基于ACL的校园网络安全策略.doc

基于ACL的校园网络安全策略.doc

《基于ACL的校园网络安全策略.doc》由会员分享，可在线阅读，更多相关《基于ACL的校园网络安全策略.doc（16页珍藏版）》请在冰豆网上搜索。

基于ACL的校园网络安全策略

[摘要]随着网络的高速发展，网络的普及也越来越平民化，在人们的学习和生活的方方面面，网络无孔不入，给人们的学习和生活带来了极大的便利，但随之而来的网络安全问题也越来越引起人们的重视。

高校校园网的安全是一个庞大的系统工程，需要全方位的防范。

防范不仅是被动的，更要主动进行。

本文基于ACL为主，建立ACL列表控制和保障整个校园网的安全运行，使校园网运作在一个安全稳定的环境下。

[关键词]ACL；校园网；网络安全策略；访问控制列表

前言

自从产生了网络，随之而来的就是网络的安全问题。

任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。

既要防止未经授权的非法数据从外部侵入内部Intranet，也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取，将会带来巨大的损失。

路由器作为Intranet和Internet的网间互连设备，是保证网络安全的第一关,而在路由器上设置控制访问列表（ACL）可以很好的解决这些网络安全问题。

访问控制列表适用于所有的路由协议，通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具。

一个设计良好的访问控制列表不仅可以起到控制网络流量、流量的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。

1基本功能、原理与局限性

基本原理：

入站数据包进入路由器内，路由器首先判断数据包是否从可路由的源地址而来，否的话放入数据包垃圾桶中，是的话进入下一步；路由器判断是否能在路由选择表内找到入口，不能找到的话放入数据垃圾桶中，能找到的话进入下一步。

接下来选择路由器接口，进入接口后使用ACL。

ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

其中标准控制列表只读取数据包中的源地址信息，而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。

ACL判断数据包是否符合所定义的规则，符合要求的数据包允许其到达目的地址进入网络内部，不符合规则的则丢弃，同时通知数据包发送端，数据包未能成功通过路由器。

通过ACL，可以简单的将不符合规则要求的危险数据包拒之门外，使其不能进入内部网络。

图1ACL工作原理

功能：

网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

局限性：

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到endtoend的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

2访问控制列表概述

访问控制列表（AcessControlList,ACL）是管理者加入的一系列控制数据包在路由器中输入、输出的规则

访问控制列表是路由器接口的指令列表，用来控制端口进出的数据包。

ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

在这里，只介绍IP协议的ACL。

ACL的作用

1.ACL可以限制网络流量、提高网络性能。

2.ACL提供对通信流量的控制手段。

3.ACL是提供网络安全访问的基本手段。

4.ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

2.1访问控制列表的分类

目前有两种主要的ACL：

标准ACL和扩展ACL。

标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。

·IP标准访问控制列表编号：

1～99或1300～1999

·IP扩展访问控制列表编号：

100～199或2000～2699

2.2访问控制列表的匹配顺序

ACL的执行顺序是从上往下执行，CiscoIOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。

一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。

在写ACL时，一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则，只有这样才能保证不会出现无用的ACL语句

图2ACL的匹配顺序

2.3访问控制列表的创建

·标准ACL命令的详细语法

1．创建ACL定义

例如：

Router（config）#access-list1permit10.0.0.00.255.255.255

2．应用于接口

例如：

Router（config-if）#ipaccess-group1out

·扩展ACL命令的详细语法

1.创建ACL定义

例如：

accell-list101permithost10.1.6.6anyeqtelnet

2.应用于接口

例如：

Router（config-if）#ipaccess-group101out

·下面更详细的介绍扩展ACL的各个参数：

Router（config）#access-listaccess-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]

表1扩展ACL参数描述

参数

参数描述

access-list-number

访问控制列表表号

permit|deny

如果满足条件，允许或拒绝后面指定特定地址的通信流量

protocol

用来指定协议类型，如IP、TCP、UDP、ICMP等

Sourceanddestination

分别用来标识源地址和目的地址

source-mask

通配符掩码，跟源地址相对应

destination-mask

通配符掩码，跟目的地址相对应

operator

lt,gt,eq,neq（小于，大于，等于，不等于）

operand

一个端口号

established

如果数据包使用一个已建立连接，便可允许TCP信息通过

表2常见端口号

端口号（PortNumber）

20

文件传输协议（FTP）数据

21

文件传输协议（FTP）程序

23

远程登录（Telnet）

25

简单邮件传输协议（SMTP）

69

普通文件传送协议（TFTP）

80

超文本传输协议（HTTP）

53

域名服务系统（DNS）

·标准ACL与扩展ACL的比较：

图3标准ACL与扩展ACL的比较

2.4通配符掩码

通配符掩码是一个32位的数字字符串，0表示“检查相应的位”，1表示“不检查（忽略）相应的位”。

·IP地址掩码的作用：

区分网络为和主机位，使用的是与运算。

0和任何数相乘都得0，1和任何数相乘都得任何数。

·通配符掩码：

把需要准确匹配的位设为0，其他位为1，进行或运算。

1或任何数都得1，0或任何数都得任何数。

特殊的通配符掩码：

1.Any

0.0.0.0255.255.255.255

2.Host

172.16.30.280.0.0.0

Host172.16.30.28

2.5正确放置ACL

ACL通过制定的规则过滤数据包，并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的。

但是网络能否有效地减少不必要的通信流量，同时达到保护内部网络的目的，将ACL放置在哪个位置也十分关键。

假设存在着一个简单的运行在TCP/IP协议的网络环境，分成4个网络，设置一个ACL拒绝从网络1到网络4的访问。

根据减少不必要通信流量的准则，应该把ACL放置于被拒绝的网络，即网络1处，在本例中是图中的路由器A上。

但如果按这个准则设置ACL后会发现，不仅是网络1与网络4不能连通，网络1与网络2和3也都不能连通。

回忆标准ACL的特性就能知道，标准ACL只检查数据包的中的源地址部分，在本例子中，凡是发现源地址为网络1网段的数据包都会被丢弃，造成了网络1不能与其他网络联通的现象。

由此可知，根据这个准则放置的ACL不能达到目的，只有将ACL放置在目的网络，在本例子中即是网络4中的路由器D上，才能达到禁止网络1访问网络4的目的。

由此可以得出一个结论，标准访问控制列表应尽量放置在靠近目的端口的位置。

在本例子中，如果使用扩展ACL来达到同样的要求，则完全可以把ACL放置在网络1的路由器A上。

这是因为扩展访问控制列表不仅检查数据包中的源地址，还会检查数据包中的目的地址、源端口、目的端口等参数。

放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段，则会丢弃这个数据包，而检查出数据包的目的地址是指向网络2和3的网段，则会让这个数据包通过。

既满足了减少网络通信流量的要求，又达到了阻挡某些网络访问的目的。

由此，可以得出一个结论，扩展访问控制列表应尽量放置在靠近源端口的位置。

图4正确设置ACL

·编辑原则：

·标准ACL要尽量靠近目的端

·扩展ACL要尽量靠近源端

3访问控制列表的配置

3.1访问控制列表配置

3.1.1配置标准访问控制列表

以下是标准访问列表的常用配置命令。

跳过简单的路由器和PC的IP地址设置

1.配置路由器R1的标准访问控制列表

R1（config）#access-list1deny172.16.1.00.0.0.255

R1（config）#access-list1permitany

R1（config）#access-list2permit172.16.3.10.0.0.255

2.常用实验调试命令

在PC1网络所在的主机上ping2.2.2.2，应该通，在PC2网络所在的主机上ping2.2.2.2,应该不通，在主机PC3上Telnet2.2.2.2,应该成功。

……

Outgoingaccesslistisnotset

Inboundaccesslistis1

……

以上输出表明在接口S2/0的入方向应用了访问控制列表1。

3.1.2配置扩展访问控制列表

相比基本访问控制列表，扩展访问控制列表更加复杂，不仅需要读取数据包的源地址，还有目的地址、源端口和目的端口。

图5用扩展ACL检查数据包

扩展访问控制列表的常见配置命令。

1.配置路由器R1

R1（config）#access-list100permittcp172.16.1.00.0.0.255host2.2.2.2eqwww

2.常用调试命令

分别在访问路由器R2的Telnet和WWW服务，然后查看访问控制列表100：

R1#showipaccess-lists100

ExtendedIPaccesslist100

permittcp172.16.1.00.0.0.255host2.2.2.2eqwww

……

3.1.3配置命名访问控制列表

命名ACL是IOS11.2以后支持的新特性。

命名ACL允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL，命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目，这样可以让网络管理员方便地修改ACL。

它提供的两个主要优点是：

①解决ACL的号码不足问题；

②可以自由的删除ACL中的一条语句，而不必删除整个ACL。

命名ACL的主要不足之处在