桂林电子科技大学职业技术学院毕业设计(论文)
采用的研究方法 a)查找并阅读相关资料,了解基本的内容,利用需求分析文档,对整个控制访问策略有个基本的架构。 b)搜寻实验用的文件文档集和研究过程中用到的各种工具软件。 c)根据已有的资料并搜寻到的各种软件工具进行分析、设计。 d)采用DynamipsGUI、gns3、Cisco Packet Tracer 5.3等工具完成整个策略的编写与测试。 工作的进度安排 2011年10月25号-10月30号 搜集资料,查阅文献,完成开题报告。 ? 2011年11月1号-2011年11月5日 完成文献综述 2011年11月6号—11月10号 定出基于ACL技术的校园网络安全的需求分析文档 2011年11月11号—11月15号 整理相关资料并完成概要和详细设计 2011年11月16号—11月20号 进行校园局域网的相关配置和必要性测试 ? 2011年11月21号—11月25号 总结毕业设计的整个过程,完成毕业设计论文初稿 2011年12月1号—12月25号 修改毕业论文定稿,打印装订 指导教师意见 指导教师签名: 年 月 日 - 3 -
桂林电子科技大学职业技术学院毕业设计(论文)
目 录
摘要.........................................................................2 关键字.......................................................................2 前言.........................................................................2 1 ACL的概述..................................................................2
1.1基本原理.............................................................2 1.2功能.................................................................3 1.3配置基本原则.........................................................3 1.4局限性...............................................................4 1.5ACL的作用............................................................4 1.6ACL的分类............................................................4 1.7ACL的执行顺序........................................................4 2 ACL的创建和配置...........................................................5
2.1 ACL的创建...........................................................5 2.2 ACL的创建位置.......................................................7 2.3 ACL的配置...........................................................7
2.3.1 配置标准的ACL.................................................7 2.3.2 配置扩展的ACL.................................................8 2.3.3 配置命名ACL...................................................8 2.3.4 删除ACL......................................................10 2.4 基于时间的ACL......................................................10 2.5 ACL的显示和调试....................................................11 3 ACL在校园网中的应用实例..................................................12
3.1实现网络访问的单向控制..............................................12 3.2禁止或允许部分网络服务..............................................13 3.3禁止某台主机的通信..................................................14 3.4保护重要端口免受病毒攻击............................................14 3.5小结................................................................14
- 1 -
桂林电子科技大学职业技术学院毕业设计(论文)
摘要
随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程,需要全方位的防范。防范不仅是被动的,更要主动进行。本文基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网运作在一个安全稳定的环境下。
[关键词]ACL;校园网;网络安全策略;访问控制列表
前言
自从产生了网络,随之而来的就是网络的安全问题。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的非法数据从外部侵入内部Intranet,也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取,将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备,是保证网络安全的第一关,而在路由器上设置控制访问列表(ACL)可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议,通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
1、ACL的概述
ACL全称访问控制列表:Access Control List ,往里走常说的ACL 是Cisco IOS 所提供的一种访问控制技术。初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么的完善而已。在其他厂商的路由器或者多层交换机上也提供类似的技术,不过名称和配置方式都可能有妈稍微的差别。
1.1基本原理
ACL使用包过滤技术,在路由器上读取第三次及四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则、对包进行过滤。从而达到访问控制的
- 2 -
桂林电子科技大学职业技术学院毕业设计(论文)
目的。
图1 ACL工作原理
入站数据包进入路由器内,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。接下来选择路由器接口,进入接口后使用ACL。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。
1.2功能
网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
1.3配置ACL的基本原则
在实施ACL的过程中,应当遵循如下三个基本原则:
- 3 -
桂林电子科技大学职业技术学院毕业设计(论文)
① 最小特权原则:只给受控对象完成任务的最小权限。
② 最靠近受控对象原则:所有的网络层访问权限控制尽可能离受控对象最近。
③ 默认丢弃原则:在Cisco设备中,每个访问控制列表的最后一个隐藏规则为deny any any。
而在华为3COM设备中,最后一个隐藏规则是Permit any any。因此不同的厂商支持的ACL技术在配置上有一些差别,这些差别在网络安全策略的配置是很重要的。
1.4局限性
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
1.5 ACL的作用
1. ACL可以限制网络流量、提高网络性能。 2. ACL提供对通信流量的控制手段。 3. ACL是提供网络安全访问的基本手段。
4. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
1.6访问控制列表的分类
目前有两种主要的ACL:标准ACL和扩展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
·IP标准访问控制列表编号:1~99或1300~1999 ·IP扩展访问控制列表编号:100~199或2000~2699
1.7访问控制列表的执行顺序
ACL的执行顺序是从上往下执行,Cisco IOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。
- 4 -

