访问控制列表ACL在校园网中的应用初探 - 图文 (4)

伉俪情深 分享 2020-06-28 下载文档

桂林电子科技大学职业技术学院毕业设计(论文)

4 在路由器R1和R3上查看命名访问控制列表 R1#show access-lists Extended IP access list ext1

permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www 2.3.4 删除访问控制列表

删除ACL的方法十分简单,只需在ACL表号前加“NO”就可以了,例如: R2(config)#no access-list 1

输入这个命令后,ACL表号为1和2的ACL内所有的条目都会被删除。标准和扩展的ACL只能删除整个ACL条目,不能删除个别条目。

命名ACL与标准和扩展ACL不同,它可以删除个别的控制条目。 例如:

no permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521

在“permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521”前加“no” 即可删除这条ACL语句条目,之后可以重新写入新的条目

2.4基于时间段的访问控制列表配置

使用标准访问控制列表和扩展访问控制列表就可以应付大部分过滤网络数据包的要求了。不过在实际的使用中总会有人提出一些较为苛刻的要求,这是就还需要掌握一些关于ACL的高级技巧。基于时间的访问控制类别就属于高级技巧之一。

·基于时间的访问控制列表的用途:

可能一些单位或者公司会遇到这样的情况,要求上班时间不能使用QQ或者浏览某些网站,或者不能在上班时间使用某些应用,只有在下班或者周末才可以。对于这种情况,仅仅通过发布通知不能彻底杜绝员工非法使用的问题,这时基于时间的访问控制列表就应运而生了。

·基于时间的访问控制列表的格式:

基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。这里主要解释下定义时间段,具体格式如下:

time-range 时间段格式

absolute start [小时:分钟] [日 月 年] [end] [小时:分钟] [日 月 年] 例如:time-range softer

absolute start 0:00 1 may 2005 end 12:00 1 june 2005

意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。还可以定义工作日和周末,具

- 10 -

桂林电子科技大学职业技术学院毕业设计(论文)

体要使用periodic命令。将在下面的配置实例中详细介绍。

基于时间的ACL配置常用命令

R1(config)#time-range time //定义时间范围

R1(config-time-range)#periodic weekdays 8:00 to 18:00

R1(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time

常用实验调试命令

① 用“clock set”命令将系统时间调整到周一至周五的8:00-18:00范围内,然后在Telnet路由器R1,此时可以成功,然后查看访问控制列表111:

R1#show access-lists Extended IP access list 111

10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (active)

② 用“clock set”命令将系统时间调整到8:00-18:00范围之外,然后Telnet路由器R1,此时不可以成功,然后查看访问控制列表111:

R1#show access-lists Extended IP access list 111

10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (inactive)

③ show time-range:该命令用来查看定义的时间范围。 R1#show time-range

time-range entry: time (inactive) periodic weekdays 8:00 to 18:00 used in: IP ACL entry

以上输出表示在3条ACL中调用了该time-range。

2.5 访问控制列表的显示和调试

在特权模式下,

使用“show access-lists ”可以显示路由器上设置的所有ACL条目; 使用“show access-list acl number”则可以显示特定ACL号的ACL条目; 使用“show time-range”命令可以用来查看定义的时间范围;

使用“clear access-list counters”命令可以将访问控制列表的计数器清零。

- 11 -

桂林电子科技大学职业技术学院毕业设计(论文)

3、ACL在校园网中的应用实例

图6是某学校网络结构体的一部分,其中包括教师办公室,服务器机房和学生实验室若干。本网络中全部使用24位子网掩码。

图6.某学校的网络拓扑结构图

在图6中,路由器使用以太网端口E0连接到教师办公室(网段为192.168.1.0),使用以太网端口E1连接到学校的服务器机房(网段为192.168.2.0),使用以太网端口E2连接到你学生实验室(网段为192.168.3.0),使用串口S0连接到校园网。路由器E1、E1和E2端口的IP地址为192.168.1.1,192.168.2.1和195.168.3.1。计算机1的IP地址为192.168.1.11,计算机2的IP地址为192.168.1.12,计算机3的IP 地址为192.168.3.11,计算机4的IP地址为192.168.3.12.FTP服务器的IP地址为192.168.2.11,WWW服务器的IP地址为192.168.2.12。

根据教室办公室,服务器机房和学生实验室对网络及其数据安全的要求不同,利用ACL技术构建了以下的网络安全策略。

3.1实现网络访问的单向控制

教室办公室(网段为192.168.1.0)用于教师办公,主机上往往会存一些试卷等敏感数据,因此不能让学生实验室(网段为192.168.3.0)访问,但是教师办公室网段可以访问学生实验室的计算机,以便对学生做实验、上课等情况进行管理和监控。

首先在路由器上采用IP标准控制列表如下:

- 12 -

桂林电子科技大学职业技术学院毕业设计(论文)

Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255 Router(config)#access-list 1 permit any Router(config)#int E0

Router(config)#ip access-group 1 out

在路由器上配置成功后,192.168.3.0网段不能访问192.16.1.0网段,但同时192.168.1.0网段也不能访问192.168.3.0网段,原因是在路由器E0端口的out方向上设置了访问控制策略deny 192.168.3.0 0.0.0.255它阻止了从192.168.3.0发给192.168.1.0的所以数据包,即使是192.168.3.0给192.168.1.0的回复数据包也一样阻止了。由此可见,简单的使用访问控制列表还不能解决这个问题。

要实现192.168.1.0网段到192.168.3.0网段的单向访问控制,采用访问控制列表配置如下:

Router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 estaelished

Router(config)#access-list 101 permit tcp any any Router(config)#int E2

Router(config)#ip access-group 101 in

该策略的原理是当TCP连接已经建立时,在路由器E2端口的in方向上检查数据包,如果它表示确认的数据包即可通过,而如果是192.168.3.0网段向192.168.1.0网段发起TCP连接数据包则它不表示确认数据包,因此拒绝通过。这样设置以后,学生在实验室就不能访问教师计算机上的试卷等敏感资料,而教室计算机依然可以管理学生实验室的上课和上机情况。

3.2禁止或允许部分网络服务

实验室一旦连接了校园网,就可以访问很多资源,包括电影之类的。但是实验室是为学生提供做实验、学习的场所,在上课期间不允许学生下载电影或者在线观。在图6中,假设大部分电影之类的资源放在校园网的192.168.2.0网段的FTP服务器上,因此要禁止学生实验室192.168.3.0网段访问192.168.2.0网段的FTP服务,但依然可以正常访问WWW服务。可以采用一下的ACL配置策略实现该要求:

Router(config)#access-list 102 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq wwww

Router(config)#access-list 102 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp

Router(config)#access-list 102 permit ip any any Router(config)#int E1

- 13 -

桂林电子科技大学职业技术学院毕业设计(论文)

Router(config)#ip access-group 102 out

在学生实验室,像QQ游戏之类的网络应用也是不允许学生使用的,可以采用同样的原理来禁止该服务。首先需要查找到因特尔网上提供QQ游戏的服务器的IP地址,然后采用ACL命令来禁止学生实验室网段192.168.3.0和这些IP地址的服务器之间的网络连接。

3.3禁止某台主机的通信

局域网受病毒攻击是不可避免的,一旦局域网内有一台计算机感染病毒,就有可能影响整个外局域网内的通信,严重时可能导致网络瘫痪。虽然不能将病毒拒之门,但是可以在尽量防毒的基础上,及时检测病毒并对有毒主机采取隔离措施以保护网络。

假设学生实验室的计算机4(IP地址为192.168.3.12)主机感染了病毒,正在向局域网内的其他主机疯狂发数据包,那么可以采取一下ACL策略限制该主机的数据传输,从而阻断病毒向其他网段传播,将病毒对网络的影响降到最小:

Router(config)#access-list 2 deny 192.168.3.12 0.0.0.255 Router(config)#access-list 2 permit any Router(config)#int E2

Router(config)#ip access-group 2 in

3.4保护重要端口免受病毒攻击

操作系统开放了一些端口,例如135,136,137,138,139,445等。病毒攻击原理就是向这些开放端口发送大量数据使所以操作系统资源和网络资源耗尽,最终使网络无法向合法用户提供正常的服务。使用ACL防范病毒攻击的策略如下:

Router(config)#access-list 103 deny tcp any any eq 135 Router(config)#access-list 103 deny udp any any eq 135 Router(config)#access-list 103 deny ip any any eq 135 Router(config)#int S0

Router(config)#ip access-group 103 in

以上策略是以135端口为例,其他端口配置策略相同。在路由器上限制了135端口基于TCP、UDP和IP协议的访问,从而禁止病毒从135端口攻击内网。当然,该策略也禁止了135端口的其他正常功能。

3.5小结

通过对路由器配置以上策略,对内部网络构建了基本的网络安全体系,在一定程度上可以提高网络的安全性。但是ACL是用包过滤技术来实现的,过滤的依据仅仅是第3层和

- 14 -


访问控制列表ACL在校园网中的应用初探 - 图文 (4).doc 将本文的Word文档下载到电脑

下一篇:浅谈干部教育培训的做法及思考

相关推荐
相关阅读
本类排行
× 游客快捷下载通道(下载后可以自由复制和排版)

下载本文档需要支付 7

支付方式:

开通VIP包月会员 特价:29元/月

注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
微信:xxxxxx QQ:xxxxxx