
目前有两种主要的ACL:
标准ACL和扩展ACL。
标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
·IP标准访问控制列表编号:
1~99或1300~1999
·IP扩展访问控制列表编号:
100~199或2000~2699
2.2访问控制列表的匹配顺序
ACL的执行顺序是从上往下执行,CiscoIOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。
一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。
在写ACL时,一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句
图2ACL的匹配顺序
2.3访问控制列表的创建
·标准ACL命令的详细语法
1.创建ACL定义
例如:
Router(config)#access-list1permit10.0.0.00.255.255.255
2.应用于接口
例如:
Router(config-if)#ipaccess-group1out
·扩展ACL命令的详细语法
1.创建ACL定义
例如:
accell-list101permithost10.1.6.6anyeqtelnet
2.应用于接口
例如:
Router(config-if)#ipaccess-group101out
·下面更详细的介绍扩展ACL的各个参数:
Router(config)#access-listaccess-list-number
{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]
表1扩展ACL参数描述
参数
参数描述
access-list-number
访问控制列表表号
permit|deny
如果满足条件,允许或拒绝后面指定特定地址的通信流量
protocol
用来指定协议类型,如IP、TCP、UDP、ICMP等
Sourceanddestination
分别用来标识源地址和目的地址
source-mask
通配符掩码,跟源地址相对应
destination-mask
通配符掩码,跟目的地址相对应
operator
lt,gt,eq,neq(小于,大于,等于,不等于)
operand
一个端口号
established
如果数据包使用一个已建立连接,便可允许TCP信息通过
表2常见端口号
端口号(PortNumber)
20
文件传输协议(FTP)数据
21
文件传输协议(FTP)程序
23
远程登录(Telnet)
25
简单邮件传输协议(SMTP)
69
普通文件传送协议(TFTP)
80
超文本传输协议(HTTP)
53
域名服务系统(DNS)
·标准ACL与扩展ACL的比较:
图3标准ACL与扩展ACL的比较
2.4通配符掩码
通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示“不检查(忽略)相应的位”。
·IP地址掩码的作用:
区分网络为和主机位,使用的是与运算。
0和任何数相乘都得0,1和任何数相乘都得任何数。
·通配符掩码:
把需要准确匹配的位设为0,其他位为1,进行或运算。
1或任何数都得1,0或任何数都得任何数。
特殊的通配符掩码:
1.Any
0.0.0.0255.255.255.255
2.Host
172.16.30.280.0.0.0
Host172.16.30.28
2.5正确放置ACL
ACL通过制定的规则过滤数据包,并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的。
但是网络能否有效地减少不必要的通信流量,同时达到保护内部网络的目的,将ACL放置在哪个位置也十分关键。
假设存在着一个简单的运行在TCP/IP协议的网络环境,分成4个网络,设置一个ACL拒绝从网络1到网络4的访问。
根据减少不必要通信流量的准则,应该把ACL放置于被拒绝的网络,即网络1处,在本例中是图中的路由器A上。
但如果按这个准则设置ACL后会发现,不仅是网络1与网络4不能连通,网络1与网络2和3也都不能连通。
回忆标准ACL的特性就能知道,标准ACL只检查数据包的中的源地址部分,在本例子中,凡是发现源地址为网络1网段的数据包都会被丢弃,造成了网络1不能与其他网络联通的现象。
由此可知,根据这个准则放置的ACL不能达到目的,只有将ACL放置在目的网络,在本例子中即是网络4中的路由器D上,才能达到禁止网络1访问网络4的目的。
由此可以得出一个结论,标准访问控制列表应尽量放置在靠近目的端口的位置。
在本例子中,如果使用扩展ACL来达到同样的要求,则完全可以把ACL放置在网络1的路由器A上。
这是因为扩展访问控制列表不仅检查数据包中的源地址,还会检查数据包中的目的地址、源端口、目的端口等参数。
放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段,则会丢弃这个数据包,而检查出数据包的目的地址是指向网络2和3的网段,则会让这个数据包通过。
既满足了减少网络通信流量的要求,又达到了阻挡某些网络访问的目的。
由此,可以得出一个结论,扩展访问控制列表应尽量放置在靠近源端口的位置。
图4正确设置ACL
·编辑原则:
·标准ACL要尽量靠近目的端
·扩展ACL要尽量靠近源端
3访问控制列表的配置
3.1访问控制列表配置
3.1.1配置标准访问控制列表
以下是标准访问列表的常用配置命令。
跳过简单的路由器和PC的IP地址设置
1.配置路由器R1的标准访问控制列表
R1(config)#access-list1deny172.16.1.00.0.0.255
R1(config)#access-list1permitany
R1(config)#access-list2permit172.16.3.10.0.0.255
2.常用实验调试命令
在PC1网络所在的主机上ping2.2.2.2,应该通,在PC2网络所在的主机上ping2.2.2.2,应该不通,在主机PC3上Telnet2.2.2.2,应该成功。
……
Outgoingaccesslistisnotset
Inboundaccesslistis1
……
以上输出表明在接口S2/0的入方向应用了访问控制列表1。
3.1.2配置扩展访问控制列表
相比基本访问控制列表,扩展访问控制列表更加复杂,不仅需要读取数据包的源地址,还有目的地址、源端口和目的端口。
图5用扩展ACL检查数据包
扩展访问控制列表的常见配置命令。
1.配置路由器R1
R1(config)#access-list100permittcp172.16.1.00.0.0.255host2.2.2.2eqwww
2.常用调试命令
分别在访问路由器R2的Telnet和WWW服务,然后查看访问控制列表100:
R1#showipaccess-lists100
ExtendedIPaccesslist100
permittcp172.16.1.00.0.0.255host2.2.2.2eqwww
……
3.1.3配置命名访问控制列表
命名ACL是IOS11.2以后支持的新特性。
命名ACL允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL,命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。
它提供的两个主要优点是:
解决ACL的号码不足问题;
可以自由的删除ACL中的一条语句,而不必删除整个ACL。
命名ACL的主要不足之处在于无法实现在任意位置加入新的ACL条目。
语法为:
Router(config)#
ipaccess-list{standard|extended}name
·名字字符串要唯一
Router(config{std-|ext-}nacl)#
{permit|deny}{ipaccesslisttestconditions}
{permit|deny}{ipaccesslisttestconditions}
no{permit|deny}{ipaccesslisttestconditions}
·允许或拒绝陈述前没有表号
·可以用“NO”命令去除特定的陈述
Router(config-if)#ipaccess-groupname{in|out}
·在接口上激活命名ACL
例如:
ipaccess-listextendserver-protect
permittcp10.1.0.00.0.0.255host10.1.2.21eq1521
intvlan2
ipaccess-groupserver-protect
命名ACL还有一个很好的优点就是可以为每个ACL取一个有意义的名字,便于日后的管理和维护。
最后是命名ACL常用配置命令。
1在路由器R1上配置命名的标准ACL
R1(config)#ipaccess-liststandardstand
R1(config-std-nacl)#deny172.16.1.00.0.0.255
R1(config-std-nacl)#permitany
创建名为stand的标准命名访问控制列表
2在路由器R1上查看命名访问控制列表
R1#showipaccess-lists
StandardIPaccesslist1
deny172.16.1.00.0.0.255
permitany(110match(es))
……
3在路由器R1配置命名的扩展ACL
R1(config)#ipaccess-listextendedext1
R1(config-ext-nacl)#permittcp172.16.1.00.0.0.255host2.2.2.2eqwww
创建名为ext1的命名扩展访问控制列表
4在路由器R1和R3上查看命名访问控制列表
R1#showaccess-lists
ExtendedIPaccesslistext1
permittcp172.16.1.00.0.0.255host2.2.2.2eqwww
3.1.4删除访问控制列表
删除ACL的方法十分简单,只需在ACL表号前加“NO”就可以了,例如:
R2(config)#noaccess-list1
输入这个命令后,ACL表号为1和2的ACL内所有的条目都会被删除。
标准和扩展的ACL只能删除整个ACL条目,不能删除个别条目。
命名ACL与标准和扩展ACL不同,它可以删除个别的控制条目。
例如:
nopermittcp10.0.0.00.0.255.255host10.1.2.21eq1521
在“permittcp10.0.0.00.0.255.255host10.1.2.21eq1521”前加“no”
即可删除这条ACL语句条目,之后可以重新写入新的条目
3.2基于时间段的访问控制列表配置
使用标准访问控制列表和扩展访问控制列表就可以应付大部分过滤网络数据包的要求了。
不过在实际的使用中总会有人提出一些较为苛刻的要求,这是就还需要掌握一些关于ACL的高级技巧。
基于时间的访问控制类别就属于高级技巧之一。
·基于时间的访问控制列表的用途:
可能一些单位或者公司会遇到这样的情况,要求上班时间不能使用QQ或者浏览某些网站,或者不能在上班时间使用某些应用,只有在下班或者周末才可以。
对于这种情况,仅仅通过发布通知不能彻底杜绝员工非法使用的问题,这时基于时间的访问控制列表就应运而生了。
·基于时间的访问控制列表的格式;
基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。
这里主要解释下定义时间段,具体格式如下:
time-range时间段格式
absolutestart[小时:
分钟][日月年][end][小时:
分钟][日月年]
例如:
time-rangesofter
absolutestart0:
001may2005end12:
001june2005
意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。
还可以定义工作日和周末,具体要使用periodic命令。
将在下面的配置实例中详细介绍。
基于时间的ACL配置常用命令
R1(config)#time-rangetime//定义时间范围
R1(config-time-range)#periodicweekdays8:
00to18:
00
R1(config)#access-list111permittcphost172.16.3.1host2.2.2.2eqtelnettime-rangetime
常用实验调试命令
用“clockset”命令将系统时间调整到周一至周五的8:
00-18:
00范围内,然后在Telnet路由器R1,此时可以成功,然后查看访问控制列表111:
R1#showaccess-lists
ExtendedIPaccesslist111
10permittcphost172.16.3.1host2.2.2.2eqtelnettime-rangetime(active)
用“clockset”命令将系统时间调整到8:
00-18:
00范围之外,然后Telnet路由器R1,此时不可以成功,然后查看访问控制列表111:
R1#showaccess-lists
ExtendedIPaccesslist111
10permittcphost172.16.3.1host2.2.2.2eqtelnettime-rangetime(inactive)
showtime-range:
该命令用来查看定义的时间范围。
R1#showtime-range
time-rangeentry:
time(inactive)
periodicweekdays8:
00to18:
00
usedin:
IPACLentry
以上输出表示在3条ACL中调用了该time-range。
3.3访问控制列表的显示和调试
在特权模式下,
使用“showaccess-lists”可以显示路由器上设置的所有ACL条目;
使用“showaccess-listaclnumber”则可以显示特定ACL号的ACL条目;
使用“showtime-range”命令可以用来查看定义的时间范围;
使用“clearaccess-listcounters”命令可以将访问控制列表的计数器清零。
4校园网ACL配置实例
校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园园区内部的Intranet系统,对外通过路由设备接入广域网。
包过滤技术和代理服务技术是当今最广泛采用的网络安全技术,也就是我们通常称的防火墙技术。
防火墙可以根据网络安全的规则设置允许经过授权的数据包进出内部网络,同时将非法数据包挡在防火墙内外,最大限度地阻止黑客攻击。
包过滤技术以访问控制列表的形式出现,一个设计良好的校园网络访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
本实验通过模拟校园网环境,配置校园网路由器中的ACL,达到模拟校园ACL配置的目的。
通过模拟环境的实验,还可以模拟各种网络攻击,模拟特定目的端口数据包的发送,检验配置的ACL命令的可行性。
4.1搭建配置环境
校园网拓扑图如图6所示
图6校园网拓扑图
表3校园网的VLAN及IP地址规划
VLAN号
VLAN名称
IP网段
默认网关
说明
VLAN1
-
192.168.0.0/24
192.168.0.254
管理VLAN
VLAN10
JWC
192.168.1.0/24
192.168.1.254
教务处VLAN
VLAN20
XSSS
192.168.2.0/24
192.168.2.254
学生宿舍VLAN
VLAN30
CWC
192.168.3.0/24
192.168.3.254
财务处VLAN
VLAN40
JGSS
192.168.4.0/24
192.168.4.254
教工宿舍VLAN
VLAN50
ZWX
192.168.5.0/24
192.168.5.254
中文系VLAN
VLAN60
WYX
192.168.6.0/24
192.168.6.254
外语系VLAN
VLAN70
JSJX
192.168.7.0/24
192.168.7.254
计算机系VLAN
VLAN100
FWQQ
192.168.100.0
192.168.100.254
服务器群VLAN
具体的VLAN设置方法及网络联通设置在这里不在冗述,重点放在ACL的设置上。
4.2校园网ACL实际用例
首先是设置校园网内部三层交换机上的ACL。
规定只有在财务处VLAN30内的主机可以访问财务处VLAN30,其他的教学单位部门可以互访;学生宿舍和教工宿舍VLAN可以互访,并且可以访问除了财务处和教务处外的其他教学单位。
所有VLAN都可以访问服务器群VLAN。
·财务处ACL设置
MultilayerSwitch1(config)#ipaccess-listextendedCWC
MultilayerSwitch1(config-ext-nacl)#permittcp192.168.3.00.0.0.255any
·教工宿舍ACL设置与学生宿舍ACL设置同理
在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。
接下来是对连接外网的路由器添加ACL。
·屏蔽简单网络管理协议(SNMP)
利用这个协议,远程主
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 ACL 校园 网络安全 策略