ACL在校园网中的应用汇总Word文件下载.docx
《ACL在校园网中的应用汇总Word文件下载.docx》由会员分享,可在线阅读,更多相关《ACL在校园网中的应用汇总Word文件下载.docx(31页珍藏版)》请在冰豆网上搜索。
4.1.2扩展ACL4
4.1.3复杂ACL5
4.2访问控制列表的匹配顺序6
4.3访问控制列表的创建7
4.4通配符掩码8
4.5常见端口号10
4.6正确放置ACL10
5访问控制列表的配置11
5.1标准访问控制列表配置11
5.2扩展访问控制列表配置13
5.3复杂ACL的配置14
5.3.1动态ACL的配置14
5.3.2自反ACL配置15
5.3.3基于时间的ACL16
6校园网ACL配置实例17
6.1搭建配置环境18
6.2校园网ACL实际用例19
7排除常见ACL错误22
总结25
致谢26
参考文献27
1研究背景
自从产生了网络,随之而来的就是网络的安全问题。
随着IP网络的飞速发
展,网络QOS(QualityofService,服务质量)和网络安全越来越被ISP重视。
任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。
既要防
止XX的非法数据从外部侵入内部Intranet,也要防止内部各主机之间的相
互攻击,一旦网络瘫痪或者信息被窃取,将会带来巨大的损失。
路由器作为Intranet和Internet的网间互连设备,是保证网络安全的第一关,而在路由器上设置访问控制列表(ACL)可以很好的解决这些网络安全问题。
访问控制列表适用于所有的路由协议,通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力
工具。
一个设计良好的访问控制列表不仅可以起到控制网络流量的作用,还可以
在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
对数据流实现较精确的识别和控制,成为服务质量提高的又一个基本要求。
在通信设备中,如果能根据报文的封装信息的特征配置过滤规则,并对经过报文的封
装信息进行识别,就可以较精确的识别出具有相同特征的一条或一组数据流。
针
对此规则在配置一个数据流量控制方案,网络设备就可以较精确的对某条流量实行控制了。
ACL(accessControlList)就这样应运而生了。
它实现了报文的过滤和控制功能。
本文研究的内容就是:
ACL怎样在校园网中发挥作用的。
2基本功能、原理与局限性
基本原理:
入站数据包进入路由器内,路由器首先判断数据包是否从可路
由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;
路由器判断是否能在路由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。
接下来选择路由器接口,进入接口后使用ACLoACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端
口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。
ACL判
断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。
通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。
频握包境圾摘'
斗
W
图2-1ACL工作原理
功能:
网络中的节点资源节点和用户节点两大类,其中资源节点提供服务
或数据,用户节点访问资源节点所提供的服务与数据。
ACL的主要功能就是一
方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
局限性:
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到endtoend的权
限控制目的,需要和系统级及应用级的访问权限控制结合使用。
3ACL原理概述
3.1概述
TCP/IP协议中数据包由IP报头、TCP/UDP报头、数据组成,IP报头中包含上层的协议端口号、源地址、目的地址,TCP/UDP报头包含源端号、目的端
口,设备信息。
ACL(访问控制列表)利用这些信息来定义规则,通过一组由多条deny(拒绝)和permit(允许)语句组成的条件列表,对数据包进行比较、分类,然后根据条件实施过滤。
如果满足条件,则执行给定的操作;
如果不满足条件,则不做任何操作继续测试下一条语句。
3.2ACL的基本原理
ACL使用包过滤技术,在路由器上读取第二层,第三层及第四层包头中的信息源地址,目的地址,源端口和目的端口等。
根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
在网络中,ACL不但可以让网管员用来制定网络策略,对个别用户或特定数据流进行控制;
也可以用来加强网络的安全屏蔽作用。
从简单的PingofDeath攻
击、TCPSyn攻击,到更多样化更复杂的黑客攻击,ACL都可以起到一定的屏蔽
作用。
如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力,网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。
需要指出的是,与速率限制相同,网络设备不仅应该能够执行完整的ACL功能,包括进站和出站,同时也必须强调硬件的处理能力。
这样,用户在启动ACL的同时,才不会影响到二层或三层交换设备线速转发数据包的能力。
非法接入、报文窃取、IP地址欺骗、拒绝服务攻击等来自网络层和应用层的攻击常常会耗尽网络资源,让用户网管人员难于应对。
针对这些问题,二、三层的访问控制、防火墙技术、入侵检测、身份验证、数据加密、防病毒都提供了有效的解决途径。
而在保障网络边际安全方面,访问控制列表(AccessControlList,ACL)可以说是最先与安全威胁进行交火的主力军。
ACL是对通过网络接口进入网络内部的数据包进行控制的机制,分为标准ACL和扩展ACL(ExtendedACL)两种。
标准ACL只对数据包的源地址进行检查,扩展ACL对数据包中的源地址、目的地址、协议以及端口号进行检查。
作为一种应用在路由器接口的指令列表,ACL已经在一些核心路由交换机和边缘交换机上得到应用,从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等二层技术,实现对网络的各层面的有效控制。
3.3ACL的主要功能
1、ACL实现网络流量限制及提高网络性能
例如,如果公司策略不允许在网络中传输视频数据流,就应该配置并应用阻
止视频数据流的ACL。
这将显著降低网络负载并提高网络性能。
2、ACL提供对通信流量的控制手段
ACL可限制路由选择更新的传输。
如果网络状况不需要更新,便可节约带宽。
3、ACL提供网络安全访问的基本安全级别
ACL可允许某台主机访问部分网络,同时阻止另一台主机访问该区域。
4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
例如,ACL可允许电子邮件数据流,但阻止所有Telnet数据流。
5、控制客户端可访问网络的哪些区域。
6允许或拒绝主机访问网络服务。
ACL可允许或拒绝用户访问特定文件类型,女如FTP或HTTP。
3.4ACL3P原贝U
记住3P原则,您便记住了在路由器上应用ACL的一般规则。
您可以为每种协议(perprotocol)、每个方向(perdirection)、每个接口(perinterface)配置一个ACL。
每种协议一个ACL:
要控制接口上的流量,必须为接口上启用的每种协议定义相应的ACL0
每个方向一个ACL:
一个ACL只能控制接口上一个方向的流量。
要控制入站流量和出站流量,必须分别定义两个ACLo
每个接口一个ACL:
一个ACL只能控制一个接口(例如快速以太网0/0)
上的流量。
ACL的编写可能相当复杂而且极具挑战性,每个接口上都可以针对多种协议和各个方向进行定义。
3.5使用ACL的指导原则
⑴在位于内部网络和外部网络(如Internet)之间的防火墙路由器中使用ACL。
(2)在位于网络两部分之间的路由器中使用ACL,以控制数据流进出内部网络的
特定部分。
(3)在位于网络边缘的边界路由器中配置ACL,这样可在内部网络和外部网络之间或网络中受控度较低的区域和敏感区域之间提供基本缓冲。
(4)在边界路由器接口中,为配置的每种网络协议配置ACL,可在接口上配置ACL以过滤入站数据流、出站数据流或两者。
4访问控制列表概述
4.1访问控制列表的分类
4.1.1标准ACL
标准ACL是基于源地址的数据包过滤,采用比较源地址的方法来允许/拒绝报文通过.当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时。
可以使用标准ACL来实现这一目标,检查路由的数据包的源地址,从而允许或拒绝基于网络或子网或主机的IP地址的所有通信流量通过路由器的出口。
IP标准访问控
制列表编号:
1〜99或1300〜1999。
4.1.2扩展ACL
扩展ACL是基于目标地址、源地址和网络协议及其端口的数据包过滤,采用
比较源和目的地址,源和目的端口协议的方法来允许/拒绝报文通过。
扩展ACL即检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型,端口号等,更具有灵活性和可扩充性。
即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
IP扩展访问控制列表编号:
100〜
199或2000〜2699
4.1.3复杂ACL
在标准ACL和扩展ACL的基础上构建复杂ACL,从而实现更多功能图4-1的表格总结了复杂ACL的三种类型.
棘ACL
»
»
耗粘由hm
户融韶st
96ACL
計朋育ACL
图4-1复杂ACL类型
1、动态ACL
动态ACL只可用于IP数据流。
动态ACL依赖于Telnet连接、身份验证(本地或远程)和扩展ACL0
要配置动态ACL,首先需要使用一个扩展ACL禁止数据流穿越路由器。
数据流将被扩展ACL拦截,直到用户使用Telnet连接到路由器并通过身份验证。
随后,Telnet连接将断开,而一个单条目动态ACL将添加到现有的扩展ACL中。
该条目允许数据流在特定时段内通行,还可设置空闲超时值和绝对超时值。
动态ACL的优点
(1)使用询问机制对每个用户进行身份验证
(2)简化大型网际网络的管理
(3)在许多情况下,可以减少与ACL有关的路由器处理工作
⑷降低黑客闯入网络的机会
⑸通过防火墙动态创建用户访问,而不会影响其它所配置的安全限制
何时使用动态ACL
(1)您希望特定远程用户或用户组可以通过Internet从远程主机访问您网络中的
主机.
(2)您希望本地网络中的主机子网能够访问受防火墙保护的远程网络上的主机
2、自反ACL
此类ACL使路由器能动态管理会话流量.路由器检查出站流量,当发现新的连接时,便会在临时ACL中添加条目以允许应答流量进入.
自反ACL仅包含临时条目.
自反ACL还可用于不含ACK或RST位的UDP和ICMP.
自反ACL仅可在扩展命名IPACL中定义.
自反ACL具有以下优点:
(1)帮助保护您的网络免遭网络黑客攻击,并可内嵌在防火墙防护中。
(2)提供一定级别的安全性,防御欺骗攻击和某些DoS攻击。
自反ACL方式较难以欺骗,因为允许通过的数据包需要满足更多的过滤条件。
(3)此类ACL使用简单。
与基本ACL相比,它可对进入网络的数据包实施更强的控制.
3、基于时间的ACL
基于时间的ACL功能类似于扩展ACL,但它允许根据时间执行访问控制,基于时间的ACL具有许多优点,例如:
(1)在允许或拒绝资源访问方面为网络管理员提供了更多的控制权•
(2)允许网络管理员控制日志消息。
ACL条目可在每天定时记录流量,而不是一直记录流量。
因此,管理员无需分析高峰时段产生的大量日志就可轻松地拒绝访问•
4.2访问控制列表的匹配顺序
ACL的执行顺序是从上往下执行,CiscoIOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。
一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。
在写ACL时,一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句
药iA如词主主剧垮n帕妹媚•旦
1
图4-2ACL的匹配顺序
4.3访问控制列表的创建
•标准ACL命令的详细语法
Router(config)#access-listaccess-list-number{permit|deny}denypermitremarksource[source-wildcard][log]
•下面更详细的介绍标准ACL的各个参数:
access-list-number访问控制歹U表编号
permit|deny如果满足条件,允许或拒绝后面指定特定地址的通信流量remark在IP访问列表中添加注释,以提高列表的可读性
Source用来标识源地址
Source-wildcard应用于source的通配符位
1•创建ACL定义
例如:
Router(config)#access-list1permit10.0.0.00.255.255.255
2•应用于接口
Router(config-if)#ipaccess-group1out
•扩展ACL命令的详细语法
Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]
•下面更详细的介绍扩展ACL的各个参数:
access-list-number访问控制列表号
permit|deny如果满足条件,允许或拒绝后面指定特定地址的通信流量
protocol用来指定协议类型,如IP、TCP、UDP、ICMP等
Sourceanddestination分别用来标识源地址和目的地址
source-mask通配符掩码,跟源地址相对应
destination-mask通配符掩码,跟目的地址相对应
operatorlt,gt,eq,neq小、于,大于,等于,不等于)
operand—个端口号
established如果数据包使用一个已建立连接,便可允许TCP信息通过
1.创建ACL定义
accell-list101permithost10.166anyeqtelnet
2.应用于接口
Router(config-if)#ipaccess-group101out
-标准ACL与扩展ACL的比较:
标准(Standard)
扩展(Extended)
过鴻基于源
(.FiltersBasedonSource.
过漁基于源和11的(FiltersBasedonSourceanddestination.)
允IT或拒绝整个训汶族<PermitordenyentireTCP/IPprotocolsuite.)
允许或拒绝犢定怖旧丽溟或蜩II
(SpecifiesaspecificIPprotocolandportnumber)
Rangeis1through99
范「R(100-199)
Rangeis100through199,
图4-3标准ACL与扩展ACL的比较
4.4通配符掩码
通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示
“不检查(忽略)相应的位”。
128^64^32^'
16J8'
42」
图4-4通配符作用
•IP地址掩码的作用:
区分网络位和主机位,使用的是与运算。
0和任何
数相乘都得0,1和任何数相乘都得任何数。
•通配符掩码:
把需要准确匹配的位设为0,其他位为1,进行或运算。
或任何数都得1,0或任何数都得任何数。
特殊的通配符掩码:
1.Any
0.0.0.0255.255.255.255
2.Host
172.16.30.280.0.0.0
Host172.16.30.28
通配符掩码举例:
假设一个B类地址,有8位的子网地址。
想使用通配掩码,允许所有来自于网
络171.30.16.0〜171.30.31.0网络的数据报访问。
首先,检查前面两个字节(171.30),通配掩码中的前两个字节位全为0。
由
于没有兴趣检查主机地址,通配掩码的最后一个字节位全为1。
通配掩码的第三个字节应该是15(00001111)。
与之相应的通配掩码是0.0.15.255,将匹配子网171.30.16.0至U171.30.31.0
的IP地址
4.5常见端口号
端口号(PortNumber)
20文件传输协议(FTP)数据21文件传输协议(FTP)程序23远程登录(Telnet)25简单邮件传输协议(SMTP)69普通文件传送协议(TFTP)80超文本传输协议(HTTP)53域名服务系统(DNS)4.6正确放置ACL
ACL通过制定的规则过滤数据包,并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的。
但是网络能否有效地减少不必要的通信流量,同时达到保护内部网络的目的,将ACL放置在哪个位置也十分关键。
假设存在着一个简单的运行在TCP/IP协议的网络环境,分成4个网络,设置一个ACL拒绝从网络1到网络4的访问。
根据减少不必要通信流量的准则,应该把ACL放置于被拒绝的网络,即网络1处,在本例中是图中的路由器A上。
但如果按这个准则设置ACL后会发现,不仅是网络1与网络4不能连通,网络1与网络2和3也都不能连通。
回忆标准ACL的特性就能知道,标准ACL只检查数据包的中的源地址部分,在本例子中,凡是发现源地址为网络1网段的数据包都会被丢弃,造成了网络1不能与其他网络联通的现象。
由此可知,根据这个准则放置的ACL不能达到目的,只有将ACL放置在目的网络,在本例子中即是网络4中的路由器D上,才能达到禁止网络1访问网络4的目的。
由此可以得出一个结论,标准访问控制列表应尽量放置在靠近目的端口的位置。
在本例子中,如果使用扩展ACL来达到同样的要求,则完全可以把ACL放置在网络1的路由器A上。
这是因为扩展访问控制列表不仅检查数据包中的源地址,还会检查数据包中的目的地址、源端口、目的端口等参数。
放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段,则
会丢弃这个数据包,而检查出数据包的目的地址是指向网络2和3的网段,则会让这个数据包通过。
既满足了减少网络通信流量的要求,又达到了阻挡某些网络
访问的目的。
由此,可以得出一个结论,扩展访问控制列表应尽量放置在靠近源
端口的位置
网络1|eo
SO
RoutcrA
网络2
siso
RouterB
网餐」
"
Tr—^so
RouterC
网络4
RouterD
图4-5正确设置ACL
-编辑原则:
-标准ACL要尽量靠近目的端
-扩展ACL要尽量靠近源端
5访问控制列表的配置
5.1标准访问控制列表配置
实例1如图5-1销售部不可以访问财务部,但可以访问外网和市场部。
市场部需要访问财务部。
Inlei
SO0
Finance
Marketing
图5-1
分析:
由于路由器的接口在没有ACL的时候默认转发所有数据,所以在以上的要访问的要求中不需要单独设置ACL,只需要禁止不访问的内容即可。
并且按照离目的较近的原则安排在E1端口。
基本配置:
Lab_A#configt
Lab_A(config)#access-list10deny172.16.40.00.0.0.255
Lab_A(config)#access-list10permitany
Lab_A(config)#intel
Lab_A(config-if)#ipaccess-group
实例2如图5-2阻止Account用户访问HumanResources允许其它用户访问Human
Resources
192.168.10.161/27
AccountingHumanResourcesserver
192.163.10.222.27
图5-2
基本配置:
Lab_B#configt
Lab_B(config)#access-list10deny192.168.10.1280.0.0.31
Lab_B(config)#access-list10permitany
Lab_B(config)#interfaceEthernet0
Lab_B(config-if)#ipaccess-group10out实例3如图5-3阻止图中4个LAN访问外网的ACL
172.16.144.1719
172.16.92
升级会员 