控制列表

2024-07-24

控制列表(共9篇)

控制列表 篇1

1 访问控制列表 (ACL)

访问控制列表主要是思科、华为、锐捷所提供的一种访问控制技术, 初期仅在路由器上支持, 近些年已经扩展到三层交换机, 部分最新的二层交换机如3500之类。在其它厂商的路由器或多层交换机上也提供类似的技术, 不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于锐捷的ACL进行编写。

基本原理:ACL使用包过滤技术, 在路由器上读取第三层及第四层包头中的信息如协议、源端口、目的端口等, 根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的。

主要功能:网络中的节点分为资源节点和用户节点两大类, 其中资源节点提供服务或数据, 用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点, 阻止非法用户对资源节点的访问, 另一方面限制特定的用户节点所能具备的访问权限。即主要功能如下:

(1) 实现网络流量限制、提高网络性能。

(2) 提供对通信流量的控制手段。

(3) 提供网络安全访问的基本安全级别。

(4) 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

2 访问控制列表在Intranet管理中的应用

2.1 访问控制列表在网络安全中的应用

2.1.1 病毒过滤

近两年以冲击波、振荡波为代表的网络蠕虫病毒, 造成了许多地方感染, 网络瘫痪。蠕虫生存在网络的节点之中, 依靠系统的漏洞和电子邮件在网络中大量繁殖, 造成网络阻塞之类的严重后果。可以依靠杀毒软件来查杀蠕虫, 但并不能指望全网统一查杀以期将其消灭 (对信息点上万的高校Intranet来说, 那几乎是不可能的) 。可以通过访问控制列表, 封锁蠕虫病毒传播、扫描、攻击所利用的端口, 事前就把蠕虫病毒拒之门外。例如针对冲击波病毒, 可在路由器上做下面的配置:

2.1.2 阻止黑客攻击

DDo S (Distributed Denial of Service) 中文含义为分布式拒绝服务, 即同时发动分布于全球的几千台主机对目的主机攻击导致合法用户不能够访问正常网络服务是黑客常用攻击手段。由于DDo S攻击需要大量的伪源IP地址, 那么可以通过限制非法的伪源IP地址, 达到阻止黑客攻击效果。例如:企业Intranet合法网段是192.168.10.0∕24, 192.168.20.0∕24, 192.168.30.0∕24, 则具体配置如下:

通过以上访问控制列表命令可以有效控制DDo S, 只允许合法有效Intranet地址通过路由器的S0/0端口访问外网, 从而大大缓解了骨干链路的压力。

2.2 访问控制列表在访问权限中的应用

2.2.1 访问时间权限控制

Intranet接上了Internet, 员工可以利用享受因特网浩瀚资源的同时, 也给某些员工沉迷网络游戏、炒股票、私人聊天提供了机会, 影响正常工作。那么, ACL可以限定用户在指定的时间内不能访问这些网站。如限定从2010年3月6日到2029年8月10日止, 在周一至周五上课时间 (8:00~16:20) 不能访问腾讯QQ为例, 周末和晚上可以开放, 具体设置如下:

QQ通过和远端的服务器建立TCP或UDP的连接进行通讯的, 可以禁止QQ特定的TCP或UDP端口来实现。从防火墙和路由器上可以看到QQ正在用UDP 8080端口进行通讯, 禁止相应源端口。然而过一会儿以后, 发现QQ又可以连接上去了。因为新版的QQ可以使用TCP 80端口进行通信。因为TCP 80端口是HTTP专用的, 所以如果禁用TCP 80端口的话, 将使整个局域网无法访问所有的网站, 这是绝对不行的。因此, 只有将所有QQ服务器的都找出来, 然后禁止访问。

2.2.2 访问设备管理权限控制

为了对单位的网络中心服务器、重要网络设备的保护, 防止黑客的攻击, 可以利用ACL对不同的设备设置一些必要的安全访问控制策略。例如, 可以限定只有计算机网络中心的主机192.168.18.56才有权限访问路由器, 则可以在全局配置模式下, 设置标准ACL指定授权访问路由器主机地址192.168.18.56应用于虚接口上, 应用方向为in, 具体配置如下:

表示只允许主机192.168.18.56可远程登录路由器并修改其配置。

2.2.3 访问控制列表在流量控制中的应用

Bit Torrent (简称BT) 和电驴 (e Donkey) 都是用来进行文件下载的共享软件, 其特点是:下载的人越多, 速度越快。BT、电驴下载大大降低了下载服务器的负荷, 但也造成网络下载的数据量剧增, 使得网络带宽被大量的BT、电驴下载流量占据, 严重影响其它网络业务, 因此需要对BT、电驴流量进行有效控制。利用ACL可以合理的对这些流量进行控制, 以更好的管理、利用现有的网络资源。一般情况下, BT软件使用的是6880~6890端口, 而电驴使用的是TCP的4662端口和UDP的4772端口, 只要封锁这些端口就可以达到目的, 具体设置如下:

3 结束语

通过设置访问控制列表来管理Intranet的方法。可以使一个Intranet网络不仅仅能够运转, 而且能够安全、正常、高效地运转。

参考文献

[1]王渊明, 王小飞.基于时间的访问控制列表的应用[J].济南:山东通信技术, 2005 (1) :25-27.

[2]谭明佳.基于时间的访问表技术应用研究[J].哈尔滨:电脑学习, 2004 (1) :41-43.

[3]Cisco Systems公司.思科网络技术学院教程[M].北京:人民邮电出版社, 2004-07.

[4]Karl Solie (美) .CCIE实验指南 (第一卷) [M].北京:人民邮电出版社, 2002.

控制列表 篇2

此白皮书解释这不同的访问控制表(ACL)条目并且什么发生当不同的种类信息包遇到这些多种条目,用于ACLs阻拦IP信息包从被路由器转发。

RFC 1858 报道IP段过滤的安 全注意事项并且突出显示对介入TCP信息包、微小的碎片攻击和交迭 的碎片攻击的IP段的主机的二次攻击。拦截这些攻击是理想 的因为他们能攻陷主机,或者阻塞所有其内部资源。

RFC 1858 也描述二个方法保卫这些攻 击,直接和间接。在直接方法,最小长度小于的初始分段被 丢弃。如果开始8个字节原始IP数据报,间接方法介入丢弃片 段集的第二个片段。请参阅 RFC 1858 关于更详细的细节。

传统上, 信息包过滤器类似ACLs被应用于不分片和IP信息包的初始分段因为 他们包含第三层和4 ACLs能匹配为允许或拒绝决策的信息。因为他们在信息包,可以被阻拦根据第三层信息非初始片段通过ACL 传统上允许; 然而,因为这些信息包不包含第四层信息,他 们在ACL条目不匹配第四层信息,如果存在。因为收到片段的 主机不能重新召集原始IP数据报没有初始分段,允许IP数据包的非 初始片段通过是可接受的。

防火墙可 能也使用对阻拦信息包通过维护信息包碎片表源和目的地IP地址、 协议和IP标注的ID。Cisco PIX防火墙和 ? Cisco IOS防火墙能过滤特定数据流的所有片段通过 维护信息此表,但它是太消耗大的以至于不能执行此在一个路由器 为基本的ACL功能。 防火墙的主要工作是对阻拦信息包,并 且其辅助角色是路由信息包; 路由器的主要工作是路由信息 包,并且其辅助角色是阻拦他们。

二 个变化做在Cisco IOS软件版本上12.1(2) 和12.0(11)解决包围TCP 片段的一些安全问题。 间接方法,如所描述在 RFC 1858 ,是被实施 作为标准TCP/IP输入信息包充分检查一部分。变动也做了对 ACL 功能关于非初始片段。

ACL表项的类型

有六不同种类的ACL线路 ,并且其中每一有一个后果如果信息包执行或不配比。 在以 下列表,FO = 0指示不分片或一个初始分段在TCP流,FO > 0表明信 息包是一个非初始片段,L3意味着第三层,并且L4意味着第四层。

注意: 当有时第 三层和第四层信息在ACL线路和 片段 关键字存在,ACL活动为许可证是保守的并且拒绝动作 。动作是保守的因为您不想要偶然地拒绝流的一个分段的部 分因为片段不包含充足的信息匹配所有过滤器属性。

在拒绝 事例,而不是拒绝一个非初始片段,下ACL条目被处理。在许 可证事例,假设第四层信息在信息包,如果可用,在ACL 线路匹配 第四层信息。

许可证ACL线路带有L3仅信息

如果信息包的L3信息在ACL线路匹配 L3 信息,允许。

如果信息包的L3信 息在ACL线路不匹配L3信息,下ACL条目被处理。

拒绝ACL线路带有L3仅信息

如果信息包的L3信息 在ACL线路匹配L3 信息,它否认。

如果信息包的L3信息在ACL线路不匹配L3信息,下ACL条目被处理。

允许ACL线 路带有L3仅信息,并且片段关键字存在

如果信息包的L3信息在ACL线路匹配L3 信息,信息 包碎片偏移被检查。

如果信息包的 FO > 0,信息包允许。

如果信息包 的FO = 0,下ACL条目被处理。

拒绝ACL线路带有L3仅信息 ,并且片段关键字存在

如果信息包的L3信息在ACL线路匹配L3 信息,信息包碎片偏移被检 查,

如果信息包的FO > 0,信息包被 丢弃。

如果信息包的FO = 0,下条 ACL线路被处理。

允许ACL线路带有L3和L4信息

如果信息包的L3和L4信息匹配ACL线 路和FO = 0,信息包允许。

如果信息 包的L3信息匹配ACL线路和FO > 0,信息包允许。

拒绝ACL线路带有L3和L4信 息

如果信息包的L3和 L4信息匹配ACL条目和FO = 0,信息包被丢弃。

如果信息包的L3信息匹配ACL线路和FO > 0,下ACL 条目被处理。

ACL规则流程图

当不分片、初始分段和非初始片段被检查ACL时,以 下流程图说明ACL规则。

注意: 非初始片段包含仅第三层,从未第四层信息, 虽然ACL可能包含第三层和第四层信息。

信息包如何能匹配 ACL

示例 1

以下五个可能的情况介 入遇到ACL 100的不同种类的信息包。参见表和流程图您跟随 什么在每个情况发生。网络服务器的IP地址是171.16.23.1。

access-list 100 permit tcp any host 171.16.23.1 eq 80access-list 100 deny ip any any

信息包是为服务器或不分片注定的初始分段在端口80:

ACL的第一条线路包含第 三层和第四层信息,在信息包匹配第三层和第四层信息,因此信息 包允许。

信息包是为服务器或不分片注定的初始分段在端口21:

ACL的第一条线路包含第 三层和第四层信息,但第四层信息在ACL不匹配信息包,因此下条 ACL线路被处理。

ACL的第二条线路丢 弃所有信息包,因此信息包被丢弃。

信息包是非初始片段到服务 器在端口80流:

ACL的第 一条线路包含第三层和第四层信息,第三层信息在ACL匹配信息包, 并且ACL 活动是允许,因此信息包允许。

信息包是非初始片段到服务 器在端口21流:

ACL的 第一条线路包含第三层和第四层信息。第三层信息在ACL匹配 信息包,没有第四层信息在信息包,并且ACL活动是允许,因此信息 包允许。

信息包是初始分段、不分片或者非初始片段到另一台主机在服务器 子网:

ACL的第一条 线路包含在信息包的第三层信息(目的地地址)不匹配第三层信息, 因此下条ACL线路被处理。

ACL的第 二条线路丢弃所有信息包,因此信息包被丢弃。

示例 2

下列同样五个可能的 情况介入遇到ACL 101的不同种类的信息包。再次,参见表 和流程图您跟随什么在每个情况发生。网络服务器的IP地址 是171.16.23.1。

access-list 101 deny ip any host 171.16.23.1 fragmentsaccess-list 101 permit tcp any host 171.16.23.1 eq 80access-list 101 deny ip any any

信息包是为服务器或不分片注定的初始分段在端口 80:

ACL的第一条线路 包含在信息包匹配第三层信息的第三层信息。ACL活动是拒绝 ,但因为 片段 关键字存 在,下ACL条目被处理。

访问控制列表的配置与实现 篇3

控制网络访问所需的基本步骤之一是控制网络中的数据流。实现该能力有很多方式,其中之一便是使用访问控制列表(通常称作ACL,access control list)。本文着重讨论两种常见ACL类型的配置和实现。

1 ACL的应用

运用ACL的方式有很多,常见的一些ACL应用包括:

1)过滤从毗邻邻居接收或向毗邻邻居发送的路由选择信息。

2)控制交互访问,阻止对网络设备的未授权访问——例如控制台、Telnet或SSH访问。

3)控制传输流量和流经设备的网络访问。

4)通过限制访问路由器上的服务来保护路由器,如超文本传输协议(HTTP)、简单网络管理协议(SNMP)和网络时间协议(NTP)。

5)定义按需拨号路由选择(DDR)所需的流量。

6)定义IPsec虚拟专用网(VPN)加密时所需的流量。

7)IOS服务质量(Qo S)特性中的一些应用。

8)在安全技术中的广泛应用(如TCP拦截和IOS防火墙)。

可使用ACL为访问或穿越网络的所有流量提供一个基本的安全等级。如果没有配置ACL,则流经路由器的所有分组均将允许进入网络的各个部分。

2 配置ACL

ACL实质上是一个包含允许或拒绝语句的列表,这些语句控制网络访问以实现安全策略。有时也将ACL的应用称为过滤,因为ACL是通过允许或拒绝网络访问来管制流量的。ACL是端到端安全解决方案中不可分割的一部分[1]。

配置ACL分为两个步骤:1)创建ACL;2)将ACL应用到接口。

2.1 创建ACL

配置ACL的第一步是在每个接口上针对各个需要过滤的协议创建一个ACL。对于某些协议,可能需要创建一个过滤入站流量的ACL,还需要创建一个过滤出站流量的ACL。一个设备可配置多个ACL,可以给ACL分配一个唯一的名称或编号并定义过滤标准,以指定需要过滤的协议。ACL中所有独立的过滤规则都是ACL的一部分,称为访问控制条目(ACE,access control entry)。一个ACL可包含多个ACE[2]。

表1和表2列出了可通过基于名称或编号的ACL定义的协议。表2还列出了针对各个协议的有效的ACL编号范围。

ACL的类型很多,本文主要讨论标准ACL和扩展的ACL的配置和实现。1)标准ACL是最基本的ACL类型之一,该类型的ACL通过将IP分组源地址与配置在ACL中的地址进行比较来检测分组。标准ACL只能用于允许或拒绝具有某特定源IP地址的分组[3]。定义一个基于编号的标准ACL的命令语法为:access-listaccess-list-number{deny|permit}source[source-wildcard][log]。

2)扩展的ACL用于过滤那些基于源地址、目的地址和特定协议、端口以及标记的更为具体的流量。针对不同协议的扩展的ACL的命令语法如下:

定义一个扩展的IP ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}protocol source source-wildcard destination destination-wildcard[precedence precedence][tos tos][log|log-input][time-range time-range-name][fragments]

定义一个扩展的TCP ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}tcp source source-wildcard[operator[port]]destination destinationwildcard[operator[port]][established][precedence precedence][tos tos][log|log-input][time-range time-rangename][fragments]

定义一个扩展的用户数据报协议(UDP)ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}udp source source-wildcard[operator[port]]destination destinationwildcard[operator[port]][precedence precedence][tos tos][log|log-input][time-range time-range-name][fragments]

定义一个扩展的Internet控制消息协议(ICMP)ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}icmp source source-wildcard destination destination-wildcard[icmp-type[icmp-code]|icmp-message][precedence precedence][tos tos][log|log-input][time-range time-range-name][fragments]

定义一个扩展的Internet群组管理协议(IGMP)ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}igmp source source-wildcard destination destination-wildcard[igmptype][precedence precedence][tos tos][log|log-input][time-range timerange-name][fragments]

2.2 将ACL应用于接口

配置ACL的第二步是将ACL应用到接口。虽然定义ACL时无需将其应用到接口,但如果不将ACL应用到设备接口,ACL是不会生效的。ACL可应用于网络中的各种接口和设备,但在确定将其应用在哪之前必须先考虑一些复杂的因素。以图1为例,假设需要阻塞来自路由器A的流量从源主机A流入目的主机B。当确定在哪应用ACL时,应考虑如下因素[4]:

1)当使用一个标准ACL时,应对最接近目的路由器C的传输流量应用ACL过滤。由于标准的ACL只根据源地址来过滤分组,因此将丢弃靠近路由器A入口处的分组。而完全阻塞主机A所有流量将存在一个潜在的危机,即有可能阻塞去往主机C和主机D的流量。因此,在路由器C上应用ACL比在路由器A或B上应用ACL更为合适。

2)当使用一个扩展的ACL时,在最接近源路由器A的入口处应用ACL。由于扩展的ACL是根据源/目的IP地址和源/目的端口等来过滤分组的,与标准ACL相比具有更细的粒度。因此,将丢弃接近网络入口处的分组。尽管丢弃接近目的地的分组也能实现相同的结果,但这些分组穿越整个网络,占用了资源,最终却在目的路由器C被丢弃,这是一种资源浪费。因此,最好丢弃接近源(入口)的分组,即在路由器A上应用ACL,而不是路由器B或路由器C。

图2给出了依靠入站和出站ACL处理分组的逻辑流程图[5]。

3 实施ACL应注意的事项

实施ACL时应注意的事项包括:

1)ACL可应用于一台设备的多个接口。

2)每种协议在每个接口的一个方向上只允许有一个ACL。也就是每个接口只能有两个ACL,即一个入站ACL和一个出站ACL。

3)ACL是自上而下执行的。应当仔细规划访问列表条目(ACE)顺序。较为具体的条目应当放在前面。

4)当进入ACL时,路由器将访问控制条目(ACE)载入底部。较新的IOS版本具有排序功能,能够将ACE条目插入到当前条目之间。

5)具有对不允许流量的“隐式拒绝”。只包含一条拒绝语句的单条目ACL将拒绝所有流量。因此一个ACL必须至少包含一条允许语句,否则将阻塞所有流量。

6)应始终先创建一个ACL,再将其应用到接口。当修改或编辑ACL时,应始终先从接口移除ACL后,再做更变,然后再在接口重新应用此ACL。

7)应用在路由器接口上的出站(出口)ACL只检查流经路由器的流量——即穿越路由器的流量,而非源于路由器的流量。

4 ACL配置实例

4.1 实例一

此例使用标准ACL阻塞了来自于源10.1.1.0/24之外的所有流量。注意在这个例子中,一个允许语句后跟随着阻塞所有流量的隐式拒绝。

步骤1:定义一个标准ACL

Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255

步骤2:将该ACL应用到一个接口

Router(config)#interface Serial0

Router(config-if)#ip access-group 1 in

4.2 实例二

此例允许简单邮件传输协议(SMTP)流量到达主机172.16.1.1,以及源于所有主机的域名系统(DNS)流量和ICMP回送以及回送应答分组。

步骤1:定义一个扩展的ACL

步骤2:将该ACL应用到一个接口

5 结束语

该文从网络流量控制的角度讨论了两种类型的ACL配置方法,以及在使用不同类型的ACL时应当考虑的问题。这些方法可应用在路由器和交换机上,也可应用在一个网络两部分之间的设备上,从而控制网络流量进入或流出网络的某些特定部分。也可以用于过滤设备上的入站流量或出站流量,或两者均过滤。应该根据不同协议和不同的源/目的/端口来定义ACL,以实现对各种流量类型更细粒度的控制。

摘要:介绍了使用访问控制列表控制网络流量的原理,着重讨论了两种访问控制列表类型的配置方法,并针对这两种类型的访问列表举例说明了其在实际中的配置和应用,以及在应用中需要考虑的事项。

关键词:访问控制,ACL,流量过滤,网络安全

参考文献

[1]Malik.网络安全原理与实践[M].王宝生,朱培栋,白建军,译.北京:人民邮电出版社,2008.

[2]石硕.交换机/路由器及其配置[M].2版.北京:电子工业出版社,2007.

[3]刘军,王彩萍.ACL在IP网络中的应用[C].计算机与数学工程,2009,1,(37):178-181.

[4]Ranga.R.Vatsavai,Sharma Chakravarthy,Mukesh Mohania.Access Control Inference And Feedback For Policy Managers:A Fine-Grained Analysis[C].IEEE International Workshop on Policies for Distributed Systems and Networks.London,2006.

控制列表 篇4

建立访问控制列表,可对数据流量进行简单的控制,以及通过这种控制达到一定程度的安全性,允许或拒绝数据包通过路由器,从而达到对数据包进行过滤的目的。

另外,也可以在VTY线路接口上使用访问控制列表,来保证telnet的连接的安全性。因为接口的数据流是有进口和出口两个方向的,所以在接口上使用访问控制列表也有进和出两个方向。

进方向的工作流程

进入接口的数据包——进方向的访问控制列表——判断是否匹配——不匹配,丢弃,匹配,进入路由表——判断是否有相应的路由条目——无,丢弃,有从相应接口转发出去

出口方向的工作流程

进入接口数据包——进入路由表,判断是否是相应的路由条目——无,丢弃,有,数据包往相应接口——判断出口是否有访问控制列表——无,数据被转发,有,判断条件是否匹配——不匹配,丢弃,匹配,转发。

比较看,尽可能使用进方向的访问控制列表,但是使用哪个方向的应根据实际情况来定。类型

标准访问控制列表

所依据的条件的判断条件是数据包的源IP地址,只能过滤某个网络或主机的数据包,功能有限,但方便使用。

命令格式

先在全局模式下创建访问控制列表

Router(config)#access-list access-list-number {permit or deny} soure {soure-wildcard} log 注:access-list-number 是访问控制列表号,标准的访问控制列表号为0~99;permit是语句匹配时允许通过,deny是语句不匹配时,拒绝通过。soure是源IP地址,soure-wildcard是通配符,log是可选项,生成有关分组匹配情况的日志消息,发到控制台

补:当表示某一特定主机时,soure {soure-wildcard}这项例如:192.168.1.1 0.0.0.255 可表示为host 192.168.1.1 创建了访问控制列表后,在接口上应用

Router(config-if)#ip access-group access-list-number {in or out} 扩展访问控制列表

扩展访问控制列表所依据的判断条件是目标、源ip地址、协议及数据所要访问的端口。由此可得出,在判断条件上,扩展访问控制列表具有比标准的访问控制列表更加灵活的优势,能够完成很多标准访问不能完成的工作。

命令格式

同样在全局模式下创建列表

Router(config)#access-list access-list-number {dynamic dynamic-name}{timeout mintes}{permit or deny}protocol soure soure-wildcard destination destination-wildcard {precdence precedence} {tos tos} {time-range time-range-name}

命名访问控制列表

cisco ios 软件11.2版本中引入了IP命名ACL,其允许在标准和扩展访问控制列表中使用名字代替数字来表示ACL编号。

创建命名ACL语法格式:

router(config)#ip access-list {extend or standard} name router(config-ext-nacl)#{permit or deny } protocols soure soure-wildcard {operator}destination destination-wildcard {operator}{established}

注:established 是可选项,只针对于tcp 协议

还有vty的限制,其ACL的建立与在端口上建立ACL一样,只是应用在vty ACL 到虚拟连接时,用命令access-class 代替命令access-group 放置ACL

控制列表 篇5

随着时代的发展,仅仅根据访问的目的地址和端口对应用访问进行限制已经无法满足网络的应用需求。在某些情况下,还要根据时间采取相应的网络控制管理策略。因此,有必要对基于时间的访问控制列表的应用问题展开研究,从而为网络管理提供更好的控制策略,继而使网络得到更好的使用。

1 访问控制列表的应用需求分析

近几年,互联网的规模在不断扩大,从而使网络不得不面临更多的威胁。就目前来看,越来越多的网络管理人员开始担心网络安全问题。但是,为了确保网络业务的发展,还必须同意用户访问网络资源的请求。而随着网络威胁的增加,使用固有的内部网络数据和资源保护技术已然无法满足数据和资源的保护需求。在众多网络安全管理技术,访问控制列表可以算是基本的网络安全手段,能够实现对内网外部数据的过滤。所以,利用访问控制列表能够将有害数据包过滤掉,并且做好网络数据流量的控制,能够为网络运行提供一个相对安全的环境。从分类上来看,访问控制列表包含了自反访问控制列表和基于时间的访问控制列表等多个种类的网络控制策略。其中,基于时间的访问控制列表可以根据一天中不同时间进行网络资源的访问控制,能够为网络管理员提供不同的安全策略开展工作日和周末时间段的网络管理工作。因此,基于时间的访问控制列表在现实生活中得到了广泛的应用,并且具有较好的应用前景,可以满足网络的管理需求。

2 基于时间的访问控制列表概述

所谓的访问控制列表,其实就是一组有序的语句集。在数据包需要通过访问控制列表的接口时,访问控制列表将对语句中的访问参数和数据报文中的信息进行匹配,然后对是否允许数据包通过的问题进行判断。而基于时间的访问控制列表,其实就是根据不同的时间进行资源访问控制的一组列表。就目前来看,利用基于时间的访问控制列表可以较好的进行的网络的管理。首先,根据时间进行列表的应用,能够为类似Internet的网络管理用户访问提供更大的便利。同时,通过设置基于时间的安全策略,也能够加强防火墙等网络边界的访问控制功能,从而使网络安全得到加强。再者,根据时间变化,网络服务供应商可以进行上网收费管理,并且使用基于时间的访问控制列表进行数据流量的调节。此外,根据时间变化,可以进行不同服务质量Qo S的实施,从而为不同的网络提供相对可靠的服务。而实施不同的Qo S,也能够对网络质量、网络访问、分组丢失、网络延迟等内容进行克制。最后,利用基于时间的访问控制列表进行日志消息记录时段的控制,也能够限制用户在高峰时段的网络访问次数,继而为网络管理提供创造更好的条件。

3 基于时间的访问控制列表的应用原则及步骤

3.1 应用原则

在应用基于时间的访问控制列表时,需要遵循相应的命令应用原则。首先,应用时先要进行时间范围的定义,并且利用time-range命令对指定的时间范围进行表示。在定义时间范围的过程中,需要使用absolute命令或periodic命令,并且遵照IOS命令格式进行时间范围的定义。在访问控制列表中,需要用time-range-name进行时间范围名称的标识,并且在列表中进行这个名称的引用。而在编写absolute语句时,需要以start表示时间开始,并以end表示时间结束。所以在语句中,如果没有end的参数,absolute的动作就会一直进行下去。在使用periodic命令时,可以在同时时间范围内进行多个命令的使用。不同于只拥有结束时间、开始时间和日期等少量参数的absolute语句,periodic可以拥有大量参数,并且其范围相对较大。比如,小时、分钟、星期的某一天以及几天的结合,都能够包含在这一范围内。在进行访问控制列表的扩展时,标准VINS、扩展XNS、扩展的透明桥、以太网类型和地址、扩展的IP和原路由桥等多种协议都能够得到基于编号的访问控制列表的支持。在扩展的过程中,可以使用access-list-number进行扩展的访问控制列表的标识,并且用source标识源地址。同时,可使用source-wildcard标识通配符屏蔽码,并使用source-port标识源端口号,而用destimation表示目的地址。在这些参数中,可以使用关键字的参数有source、source-wildcard、destimation和destimation-wildcard。在进行0.0.0.0255.255.255.0 的通配符屏蔽码缩写时,可以使用any。在进行0.0.0.0通配符屏蔽码缩写时,可以使用host。而在进行扩展访问控制列表命名时,使用的参数与扩展控制列表的参数基本一致。但是,相较于扩展控制列表,命名访问控制列表只进行扩展的IP、扩展的IPX等少量协议的支持。

3.2 应用步骤

在应用基于时间的访问控制列表进行访问列表编号和命名时,只需要遵循三个步骤。首先,需要进行路由器时钟的校正。具体来讲,就是在使用之前确认路由器能否提供一个可靠的实时时钟。确认之后,网络管理员就能够进行特权用户层命令的调用,从而将路由器设置为本地时间,并且通过调用特权用户命令进行设置的保存。其次,需要进行访问时间的定义。参照基于时间的访问控制列表的应用原则,可以利用time-range命令进行时间范围的指定。例如:time-range no-qq absolute start 0:00 1 may 2015end 12:00 1 may 2020.在该条命令中,时间段名称为no-qq,以2015 年5 月1 日零点为起始时间,以2020 年5 月1 日中午12点为结束时间。再者,完成时间段设置后,如果访问控制列表关联的时间范围接口并不存在,就可以认为该访问控制列表已经在时间上实现了匹配,所以就能够进行时间因素的忽略。

4 基于时间的访问控制列表的应用实践研究

4.1 应用分析

为了对基于时间的访问控制列表的应用问题展开进一步的研究,可以校园网管理为例,对该种网络安全策略的实际应用问题进行探讨。不同于企业网络,校园建设在学校内部,主要的功能是为教学提供资源共享、信息交流和协同工作的平台,所以主要是用于为教学服务。而在学校内部,不论是学生还是教师都需要按照时间表上课和休息。在计算机课程中,学生的网络实训练习也应该严格遵照学校要求进行。例如,在听课时间段内,学生不能进行QQ软件等聊天娱乐软件的登录。但是在双休日期间,学生却能够自由进行上网行为的控制。所以,考虑到校园网的管理特点,可以使用基于时间的访问控制列表进行校园网的管理,从而使校园网的建设管理得到规范。在具体应用的过程中,可以使用基于时间的访问控制策略进行校园网路由器的设置。在设置时,可以根据一天中的不同时间点或一周内不同日期进行网络数据包的转发和拒绝控制,从而对校园网在某个时间段内的网络行为进行管理。在实现这一功能时,可以使用标准访问列表和扩展访问列表这两种控制方法。利用前者,能够进行基于目标地址的数据包过滤。利用后者,能够根据网络协议、源地址、目标地址及其端口完成数据包的过滤。而在此基础上加入有效时间范围操作策略,就能够实现对校园网的有效控制。

4.2 时钟设置分析

根据之前的分析,由于校园网使用的是路由器装置内部不含有时钟,所以在设备启动时无法准确得知具体时间。而为了给基于时间的路由设置提供标准时间参照,还需要进行时区和夏令时的设置,然后再进行路由器的时钟设置。需要注意的是,完成路由器的时间设置后,重启路由器将导致时间信息消失。但是,由于网络中含有一个NTP服务器,所以可以将该服务器当成是标准时间源。而在路由器启动的过程中,既可以进行该服务的调用,然后再进行时钟的设置。

4.3 上课时间的网络访问控制管理

根据学校规定,学生在上课的过程中不允许使用网络进行QQ和MSN软件的使用。具体规定为:从周一到周五的8 点至18 点,全校师生不得使用MSN和QQ聊天工具。遵照基于时间的访问控制列表应用原理,可以利用Periodic weekdays start 8:00 end 18:00 表示从周一到周五的8 点至18 点,并利用Timerange deny- qq表示对QQ工具的访问进行限制。

4.4 实训机房的网络访问控制管理

在实训机房的管理方面,可以使用Vlan完成网络设施。在学校的信息大楼中,一个网络机房内含有50 台计算机,配以192.168.5.0 的网段范围。为了进行机房的管理,学校出台规定,要求机房从周一7 点到周五18 点的上课时间对浏览器服务进行限制。同时,要求机房正常进行FTP服务的开放,并且在双休日期间提供全面开放服务。在设置时,可以先利用R1(config)#clock set 15:33:50 21 May 2015 进行时钟设置,然后利用R1(configtime- range)#periodic weekday 7:00 to 18:00 进行限制网络访问的时间段的设置,并使用R1(config - if)#ip access - list 101deny tcp 192.168.5.0 0.0.0.255 any eq 80 time - range 2015school5将基于时间的访问控制列表用于限制机房服务。

4.5 规定时间段的网络访问控制管理

实际上,校园网需要为数量庞大的学生群体提供服务,所以将承担较大的运行压力。在一些时间段,如果学生普遍进行下载软件的使用,将很容易导致校园网崩溃。所以一些学校规定,从周一到周五的6 点到18 点,禁止除办公室以外的所有计算机使用BT等网络下载软件,以便减轻校园网运行压力[8]。在编写基于时间的访问控制命令时,可以periodic weekdays 6:00 to 18:00 表示列表应用的时间范围,然后利用access- list 111 deny ip host 10.1.10.111 any表示为校务办公室计算机放行。

5 结论

总而言之,在进行网络管理时,合理进行基于时间的访问控制列表的应用,可以使网络管理工作的开展更加灵活和安全。所以,相关人员应该加强对基于时间的访问控制列表的应用原则和步骤的掌握,并且尝试进行该种网络管理策略的实践应用,从而在内部网络管理方面积累更多的宝贵经验。因此,本文对基于时间的访问控制列表的应用问题展开的探讨,可以为相关工作的开展提供指导。

参考文献

[1]潘文婵,章韵.路由器访问控制列表在网络安全中的应用[J].计算机技术与发展,2010.

[2]银少海.访问控制列表在校园网络安全中的应用探讨[J].网络安全技术与应用,2015.

[3]谢大吉.网络管理中访问控制列表应用探讨[J].中国科技信息,2011.

[4]麻悦.基于ACL访问控制列表在校园机房的应用[J].中小企业管理与科技(下旬刊),2011.

[5]刘洋.访问控制列表在包过滤防火墙上的应用与研究[J].计算机光盘软件与应用,2012.

[6]李征.访问控制列表在网络优化中的应用[J].清华大学学报(自然科学版),2013.

[7]王亮.动态访问控制列表在企业网络安全中的应用[J].网络安全技术与应用,2015.

基于访问控制列表的校园网管理 篇6

随着现代化教学活动的开展和与国内外教学机构交往的日益增多,利用校园网进行信息交流活动越来越普遍。然而伴随着校园内计算机用户的普及,接入校园网的节点日益增多,很容易造成网络堵塞和病毒传播。这样,就给校园网的管理提出更高的要求。

笔者认为校园网的管理主要应考虑三个方面:网络安全、访问权限与流量控制。利用访问控制列表可以过滤病毒,阻止黑客非法访问;可以对校园网的访问设置访问权限;通过控制访问流量实现对校园网有针对性的管理,有利于校园网发挥更大的效能。

2、访问控制列表

2.1 访问控制列表概念

访问控制列表(Access Control List)主要是思科、华为、锐捷所提供的一种访问控制技术,初期仅在路由器上支持,近些年已经扩展到三层交换机,部分最新的二层交换机如3500之类。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于锐捷的ACL进行编写。

基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如协议、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

主要功能:网络中的节点分为资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。即主要功能如下:(1)实现网络流量限制、提高网络性能;(2)提供对通信流量的控制手段;(3)提供网络安全访问的基本安全级别;(4)可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

3、访问控制列表在校园网管理中的应用

3.1 访问控制列表在网络安全中的应用

3.1.1 病毒过滤

近两年以冲击波、振荡波为代表的网络蠕虫病毒,造成了许多地方感染,网络瘫痪。蠕虫生存在网络的节点之中,依靠系统的漏洞和电子邮件在网络中大量繁殖,造成网络阻塞之类的严重后果。可以依靠杀毒软件来查杀它们,但并不能指望全网统一查杀以期将其消灭(对信息点上万的高校校园网来说,那几乎是不可能的)。可以通过访问控制列表,封锁蠕虫病毒传播、扫描、攻击所利用的端口,事前就把蠕虫病毒拒之门外。例如针对冲击波 (Worm.Blaster) 病毒,可在路由器上做下面的配置:

阻止黑客攻击

DDoS (Distributed Denial of Service)中文含义为分布式拒绝服务,即同时发动分布于全球的几千台主机对目的主机攻击导致合法用户不能够访问正常网络服务是黑客常用攻击手段。由于DDoS攻击需要大量的伪源IP地址,那么可以通过限制非法的伪源IP地址,达到阻止黑客攻击效果。笔者所在学校校园网合法网段是192.168.10.0∕24, 192.168.20.0∕24, 192.168.30.0∕24,则具体配置如下:

ip access-group 1 out (把ACL和接口S0/0联系起来,即在出口方向上使用ACL) 。通过以上访问控制列表命令可以有效控制DDoS,只允许合法有效校园网地址通过路由器的S0/0端口访问外网,从而大大缓解了骨干链路的压力。

3.2 访问控制列表在访问权限中的应用

3.2.1 访问时间权限控制

宿舍联了宽带,学生可以利用下课时间访问学校电子图书馆查询资料等。在大多数学生享受因特网无限教育资源的同时,也给某些学生沉迷网络游戏提供了一个良好机会。那么,ACL可以限定用户不同的上网时间。如限定从2010年3月6日到2029年8月10日止,在周一至周五上课时间(8:00~16:20)不能访问外网,周末和晚上可以开放,具体设置如下:

3.2.2 访问设备管理权限控制

为了对学校网络中心服务器、重要网络设备的保护,防止黑客的攻击,我们可以利用ACL对不同的设备设置一些必要的安全访问控制策略。例如,我们可以限定只有计算机网络中心的主机192.168.18.56才有权限访问路由器,则可以在全局配置模式下,设置标准ACL指定授权访问路由器主机地址192.168.18.56应用于虚接口上,应用方向为in,具体配置如下:

访问控制列表在流量控制中的应用

BitTorrent(简称BT)和电驴(eDonkey)都是用来进行文件下载的共享软件,其特点是:下载的人越多,速度越快。BT、电驴下载大大降低了下载服务器的负荷,但也造成网络下载的数据量剧增,使得网络带宽被大量的BT、电驴下载流量占据,严重影响其它网络业务,因此需要对BT、电驴流量进行有效控制。利用ACL可以合理的对这些流量进行控制,以更好的管理、利用现有的网络资源。一般情况下,BT软件使用的是6880~6890端口,而电驴使用的是TCP的4662端口和UDP的4772端口,我们只要封锁这些端口就可以达到目的,具体设置如下:

4、结束语

本文通过分析校园网管理存在的问题,提出了通过设置访问控制列表来管理校园网的方法。这样,一个校园网络就不仅仅是能够运转,而且是能够安全、正常、高效地运转。

摘要:随着学校规模地不断扩大发展, 校园网的管理成为越来越迫切解决的问题。本文将详细介绍利用访问控制列表对校园网的管理。

关键词:访问控制列表,校园网,网络管理

参考文献

[1]王渊明, 王小飞.基于时间的访问控制列表的应用[J], 山东通信技术, 2005.01:25-27.

[2]谭明佳, 基于时间的访问表技术应用研究[J].电脑学习, 2004.01:41-43.

[3]Cisco Systems公司, 思科网络技术学院教程[M].北京:人民邮电出版社, 2004, 7.

控制列表 篇7

随着网络技术在教育行业的迅猛发展和网络应用的广泛普及, 高校的校园网建设规模在短短几年内达到了与西方发达国家相媲美的水平, 各种新的网络应用也层出不穷, 如:网络多媒体教学、VOIP电话、电视/电话视频会议, 视频监控数据等, 也得到了快速的发展。学生使用网络的热情也空前高涨, 个人计算机的普及率在高校中逐年递增。网络规模的急剧膨胀, 网络用户的快速增长, 关键性应用的普及和深入, 使得校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络, 校园网在学校的信息化建设中已经在扮演了至关重要的角色。

同时我们也看到, 校园网络作为数字化信息的最重要传输载体, 当前存在着以下急待解决的问题:

1、大量的P2P等非关键应用, 无情的吞噬着校园网络有限的带宽资源。

大学生们的思维活跃, 敢于尝试新鲜事物, 这本是好事, 但同时也给各个学校的网络管理人员带来了巨大的不便。到目前为止, 校园网几乎可以说是P2P应用最多的场所之一, 其应用P2P种类之繁杂, P2P应用更新速度之迅猛, 使得每个网络管理人员头痛不已。这些大量的P2P严重地侵占着校园的网络资源, 如图一所示:

正如上图所示, 在没有对校园P2P流量进行策略管理的时间段内 (19:59-20:21) , P2P等非关键应用的流量达到近800M, 而整个网络的带宽是1G, 可以看出这些非关键性应用, 对网络资源的肆意占用已到了相当严重的地步。更为严重的是, 在很多时候, P2P流量几乎占用了该校园网全部的出口带宽, 造成许多学生和教师无法上网, 严重的影响了教职员工、学生的正常工作和学习。

还有一些诸如网络游戏、MP3下载、即时聊天等应用, 也同样不断的侵占着有限的网络资源。

2、关键性应用得不到保障, 投资没有得到合理的回报

由于上述大量P2P以及其它非关键性应用的存在, 导致校园内正常的网络应用:对实时性要求较高的各种语音视频应用 (多媒体教学, 电视/电话会议等) 、及学生/家属区个人上网, 校园办公OA等等得不到正常的开展。时延、抖动、马赛克甚至应用中断现象会时有发生。如果没有带宽管理设备分配给这些应用所需要的网络带宽, 对这些关键性应用的正常访问, 将得不到根本的保证。这样校园网建设所投入的资金就会得不到很好回报, 网络资源被严重的浪费掉, 也给学校的预算带来了沉重的负担。

3、存在大量的网络不安全因素, 如网络非法攻击、登陆不良网站等

校园网经常受到网络黑客的侵害, 导致网络不能够正常的运行。很多大学网络中心做过统计显示, 校园网内主要应用服务器平均一个星期会经受到数千次甚至上万次的非法访问尝试;另外, 如何避免学生登陆不良网站, 防范网络非法攻击 (如DDOS, 蠕虫) 等等, 这些都是各个高校不可回避的紧迫问题。

4、没有提供多样的增值服务, 计费方式存在严重的不足

随着校园网络的迅猛发展和不断的完善, 一方面, 越来越多的学生和教师对网络应用的需求呈现多样化趋势, 不同级别的教职员工、研究生和本科生等等, 他们对于网络的需求是不同的;而另一方面, 网络内容供应商和运营商所提供的各种服务也层出不穷。显然单一的计费模式, 如包月制, 已经难以满足现今的实际需要, 也势必将被更为的合理的计费模式所取代, 按使用量、内容、用户计费等等。比如使用BT按照一个价格计费、使用HTTP按照另外一种价格计费、使用网络电视按照其它一种价格计费等。

二、BT协议分析

BT是混合式、非结构化、多点多远传输数据的文件共享P2P网络。

BitTorrent是一种分发文件的协议。它通过URL来识别内容, 并且可以无缝的和web进行交互。它是基于HTTP协议, 其优势是:如果有多个下载者并发的下载同一个文件, 那么, 每个下载者也同时为其它下载者上传文件, 这样文件源可以支持大量的用户进行下载, 而只带来适当的负载增长。因为大量的负载被均衡到整个系统中, 所以提供源文件的机器的负载只有少量增长。

BT也是目前国内最流行的运行于P2P上的软件, 也是校园网络中流量问题的最大来源。

三、基于访问控制列表下的BT流量控制

基本思想:BT是一种P2P的应用。客户端本身就是一个服务器, 可以采取一定的措施, 限制学生网以外的用户对学生网内的BT用户发起主动连接, 从而限制出流量, 进而达到限制双向BT流量的目的。校园网内的用户可以对网外的用户发起主动连接, 感觉不到受限制, 网内的客户端不能提供网外用户的被动连接。这种限制可以在路由器上采用访问控制列表实现, 如下所示://访问控制列表

以上控制列表的含义:检查TCP包中SYN位, 只允许Net A中的主机发起到Net A中主机的TCP主动连接, 不允许Net B中的主机发起到Net A主机的主动连接。图二和图三为测试结果。图二为启用访问控制前一天的实时流量图, 可以看出端口的出流量和入流量基本相同, 接近1Bbps。图三为启用访问控制后一天的实时流量图, 这时端口的入出流量有近200左右的差距, 最高入流量下降为800左右, 限制效果明显。

四、总结与展望

P2p不是某一种可有可无的技术, 而是网络技术必然的发展方向。互联网将向什么方向发展?一方面, 网络的带宽将更宽, 网络的地址将更多, 网络上的资源将更多。就像从普通公路发展到高速公路一样, 更多的地址意味着允许更多的车上路, 更多的资源就像在路边修建更多的服务设施--这就是宽带互联网 (称作下一代因特网) 正在做的事情;另一方面, 网络上的资源多了, 跑的车多了之后, 最重要的问题就是如何管理好它们, 让它们形成一个有机的整体, 发挥出最大化的效益--这就是p2p所要做的事情。这两件事情是互相依存促进的, 缺一不可。

对于BT而言, 在技术实现上没有像人工智能技术那样的硬瓶颈, 因而最关键的问题是:它究竟是不是未来发展方向?通过前面的分析, 我们已经知道, 把互联网管理好, 形成一个有机整体是必然的趋势, 因而BT必然是我们的未来。既然方向问题解决了, 它在技术上又是可行的, 因此根本就不用担心它的成熟和普及问题。它完全可能会"忽如一夜春风来, 千树万树梨花开"。第一台个人计算机是20世纪70年代末期问世的, 而我们现在的互联网, 也不过20世纪90年代初期才问世, 看看它们现在都已经普及到了何种程度?让我们展望一下未来!

参考文献

[1].林闯, 计算机系统与网络性能评价[M].北京.清华大学出版社.20011

[2].李克东、谢幼如, 《信息技术与学科教学整合》万方数据电子出版社.2001

[3].B.Y.Zhao, L.Huang, J.Stribling, S.C.Rhea, A.D.Joseph, and J.D.Kubiatowicz, "Tapestry:A resilient global-scale overlay for service deploy-ment, "IEEE Journal on Selected Areas in Communications, vol.22, no.1, pp.41-53, January 2004.

[4].B.Karp, S.Ratnasamy, S.Rhea, and S.Shenker, "Spurring adoptionof dhts with openhash, a public dht service, "in Proceedings of the 3rd In-ternational Workshop on Peer-to-Peer Systems (IPTPS 2004) , Berkeley, California, USA, February 26-27 2004.

[5].P.Maymounkov and D.Mazi`res, "Kademlia:A peer-to-peer informa-e tion system based on the xor metric, "in Processings of the IPTPS, Cambridge, MA, USA, February 2002, pp.53-65.

[6].D.Malkhi, M.Naor, and D.Ratajczak, "Viceroy:a scalable and dynamicemulation of the butter?y, "in Processings of the ACM PODC'02, Mon-terey, CA, USA, July 2002, pp.183-192.

[7].P.Francis, "Yoid:Extending the internet multicast architecture, "unpub-lished, April 2000..

[8].罗杰文, 《P2P综述》, 中科院计算技术研究所.200511

控制列表 篇8

网络时代的高速发展,对网络的安全性也越来越高,企业内部可能存在不同网段计算机访问许可不同,服务器拒绝收到某种服务信息流量等问题。通过配置路由器中访问控制列表,可以控制网络流量,按规则过滤数据报文,实现访问许可,并帮助企业内部网络制定相关策略,描述安全功能,反映流量的优先级,提高网络的安全性[1]。配置访问控制列表是《构建中小型企业网络》课程中重要内容,需要掌握路由器基本配置的基础知识。

Packet Tracer是思科发布的一款网络辅助学习软件,它可以模拟设计网络结构,配置网络仿真环境,排除网络故障,整个界面和网络环境真实再现。Packet Tracer解决了学校网络实验室内设备不足,减轻了教学负担的问题,有利于培养学生的网络学习兴趣[2]。

2 实验原理

IP访问控制列表是应用在路由器接口的指令列表,可分为标准IP访问控制列表和扩展IP访问控制列表。标准IP访问控制列表检查路由数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过[3]。

通过灵活地增加访问控制列表,达到过滤流入和流出路由器接口的数据包,限制网络流量,提高网络性能,起到网络访问的基本安全作用。

3 实验项目设计

3.1 实验目标

(1)理解标准IP访问控制列表的原理及功能;

(2)掌握命名的标准IP访问控制列表的配置方法;

(3)理解扩展IP访问控制列表的原理及功能;

(4)掌握编号的扩展IP访问控制列表的配置方法。

3.2 实验任务描述

某公司下设经理室、销售部、财务部,另外架设了公司的Web服务器,各部门分别属于不同的网段,具体见图1网络拓扑图。考虑财务处存放有重要的账套信息,保证服务器安全,领导要求实现:

任务一销售部不能访问财务部,但经理室可以访问财务部;

任务二.各部门主机只能访问服务器的WWW服务,不能对其使用ICMP服务。

3.3 实验设计

1)实验步骤分析

为实现任务目标,需要依次完成(1)在Packet Tracer仿真平台中搭建网络物理环境,考虑减少实验复杂性,这里仅选用了三台路由器、三台电脑、一台服务器;(2)给各个端口分配IP地址,其中IP规划设计如表1所示;(3)配置路由,保证PC之间、PC到服务器间网络畅通,仅畅通后才能实验允许或拒绝服务,测试网络连通性;(4)配置标准IP访问控制列表,实现任务一;(5)配置扩展IP访问控制列表,实现任务二;(6)测试实验结果。

2)实验关键指令

(1)路由配置指令

R1路由配置:

依次配置R2、R3,分别用PC2电脑ping PC3和Web服务器,测试网络整体连通性,并用WEB浏览器访问WEB服务器,测试结果如图2所示,显示网络畅通:

(2)配置标准IP访问控制列表命令

标准IP访问控制列表可以实现允许或拒绝来自某一网段完整协议,可以帮助我们实现PC1可以与PC3通信,但是不允许PC2与PC3通信。考虑PC1、PC2、PC3都要访问WEB服务器,只有在R2的F0/0端口宣告应用。关键命令如下:

至此,完成标准IP访问控制列表的配置,经测试达到预期目标,测试结果如图3-4所示:

(3)配置扩展IP访问控制列表命令

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,它检查数据包的源地址和目标地址,允许或拒绝某个特定的协议,例如TCP协议。它可以帮助我们实现任务2中提到的各子网段可以使用www服务,访问WEB服务器,但是拒绝使用ICMP服务。根据访问控制列表的最靠近受控对象原则,将扩展IP访问控制列表应用在R2的S0/0/1端口,关键命令如下:

至此,完成扩展IP访问控制列表的配置,经测试达到预期目标,测试结果如图5-6所示:

3)实验结果分析

从结果可以看出,标准IP访问控制列表仅检查源地址,允许和拒绝的是完整的协议;扩展IP访问控制列表检查源地址和目标地址,允许或拒绝的是某个特定的协议。配置访问列表的每一条语句就是一个规则,数据包发送后,逐条匹配,直到匹配到合适语句,执行语句的动作(允许或拒绝);如果没有找到匹配的规则,按照缺省规则执行[4]。

另外在实验中,允许或拒绝的都是整个网段,使用了反向子网掩码帮助实现,方向子网掩码中的0表示检查相应IP相应位,1表示不检查,从而可以通过反向子网掩码再对IP地址段进行细分,实现过滤指定部分网段数据功能。

3.4 实验总结

基于Packet Tracer仿真平台,配置访问控制列表的实验,能在教学中帮助同学们理解了标准IP访问控制列表和扩展IP访问控制列表的原理及其功能;通过任务驱动教学方法,帮助同学们掌握基本配置方法,加深理解路由器的网络管理功能。通过理论和实践结合提高了学生学习网络基础知识的积极性。

4 技能拓展

本次实验中仅涉及标准IP访问控制列表配置、扩展IP访问控制列表配置,ACL访问控制列表还包含反向访问控制列表、基于时间的访问控制列表、基于名称的访问控制列表。综合配置访问控制列表,可以保护存放敏感数据的计算机,拒绝非法访问服务器,阻止病毒传播与攻击,控制网络流量,提高网络性能,限定上网时间等作用。

摘要:针对网络实验室内设备不足,不便于学生开展网络实验的问题,本文描述了利用Packet Tracer仿真模拟软件开展配置IP访问控制列表的意义,详细介绍了开展配置访问控制列表的实验原理、实验项目设计、实验技能的拓展。帮助学生理解访问控制列表的功能,掌握其配置方法,并应用于实践中去。

关键词:实验教学,访问控制列表,流量控制,网络安全

参考文献

[1]Malik.网络安全原理与实践[M].王宝生,朱培栋,白建军,译.北京:人民邮电出版社,2008.

[2]刘静.基于Packet Tracer的IP访问控制列表教学设计与实现的研究[J].科技创新与应用,2012(12):276.

[3]王芳.路由器访问控制列表及其应用技术研究[J].解放军信息工程大学,2007.

控制列表 篇9

关键词:访问控制列表,网络安全,配置

网络安全的防护手段多种多样,如代理服务器,加密技术,入侵检测,防火墙等等。但是单方面的防御是不够的,纯粹的各种技术的叠加也只能增加网络繁重的复杂的负担而已。目前实现网络安全的一种有效途径是在网络中的交换机或路由器上使用访问控制列表(Access Control List简称ACL)ACL通过对网络资源进行访问ji输入和访问输出控制,确保网络设备不被非法访问或被用作攻击跳板。适当的使用ACL可以帮助用户有效减少安全风险。

1 ACL的基本原理、功能、使用目的

1.1 ACL的基本原理

ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

1.2 ACL的功能

网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。

1.3 ACL的使用目的

1)限制网络流量、提高网络性能。例如队列技术,不仅限制了网络流量,而且减少了拥塞。

2)提供对通信流量的控制手段,例如可以用其控制通过某台路由器的某个网络的流量。

3)提供了网络访问的一种基本安全手段。例如在公司中,允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器。

4)在路由器接口上,决定某些流量允许或拒绝被转发。例如,可以允许FTP的通信流量,而拒绝TELNET的通信流量。

2 ACL的工作原理和工作过程

2.1 ACL的工作原理

ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝

注意:ACL是CISCO IOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码———丢弃DENY.所以在写ACL时,一定要注意先后顺序。

例如:要拒绝来自172.16.1.0/24的流量,把ACL写成如下形式

允许172.16.0.0/18

拒绝172.16.1.0/24

允许192.168.1.1/24

拒绝172.16.3.0/24

那么结果将于预期背道而驰,把表一和表二调换过来之后,再看一下有没有问题:

拒绝172.16.1.0/24

允许172.16.0.0/18

允许192.168.1.1/24

拒绝172.16.3.0/24

发现172.16.3.0/24和刚才的情况一样,这个表项并未起到作用,因为执行到表二就发现匹配,于是路由器将会允许,和我们的需求完全相反,那么还需要把表项四的位置移到前面

最后变成这样:

拒绝172.16.1.0/24

拒绝172.16.3.0/24

允许172.16.0.0/18

允许192.168.1.1/24

可以发现,在ACL的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置。

ACL是一组判断语句的集合,它主要用于对如下数据进行控制:1)入站数据;2)出站数据;3)被路由器中继的数据

2.2 ACL的工作过程

1)无论在路由器上有无ACL,接到数据包的处理方法都是一样的:当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息———包括AD,METRIC……及对应的出接口;

2)这时,我们假定该数据是可路由的,并且已经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入ACL,如果没有ACL的话,则直接从该口送出。如果该接口编入了ACL,那么就比较麻烦。第一种情况———路由器将按照从上到下的顺序依次把该数据和ACL进行匹配,从上往下,逐条执行,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进行相应处理(允许或拒绝),并停止继续查询匹配;当查到ACL的最末尾,依然未找到匹配,则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。

对于ACL,从工作原理上来看,可以分成两种类型:

1)入站ACL

2)出站ACL

上面的工作过程的解释是针对出站ACL的。它是在数据包进入路由器,并进行了路由选择找到了出接口后进行的匹配操作;而入站ACL是指当数据刚进入路由器接口时进行的匹配操作,减少了查表过程

并不能说入站表省略了路由过程就认为它较之出站表更好,依照实际情况而定:

如图1所示,采用基本的ACL———针对源的访问控制。

要求如下:

1)拒绝1.1.1.2访问3.1.1.2但允许访问5.1.1.2

2)拒绝3.1.1.2访问1.1.1.2但允许访问5.1.1.2

采用基本的ACL来对其进行控制

从命令上来看,配置似乎可以满足条件。

假定从1.1.1.2有数据包要发往3.1.1.2,进入路由器接口E0后,这里采用的是入站表,则不需查找路由表,直接匹配ACL,发现有语句access-list 1 deny 1.1.1.2 0.0.0.255拒绝该数据包,丢弃;假定从3.1.1.2有数据包要发往1.1.1.2,同上,当1.1.1.2要和5.1.1.2通信,数据包同样会被拒绝掉。当3.1.1.2要和5.1.1.2通信,数据包也会被拒绝掉该ACL只能针对源进行控制,所以无论目的是何处,只要满足源的匹配,则执行操作。

如何解决此问题?

1)把源放到离目标最近的地方,使用出站控制;

2)使ACL可以针对目的地址进行控制。

第一项很好理解,因为标准的ACL只能针对源进行控制,如果把它放在离源最近的地方,那么就会造成不必要的数据包丢失的情况,一般将标准ACL放在离目标最近的位置!

第二种办法,要针对目标地址进行控制。因为标准ACL只针对源,所以,这里不能采用标准ACL,而要采用扩展ACL.但是它也有它的劣势,对数据的查找项目多,虽然控制很精确,但是速度却相对慢些。

简单比较以下标准和扩展ACL

标准ACL仅仅只针对源进行控制

扩展ACL可以针对某种协议、源、目标、端口号来进行控制

从命令行就可看出

标准:

Router(config)#access-list list-number

扩展:

Router(config)#access-list list-number protocol source{source-mask destination destination-mask}[operator operand][established][log]

Protocol—用来指定协议类型,如IP、TCP、UDP、ICMP以及IGRP等

Source and destination—源和目的,分别用来标示源地址及目的地址

Source-mask and destination-mask—源和目的的通配符掩码

Operator operand—It,gt,eq,neq(分别是小于、大于、等于、不等于)和一个端口号

Established—如果数据包使用一个已建连接(例如,具有ACK位组),就允许TCP信息通过。

3 结论

通过对在交换机或路由器上配置ACL。再配合防火墙用,会使网络安全达到事半功倍的效果。虽然ACL是提高网络安全性的有效手段。但是许多用户并没有充分地利用ACL。因为正确管理和维护CL比较困难.所以要将ACL交给专门工程师去处理。并将ACL的每一条规则详细,对任何配置的ACL和每一条规则的改变做日志.以备日后追踪分析的要求。

参考文献

[l]Catherine Paquet,Diane Teare.Building Scalable Ciseo Intemetworks[M].北京:人民邮电出版社,2003.

[2]AⅡaIl L ka.The Practice of Network Security[M].北京:机械工业出版社.

上一篇:《世界音乐》公选课程下一篇:艺术角度