ACL在校园网中的应用.docx

1、ACL在校园网中的应用毕业设计（论文） 题 目 ACL在校园网中的应用学生姓名 专业班级 学 号 系 别 计 算 机 系 指导教师(职称) 完成时间 年 月 日 ACL在校园网中的应用摘 要随着网络技术的飞速发展,校园网络的规模不断扩大，网络在为学校提供现代化教育技术和教育资源共享的平台，为学生和老师之间提供更多的交流渠道，丰富了校园文化，但网络互联也导致了部门之间数据保密性降低，影响了部门安全，因此，校园网络建设需考虑部门之间的访问控制和网络设备的安全。如管理人员可登陆网络设备或访问其他部门并可自由访问互联网；对学生或其他部门访问互联网的时间、内部相互访问的控制。因此，笔者提出采用访问控制列

2、表(Access Control List, ACL)访问控制策略，以满足校园网络安全的要求。ACL（Access Control Lists访问控制列表）是应用于路由器和交换机接口的指令列表，用来控制端口进出的数据包。是CISCO IOS提供的访问技术，初期只支持在路由器上使用，近期已扩展到三层，二层交换机。ACL就是一系列由源地址，目的地址，端口号等决定的允许和拒绝条件集合。通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。关键词 ACL/控制/策略/校园网/网络安全1研究背景自从产生了网络，随之而来的就是网络的安全问题。随着IP网络的飞

3、速发展，网络QOS（Quality of Service，服务质量）和网络安全越来越被ISP重视。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止XX的非法数据从外部侵入内部Intranet，也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取，将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备，是保证网络安全的第一关,而在路由器上设置访问控制列表（ACL）可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议，通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以起到控制网络流

4、量的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。对数据流实现较精确的识别和控制，成为服务质量提高的又一个基本要求。在通信设备中，如果能根据报文的封装信息的特征配置过滤规则，并对经过报文的封装信息进行识别，就可以较精确的识别出具有相同特征的一条或一组数据流。针对此规则在配置一个数据流量控制方案，网络设备就可以较精确的对某条流量实行控制了。ACL(access Control List)就这样应运而生了。它实现了报文的过滤和控制功能。本文研究的内容就是：ACL怎样在校园网中发挥作用的。2 基本功能、原理与局限性基本原理：入站数据包进入路由器内，路由器首先判断数

5、据包是否从可路由的源地址而来，否的话放入数据包垃圾桶中，是的话进入下一步；路由器判断是否能在路由选择表内找到入口，不能找到的话放入数据垃圾桶中，能找到的话进入下一步。接下来选择路由器接口，进入接口后使用ACL。ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息，而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则，符合要求的数据包允许其到达目的地址进入网络内部，不符合规则的则丢

6、弃，同时通知数据包发送端，数据包未能成功通过路由器。通过ACL，可以简单的将不符合规则要求的危险数据包拒之门外，使其不能进入内部网络。图2-1 ACL工作原理功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的

7、权限控制目的，需要和系统级及应用级的访问权限控制结合使用。3 ACL原理概述3.1概述TCP/IP 协议中数据包由IP 报头、TCP/UDP 报头、数据组成，IP 报头中包含上层的协议端口号、源地址、目的地址，TCP/UDP 报头包含源端号、目的端口，设备信息。ACL（访问控制列表）利用这些信息来定义规则，通过一组由多条deny（拒绝）和permit（允许）语句组成的条件列表，对数据包进行比较、分类，然后根据条件实施过滤。如果满足条件，则执行给定的操作；如果不满足条件，则不做任何操作继续测试下一条语句。3.2 ACL的基本原理ACL使用包过滤技术，在路由器上读取第二层，第三层及第四层包头中的信

8、息源地址，目的地址，源端口和目的端口等。根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。在网络中，ACL不但可以让网管员用来制定网络策略，对个别用户或特定数据流进行控制；也可以用来加强网络的安全屏蔽作用。从简单的Ping of Death攻击、TCP Syn攻击，到更多样化更复杂的黑客攻击，ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力，网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。需要指出的是，与速率限制相同，网络设备不仅应该能够执行完整的ACL功能，包括进站和出站，同时也必须强调硬件的处理能力。这样，用户在启动ACL的

9、同时，才不会影响到二层或三层交换设备线速转发数据包的能力。非法接入、报文窃取、IP地址欺骗、拒绝服务攻击等来自网络层和应用层的攻击常常会耗尽网络资源，让用户网管人员难于应对。针对这些问题，二、三层的访问控制、防火墙技术、入侵检测、身份验证、数据加密、防病毒都提供了有效的解决途径。而在保障网络边际安全方面，访问控制列表（Access Control List，ACL）可以说是最先与安全威胁进行交火的主力军。 ACL是对通过网络接口进入网络内部的数据包进行控制的机制，分为标准ACL和扩展ACL（Extended ACL）两种。标准ACL只对数据包的源地址进行检查，扩展ACL对数据包中的源地址、目的

10、地址、协议以及端口号进行检查。作为一种应用在路由器接口的指令列表，ACL已经在一些核心路由交换机和边缘交换机上得到应用，从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等二层技术，实现对网络的各层面的有效控制。3.3 ACL的主要功能1、ACL实现网络流量限制及提高网络性能 例如，如果公司策略不允许在网络中传输视频数据流，就应该配置并应用阻止视频数据流的ACL。这将显著降低网络负载并提高网络性能。2、ACL提供对通信流量的控制手段 ACL可限制路由选择更新的传输。如果网络状况不需要更新，便可节约带宽。3、ACL提供网络安全访问的基本安全级别 ACL可允许某台主机访问部分网络，同时阻止另一台

11、主机访问该区域。4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 例如，ACL可允许电子邮件数据流，但阻止所有Telnet数据流。5、控制客户端可访问网络的哪些区域。6、允许或拒绝主机访问网络服务。ACL可允许或拒绝用户访问特定文件类型，如。3.4 ACL 3P原则记住3P 原则，您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL。每种协议一个ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。每个方向一个ACL

12、：一个ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。 每个接口一个ACL： 一个ACL只能控制一个接口（例如快速以太网 0/0）上的流量。 ACL 的编写可能相当复杂而且极具挑战性，每个接口上都可以针对多种协议和各个方向进行定义。3.5使用ACL的指导原则(1)在位于内部网络和外部网络（如Internet）之间的防火墙路由器中使用ACL。(2)在位于网络两部分之间的路由器中使用ACL，以控制数据流进出内部网络的特定部分。(3)在位于网络边缘的边界路由器中配置ACL，这样可在内部网络和外部网络之间或网络中受控度较低的区域和敏感区域之间提供基本缓冲。(4

13、)在边界路由器接口中，为配置的每种网络协议配置ACL，可在接口上配置ACL以过滤入站数据流、出站数据流或两者。4 访问控制列表概述4.1访问控制列表的分类4.1.1标准ACL 标准ACL是基于源地址的数据包过滤,采用比较源地址的方法来允许/拒绝报文通过.当我们要想阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时。可以使用标准ACL来实现这一目标，检查路由的数据包的源地址，从而允许或拒绝基于网络或子网或主机的IP地址的所有通信流量通过路由器的出口。IP标准访问控制列表编号：199或13001999。4.1.2 扩展ACL扩展ACL是基

14、于目标地址、源地址和网络协议及其端口的数据包过滤，采用比较源和目的地址,源和目的端口协议的方法来允许/拒绝报文通过。扩展ACL即检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型，端口号等，更具有灵活性和可扩充性。即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其他协议的流量通过。IP扩展访问控制列表编号：100199或200026994.1.3 复杂ACL在标准 ACL 和扩展 ACL 的基础上构建复杂 ACL，从而实现更多功能。图4-1的表格总结了复杂 ACL的三种类型.图4-1复杂ACL类型1、动态ACL动态ACL只可用于IP数据流。动态ACL依赖于Telne

15、t连接、身份验证（本地或远程）和扩展ACL。要配置动态ACL，首先需要使用一个扩展ACL禁止数据流穿越路由器。数据流将被扩展ACL拦截，直到用户使用Telnet连接到路由器并通过身份验证。随后，Telnet连接将断开，而一个单条目动态ACL将添加到现有的扩展ACL中。该条目允许数据流在特定时段内通行，还可设置空闲超时值和绝对超时值。动态 ACL 的优点(1)使用询问机制对每个用户进行身份验证(2)简化大型网际网络的管理(3)在许多情况下，可以减少与 ACL 有关的路由器处理工作(4)降低黑客闯入网络的机会(5)通过防火墙动态创建用户访问，而不会影响其它所配置的安全限制何时使用动态 ACL(1)

16、您希望特定远程用户或用户组可以通过 Internet 从远程主机访问您网络中的主机. (2)您希望本地网络中的主机子网能够访问受防火墙保护的远程网络上的主机2、自反ACL此类 ACL 使路由器能动态管理会话流量. 路由器检查出站流量，当发现新的连接时，便会在临时 ACL 中添加条目以允许应答流量进入. 自反 ACL 仅包含临时条目. 自反 ACL 还可用于不含 ACK 或 RST 位的 UDP 和 ICMP.自反 ACL 仅可在扩展命名 IP ACL 中定义. 自反 ACL 具有以下优点：（1）帮助保护您的网络免遭网络黑客攻击，并可内嵌在防火墙防护中。 （2）提供一定级别的安全性，防御欺骗攻击

17、和某些 DoS 攻击。自反 ACL 方式较难以欺骗，因为允许通过的数据包需要满足更多的过滤条件。（3）此类 ACL 使用简单。与基本 ACL 相比，它可对进入网络的数据包实施更强的控制.3、基于时间的 ACL基于时间的 ACL 功能类似于扩展 ACL，但它允许根据时间执行访问控制. 基于时间的ACL 具有许多优点，例如:（1）在允许或拒绝资源访问方面为网络管理员提供了更多的控制权. （2）允许网络管理员控制日志消息。ACL 条目可在每天定时记录流量，而不是一直记录流量。因此，管理员无需分析高峰时段产生的大量日志就可轻松地拒绝访问.4.2访问控制列表的匹配顺序ACL的执行顺序是从上往下执行，Ci

18、sco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。在写ACL时，一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则，只有这样才能保证不会出现无用的ACL语句图4-2 ACL的匹配顺序4.3 访问控制列表的创建标准ACL命令的详细语法Router (config)# access-list access-list-number permit | deny deny permit remark source source-wildcard log下面更详细的介绍标准ACL的各个参数

19、：access-list-number 访问控制列表编号permit|deny 如果满足条件，允许或拒绝后面指定特定地址的通信流量remark 在IP访问列表中添加注释，以提高列表的可读性Source 用来标识源地址Source-wildcard 应用于source的通配符位1创建ACL定义 例如：Router (config)#access-list 1 permit 10.0.0.0 0.255.255.2552应用于接口 例如：Router (config-if)#ip access-group 1 out扩展ACL命令的详细语法Router (config)# access-list

20、access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log下面更详细的介绍扩展ACL的各个参数： access-list-number 访问控制列表号permit|deny 如果满足条件，允许或拒绝后面指定特定地址的通信流量protocol 用来指定协议类型，如IP、TCP、UDP、ICMP等Source and destination 分别用来标识源地址和目的地址sour

21、ce-mask 通配符掩码，跟源地址相对应destination-mask 通配符掩码，跟目的地址相对应operator lt,gt,eq,neq(小于，大于，等于，不等于) operand 一个端口号established 如果数据包使用一个已建立连接，便可允许TCP信息通过1.创建ACL定义例如：accell-list 101 permit host 10.1.6.6 any eq telnet2.应用于接口例如：Router(config-if)#ip access-group 101 out标准ACL与扩展ACL的比较：图4-3 标准ACL与扩展ACL的比较4.4 通配符掩码通配符掩码

22、是一个32位的数字字符串，0表示“检查相应的位”，1表示“不检查（忽略）相应的位”。图4-4 通配符作用IP地址掩码的作用：区分网络位和主机位，使用的是与运算。0和任何数相乘都得0，1和任何数相乘都得任何数。通配符掩码：把需要准确匹配的位设为0，其他位为1，进行或运算。1或任何数都得1，0或任何数都得任何数。特殊的通配符掩码：1.Any0.0.0.0 255.255.255.2552.Host172.16.30.28 0.0.0.0Host 172.16.30.28通配符掩码举例：假设一个B类地址，有8位的子网地址。想使用通配掩码，允许所有来自于网络171.30.16.0171.30.31.0

23、网络的数据报访问。首先，检查前面两个字节(171.30)，通配掩码中的前两个字节位全为0。由于没有兴趣检查主机地址，通配掩码的最后一个字节位全为1。通配掩码的第三个字节应该是15 (00001111)。与之相应的通配掩码是0.0.15.255，将匹配子网171.30.16.0到171.30.31.0的IP地址。4.5 常见端口号端口号(Port Number) 20 文件传输协议（FTP）数据21 文件传输协议（FTP）程序23 远程登录（Telnet）25 简单邮件传输协议（SMTP）69 普通文件传送协议（TFTP）80 超文本传输协议(HTTP)53 域名服务系统（DNS）4.6 正确放

24、置ACL ACL通过制定的规则过滤数据包，并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的。但是网络能否有效地减少不必要的通信流量，同时达到保护内部网络的目的，将ACL放置在哪个位置也十分关键。假设存在着一个简单的运行在TCP/IP协议的网络环境，分成4个网络，设置一个ACL拒绝从网络1到网络4的访问。根据减少不必要通信流量的准则，应该把ACL放置于被拒绝的网络，即网络1处，在本例中是图中的路由器A上。但如果按这个准则设置ACL后会发现，不仅是网络1与网络4不能连通，网络1与网络2和3也都不能连通。回忆标准ACL的特性就能知道，标准ACL只检查数据包的中的源地址部分，在本例子中

25、，凡是发现源地址为网络1网段的数据包都会被丢弃，造成了网络1不能与其他网络联通的现象。由此可知，根据这个准则放置的ACL不能达到目的，只有将ACL放置在目的网络，在本例子中即是网络4中的路由器D上，才能达到禁止网络1访问网络4的目的。由此可以得出一个结论，标准访问控制列表应尽量放置在靠近目的端口的位置。在本例子中，如果使用扩展ACL来达到同样的要求，则完全可以把ACL放置在网络1的路由器A上。这是因为扩展访问控制列表不仅检查数据包中的源地址，还会检查数据包中的目的地址、源端口、目的端口等参数。放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段，则会丢弃这个数据包，而检查

26、出数据包的目的地址是指向网络2和3的网段，则会让这个数据包通过。既满足了减少网络通信流量的要求，又达到了阻挡某些网络访问的目的。由此，可以得出一个结论，扩展访问控制列表应尽量放置在靠近源端口的位置。图4-5 正确设置ACL编辑原则：标准ACL要尽量靠近目的端扩展ACL要尽量靠近源端5 访问控制列表的配置5.1标准访问控制列表配置实例1 如图5-1销售部不可以访问财务部，但可以访问外网和市场部。市场部需要访问财务部。图5-1分析：由于路由器的接口在没有ACL的时候默认转发所有数据，所以在以上的要访问的要求中不需要单独设置ACL，只需要禁止不访问的内容即可。并且按照离目的较近的原则安排在E1端口。

27、基本配置：Lab_A #config tLab_A (config) #access-list 10 deny 172.16.40.0 0.0.0.255Lab_A (config) #access-list 10 permit anyLab_A (config) #int e1 Lab_A (config-if) #ip access-group实例2 如图5-2阻止Account用户访问Human Resources，允许其它用户访问Human Resources。图5-2基本配置：Lab_B#config tLab_B (config) #access-list 10 deny 192.

28、168.10.128 0.0.0.31Lab_B (config) #access-list 10 permit anyLab_B (config) #interface Ethernet 0 Lab_B (config-if) #ip access-group 10 out实例3 如图5-3阻止图中4个LAN访问外网的ACL。图5-3基本配置：Router (config) #access-list 1 deny 172.16.128.0 0.0.31.255Router (config) #access-list 1 deny 172.16.48.0 0.0.15.255Router (c

29、onfig) #access-list 1 deny 172.16.192.0 0.0.63.255Router (config) #access-list 1 deny 172.16.88.0 0.0.7.255Router (config) #access-list 1 permit anyRouter (config) #interface serial 0Router (config-if) #ip access-group 1 out5.2扩展访问控制列表配置实例1如图5-4销售部和市场部不可以访问财务部的172.16.30.5上的服务，但可以访问财务部的该服务器上的其它服务和其它主

30、机。图5-4基本配置：Lab_A (config) #access-list 110 deny tcp any host 172.16.30.5 eq 21Lab_A (config) #access-list 110 deny tcp any host 172.16.30.5 eq 23Lab_A (config) #access-list 110 permit ip any anyLab_A (config) #int e1Lab_A (config-if)#ip access-group 110 out实例2 如图5-5阻止其它主机远程登录访问E1和E2端口的网络和TFTP操作。图5-5

31、基本配置：Router (config) #access-list 110 deny tcp any 172.16.48.0 0.0.15.255 eq 23Router (config) #access-list 110 deny tcp any 172.16.192.0 0.0.63.255 eq 23Router (config) #access-list 110 deny udp any 172.16.48.0 0.0.15.255 eq 69Router (config) #access-list 110 deny udp any 172.16.192.0 0.0.63.255 eq 69Router (config) #access-list 110 permit ip any anyRouter (config) #interface Ethernet 1Router (config-if) #ip access-group 110 outRouter (config-if) #interface Ethernet 2Router (config-if) #ip acc