基于ACL的校园网络安全策略.doc

《基于ACL的校园网络安全策略.doc》由会员分享，可在线阅读，更多相关《基于ACL的校园网络安全策略.doc（19页珍藏版）》请在沃文网上搜索。

1、目 录摘要1关键词1前言11 基本功能、原理与局限性12 访问控制列表概述22.1 访问控制列表的分类32.2 访问控制列表的匹配顺序32.3 访问控制列表的创建32.4 通配符掩码52.5 正确放置ACL63 访问控制列表的配置63.1 访问控制列表配置73.1.1 配置标准访问控制列表73.1.2 配置扩展访问控制列表73.1.3配置命名访问控制列表83.1.4 删除访问控制列表93.2基于时间段的访问控制列表配置103.3 访问控制列表的显示和调试114 校园网ACL配置实例114.1 搭建配置环境124.2 校园网ACL实际用例135 小结16参考文献：16Abstract16Keyw

2、ords16致谢17 基于ACL的校园网络安全策略摘要随着网络的高速发展，网络的普及也越来越平民化，在人们的学习和生活的方方面面，网络无孔不入，给人们的学习和生活带来了极大的便利，但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程，需要全方位的防范。防范不仅是被动的，更要主动进行。本文基于ACL为主，建立ACL列表控制和保障整个校园网的安全运行，使校园网运作在一个安全稳定的环境下。关键词ACL；校园网；网络安全策略；访问控制列表 前言自从产生了网络，随之而来的就是网络的安全问题。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的

3、非法数据从外部侵入内部Intranet，也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取，将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备，是保证网络安全的第一关,而在路由器上设置控制访问列表（ACL）可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议，通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以起到控制网络流量、流量的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。1 基本功能、原理与局限性基本原理：入站数据包进入路由器内，路由器首先判断数据包是否

4、从可路由的源地址而来，否的话放入数据包垃圾桶中，是的话进入下一步；路由器判断是否能在路由选择表内找到入口，不能找到的话放入数据垃圾桶中，能找到的话进入下一步。接下来选择路由器接口，进入接口后使用ACL。ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息，而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则，符合要求的数据包允许其到达目的地址进入网络内部，不符合规则的则丢弃，同时

5、通知数据包发送端，数据包未能成功通过路由器。通过ACL，可以简单的将不符合规则要求的危险数据包拒之门外，使其不能进入内部网络。图1 ACL工作原理功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的

6、，需要和系统级及应用级的访问权限控制结合使用。2 访问控制列表概述 访问控制列表（Acess Control List,ACL）是管理者加入的一系列控制数据包在路由器中输入、输出的规则访问控制列表是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。在这里，只介绍IP协议的ACL。 ACL的作用1. ACL可以限制网络流量、提高网络性能。2. ACL提供对通信流量的控制手段。 3. ACL是提供网络安全访问的基本手段。 4. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。2.1 访问控制列表的分类目前有两种主要的A

7、CL：标准ACL和扩展ACL。标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。IP标准访问控制列表编号：199或13001999IP扩展访问控制列表编号：100199或200026992.2 访问控制列表的匹配顺序ACL的执行顺序是从上往下执行，Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。在写ACL时，一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则，只有这样才能保证不会出现无用的

8、ACL语句图2 ACL的匹配顺序2.3 访问控制列表的创建标准ACL命令的详细语法1 创建ACL定义例如：Router(config)#access-list 1 permit 10.0.0.0 0.255.255.2552应用于接口例如：Router(config-if)#ip access-group 1 out扩展ACL命令的详细语法1. 创建ACL定义例如：accell-list101 permit host 10.1.6.6 any eq telnet2. 应用于接口例如：Router(config-if)#ip access-group 101 out下面更详细的介绍扩展ACL的各

9、个参数： Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log表1 扩展ACL参数描述参数参数描述access-list-number访问控制列表表号permit|deny如果满足条件，允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型，如IP、TCP、UDP、ICMP等Source and d

10、estination分别用来标识源地址和目的地址source-mask通配符掩码，跟源地址相对应destination-mask通配符掩码，跟目的地址相对应operator lt,gt,eq,neq(小于，大于，等于，不等于) operand一个端口号established如果数据包使用一个已建立连接，便可允许TCP信息通过表2 常见端口号端口号(Port Number)20文件传输协议（FTP）数据21文件传输协议（FTP）程序23远程登录（Telnet）25简单邮件传输协议（SMTP）69普通文件传送协议（TFTP）80超文本传输协议(HTTP)53域名服务系统（DNS）标准ACL与扩展A

11、CL的比较：图3 标准ACL与扩展ACL的比较2.4 通配符掩码通配符掩码是一个32位的数字字符串，0表示“检查相应的位”，1表示“不检查（忽略）相应的位”。IP地址掩码的作用：区分网络为和主机位，使用的是与运算。0和任何数相乘都得0，1和任何数相乘都得任何数。通配符掩码：把需要准确匹配的位设为0，其他位为1，进行或运算。1或任何数都得1，0或任何数都得任何数。特殊的通配符掩码：1.Any0.0.0.0 255.255.255.2552.Host172.16.30.28 0.0.0.0Host 172.16.30.282.5 正确放置ACL ACL通过制定的规则过滤数据包，并且丢弃不希望抵达目

12、的地址的不安全数据包来达到控制通信流量的目的。但是网络能否有效地减少不必要的通信流量，同时达到保护内部网络的目的，将ACL放置在哪个位置也十分关键。假设存在着一个简单的运行在TCP/IP协议的网络环境，分成4个网络，设置一个ACL拒绝从网络1到网络4的访问。根据减少不必要通信流量的准则，应该把ACL放置于被拒绝的网络，即网络1处，在本例中是图中的路由器A上。但如果按这个准则设置ACL后会发现，不仅是网络1与网络4不能连通，网络1与网络2和3也都不能连通。回忆标准ACL的特性就能知道，标准ACL只检查数据包的中的源地址部分，在本例子中，凡是发现源地址为网络1网段的数据包都会被丢弃，造成了网络1不

13、能与其他网络联通的现象。由此可知，根据这个准则放置的ACL不能达到目的，只有将ACL放置在目的网络，在本例子中即是网络4中的路由器D上，才能达到禁止网络1访问网络4的目的。由此可以得出一个结论，标准访问控制列表应尽量放置在靠近目的端口的位置。在本例子中，如果使用扩展ACL来达到同样的要求，则完全可以把ACL放置在网络1的路由器A上。这是因为扩展访问控制列表不仅检查数据包中的源地址，还会检查数据包中的目的地址、源端口、目的端口等参数。放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段，则会丢弃这个数据包，而检查出数据包的目的地址是指向网络2和3的网段，则会让这个数据包通过

14、。既满足了减少网络通信流量的要求，又达到了阻挡某些网络访问的目的。由此，可以得出一个结论，扩展访问控制列表应尽量放置在靠近源端口的位置。图4 正确设置ACL编辑原则：标准ACL要尽量靠近目的端扩展ACL要尽量靠近源端3 访问控制列表的配置3.1 访问控制列表配置3.1.1 配置标准访问控制列表以下是标准访问列表的常用配置命令。跳过简单的路由器和PC的IP地址设置1.配置路由器R1的标准访问控制列表R1(config)#access-list 1 deny 172.16.1.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#acce

15、ss-list 2 permit 172.16.3.1 0.0.0.2552.常用实验调试命令在PC1网络所在的主机上ping 2.2.2.2，应该通，在PC2网络所在的主机上ping 2.2.2.2,应该不通，在主机PC3上Telnet 2.2.2.2,应该成功。 Outgoing access list is not set Inbound access list is 1以上输出表明在接口S2/0的入方向应用了访问控制列表1。3.1.2 配置扩展访问控制列表相比基本访问控制列表，扩展访问控制列表更加复杂，不仅需要读取数据包的源地址，还有目的地址、源端口和目的端口。图5 用扩展ACL检查数

16、据包扩展访问控制列表的常见配置命令。1.配置路由器R1R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www2.常用调试命令分别在访问路由器R2的Telnet和WWW服务，然后查看访问控制列表100：R1#show ip access-lists 100Extended IP access list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www 3.1.3配置命名访问控制列表命名ACL是IOS11.2以后支持的新特性。命名ACL

17、允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL，命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目，这样可以让网络管理员方便地修改ACL。它提供的两个主要优点是：解决ACL的号码不足问题；可以自由的删除ACL中的一条语句，而不必删除整个ACL。命名ACL的主要不足之处在于无法实现在任意位置加入新的ACL条目。语法为：Router(config)#ip access-list standard | extended name名字字符串要唯一Router(config std- | ext-nacl)# permit | deny ip access list

18、test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions 允许或拒绝陈述前没有表号可以用“NO”命令去除特定的陈述Router(config-if)# ip access-group name in | out 在接口上激活命名ACL例如：ip access-list extend server- protectpermit tcp 10.1.0.0 0.0.0.255 host 10.1.2.21 eq 1521int vlan 2i

19、p access-group server- protect命名ACL还有一个很好的优点就是可以为每个ACL取一个有意义的名字，便于日后的管理和维护。最后是命名ACL常用配置命令。1 在路由器R1上配置命名的标准ACLR1(config)#ip access-list standard standR1(config-std-nacl)#deny 172.16.1.0 0.0.0.255R1(config-std-nacl)#permit any创建名为stand的标准命名访问控制列表2 在路由器R1上查看命名访问控制列表R1#show ip access-lists Standard IP a

20、ccess list 1 deny 172.16.1.0 0.0.0.255 permit any (110 match(es)3 在路由器R1配置命名的扩展ACL R1(config)#ip access-list extended ext1R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www创建名为ext1的命名扩展访问控制列表4 在路由器R1和R3上查看命名访问控制列表R1#show access-lists Extended IP access list ext1 permit tcp 172.1

21、6.1.0 0.0.0.255 host 2.2.2.2 eq www3.1.4 删除访问控制列表删除ACL的方法十分简单，只需在ACL表号前加“NO”就可以了，例如：R2(config)#no access-list 1 输入这个命令后，ACL表号为1和2的ACL内所有的条目都会被删除。标准和扩展的ACL只能删除整个ACL条目，不能删除个别条目。命名ACL与标准和扩展ACL不同，它可以删除个别的控制条目。例如:no permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521在“permit tcp 10.0.0.0 0.0.255.255 h

22、ost 10.1.2.21 eq 1521”前加“no”即可删除这条ACL语句条目，之后可以重新写入新的条目3.2基于时间段的访问控制列表配置使用标准访问控制列表和扩展访问控制列表就可以应付大部分过滤网络数据包的要求了。不过在实际的使用中总会有人提出一些较为苛刻的要求，这是就还需要掌握一些关于ACL的高级技巧。基于时间的访问控制类别就属于高级技巧之一。基于时间的访问控制列表的用途：可能一些单位或者公司会遇到这样的情况，要求上班时间不能使用QQ或者浏览某些网站，或者不能在上班时间使用某些应用，只有在下班或者周末才可以。对于这种情况，仅仅通过发布通知不能彻底杜绝员工非法使用的问题，这时基于时间的访

23、问控制列表就应运而生了。基于时间的访问控制列表的格式;基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。这里主要解释下定义时间段，具体格式如下：time-range 时间段格式absolute start 小时：分钟 日 月 年 end 小时：分钟 日 月 年例如：time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定义了一个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5月1日零点，结束时间为2005年6月1日中午12点。还可以定义

24、工作日和周末，具体要使用periodic命令。将在下面的配置实例中详细介绍。基于时间的ACL配置常用命令R1(config)#time-range time /定义时间范围R1(config-time-range)#periodic weekdays 8:00 to 18:00R1(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time常用实验调试命令 用“clock set”命令将系统时间调整到周一至周五的8：00-18：00范围内，然后在Telnet路由器R1，此时可

25、以成功，然后查看访问控制列表111：R1#show access-listsExtended IP access list 111 10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (active) 用“clock set”命令将系统时间调整到8：00-18：00范围之外，然后Telnet路由器R1，此时不可以成功，然后查看访问控制列表111：R1#show access-listsExtended IP access list 111 10 permit tcp host 172.16.3.1 host

26、2.2.2.2 eq telnet time-range time (inactive) show time-range：该命令用来查看定义的时间范围。R1#show time-rangetime-range entry: time (inactive) periodic weekdays 8:00 to 18:00 used in: IP ACL entry 以上输出表示在3条ACL中调用了该time-range。3.3 访问控制列表的显示和调试在特权模式下，使用“show access-lists ”可以显示路由器上设置的所有ACL条目；使用“show access-list acl nu

27、mber”则可以显示特定ACL号的ACL条目；使用“show time-range”命令可以用来查看定义的时间范围；使用“clear access-list counters”命令可以将访问控制列表的计数器清零。4 校园网ACL配置实例校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园园区内部的Intranet系统，对外通过路由设备接入广域网。包过滤技术和代理服务技术是当今最广泛采用的网络安全技术，也就是我们通常称的防火墙技术。防火墙可以根据网络安全的规则设置允许经过授权的数据包进出内部网络，同时将非法数据包挡在防火墙内外，最大限度地阻止黑客攻击

28、。包过滤技术以访问控制列表的形式出现，一个设计良好的校园网络访问控制列表不仅可以起到控制网络流量、流量的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。本实验通过模拟校园网环境，配置校园网路由器中的ACL，达到模拟校园ACL配置的目的。通过模拟环境的实验，还可以模拟各种网络攻击，模拟特定目的端口数据包的发送，检验配置的ACL命令的可行性。4.1 搭建配置环境校园网拓扑图如图6所示图6 校园网拓扑图表3 校园网的VLAN及IP地址规划VLAN号VLAN名称IP网段默认网关说明VLAN1-192.168.0.0/24192.168.0.254管理VLANVLAN

29、10JWC192.168.1.0/24192.168.1.254教务处VLANVLAN 20XSSS192.168.2.0/24192.168.2.254学生宿舍VLANVLAN 30CWC192.168.3.0/24192.168.3.254财务处VLANVLAN 40JGSS192.168.4.0/24192.168.4.254教工宿舍VLANVLAN 50ZWX192.168.5.0/24192.168.5.254中文系VLANVLAN 60WYX192.168.6.0/24192.168.6.254外语系VLANVLAN 70JSJX192.168.7.0/24192.168.7.25

30、4计算机系VLANVLAN 100FWQQ192.168.100.0192.168.100.254服务器群VLAN具体的VLAN设置方法及网络联通设置在这里不在冗述，重点放在ACL的设置上。4.2 校园网ACL实际用例首先是设置校园网内部三层交换机上的ACL。规定只有在财务处VLAN 30内的主机可以访问财务处VLAN 30，其他的教学单位部门可以互访；学生宿舍和教工宿舍VLAN可以互访，并且可以访问除了财务处和教务处外的其他教学单位。所有VLAN都可以访问服务器群VLAN。财务处ACL设置Multilayer Switch1(config)#ip access-list extended C

31、WCMultilayer Switch1(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 any 教工宿舍ACL设置与学生宿舍ACL设置同理在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。接下来是对连接外网的路由器添加ACL。屏蔽简单网络管理协议（SNMP）利用这个协议，远程主机可以监视、控制网络上的其他网络设备。它有两种服务类型：SNMP和SNMPTRAP。R1(config)#ip access-list extended netR1(config-ext-nacl)#deny udp any any eq 161对外屏蔽

32、远程登录协议TelnetR1(config-ext-nacl)#deny tcp any any eq 23对外屏蔽其他不安全的协议和服务这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。R1(config-ext-nacl)#deny tcp any any range 512 514防止DoS攻击DoS攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停

33、止，严重时会导致服务器操作系统崩溃。R1(config-ext-nacl)#deny udp any any eq 7R1(config)#int f0/0R1(config-if)#no ip directed-broadcast最后一行的设置禁止子网内广播保护路由器安全作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址使用Telnet访问并配置路由器，内部其他部分的主机都不能用Telnet访问和配置路由器。R1(config)#access-list 1 permit 192.168.10

34、0.0 0.0.0.255R1(config)#line vty 0 4R1(config-line)#access-class 1 inR1(config-line)#password ciscoR1(config-line)#enable password cisco系统测试当校园网环境建成后，应对校园网的整体运行情况做一下细致的测试和评估。大致包含以下测试：对相同VLAN内通信进行测试、对不同VLAN内的通信进行测试、对内部网的ACL进行测试、对广域网接入路由器上的ACL进行测试。测试相同VLAN内通信添加一台财务处VLAN30的主机，与VLAN30的用PING命令测试联通性。PCpin

35、g 192.168.3.111Pinging 192.168.3.111 with 32 bytes of data:Reply from 192.168.3.111: bytes=32 time=47ms TTL=128成功联通测试不同VLAN间通信1.使用VLAN30内的主机与学生宿舍VLAN20用PING命令测试联通性PCping 192.168.2.168Pinging 192.168.2.168 with 32 bytes of data:Request timed out.连接失败，证明ACL设置成功。2.使用学生宿舍内主机PING教务处主机PCping 192.168.1.168

36、Pinging 192.168.1.168 with 32 bytes of data:Request timed out.连接失败，证明ACL设置成功。测试路由器ACL1.内部网络使用服务器群Telnet路由器PCtelnet 192.168.0.254Trying 192.168.0.254 .OpenUser Access VerificationPassword:Telnet成功使用其他VLAN主机Telnet路由器PCtelnet 192.168.0.254Trying 192.168.0.254 .% Connection refused by remote hostTelnet失

37、败，路由器ACL设置成功。2.外部网络添加一台路由器，与校园网路由器的S2/0口相连，发送SNMP,Telnet等应用包。Extended IP access list net deny udp any any eq snmp (3 match(es) deny udp any any eq 162 (1 match(es) 显示阻止成功。5 小结本文所介绍的校园网ACL设置满足了校园网用户的实际需要，保证了校园网内部的安全，并能达到防止了外部入侵的目的。通过Packet Tracer 5.3进行模拟实验，确保了ACL命令的可行性。参考文献：1 郭自龙.访问控制列表在网络管理中的应用.M.北京

38、：清华大学出版社，20042 周星，张震等.网络层访问控制列表的应用J.河南大学学报，2004，20（5）：56-583 付国瑜，黄贤英，李刚.带入侵检测系统的网络安全研究J.重庆工学院学报，2005，25（8）：26-30 4 仇国阳.路由器的“防火”功能研究J.苏州大学学报（工科版），2004，36（6）：45-495 斯桃枝，姚驰甫.路由与交换技术M.北京:北京大学出版社，20086 谢希仁. 计算机网络 第五版M.北京:电子工程出版社，20087 兰少华，杨余旺，吕建勇.TCP/IP网络与协议M.北京:清华大学出版社，20098 甘刚.网络设备配置与管理M.北京:清华大学出版社，200

39、79（美）Cisco System公司 Cisco Networking Academy Program 著，清华大学，北京大学，北京邮电大学，华南理工大学思科网络学院译思科网络技术学院教程（第一、二学期）（第三版）M北京：人民邮电出版社，2006Campus Network Security Policy base on the ACLStudent majoring in science and technology of computer Tutor Abstract With rapid development of network, popularity of the network

40、 is more and more civilian, in our study and life, network is pervasived, make our study and life greatly facilitated, but more and more people pay attention to the networks security issues. Campus Network Security is a huge project, needs a full range of prevention, prevention not only passive but

41、also initiate. This paper base on the ACL, creating an Access Control List and ensuring campus network safe operation, make the campus network works in a security and stability environment.Keywords ACL; Campus Network; Network Security Policy; Access-Control-List致谢本文是在 讲师的悉心指导和无私帮助下完成的， 老师的指导和帮助使我掌握了正确的研究方法，并培养了严谨认真的学习和工作态度，使我顺利地完成了毕业论文（设计）的各项工作，在此谨向我的指导老师 表示深深的敬意和诚挚的感谢！17 .