配置访问

2024-09-17

配置访问（共4篇）

配置访问篇1

在数字化时代,随着数据量的日益增长,对各种技术的运用持续扩张。如今网络中充斥着大量的数据。如果没有任何适当的安全机制,则任何网络均可以完全访问其他网络,而已授权和未授权之间便没有区别了。

控制网络访问所需的基本步骤之一是控制网络中的数据流。实现该能力有很多方式,其中之一便是使用访问控制列表(通常称作ACL,access control list)。本文着重讨论两种常见ACL类型的配置和实现。

1 ACL的应用

运用ACL的方式有很多,常见的一些ACL应用包括:

1)过滤从毗邻邻居接收或向毗邻邻居发送的路由选择信息。

2)控制交互访问,阻止对网络设备的未授权访问——例如控制台、Telnet或SSH访问。

3)控制传输流量和流经设备的网络访问。

4)通过限制访问路由器上的服务来保护路由器,如超文本传输协议(HTTP)、简单网络管理协议(SNMP)和网络时间协议(NTP)。

5)定义按需拨号路由选择(DDR)所需的流量。

6)定义IPsec虚拟专用网(VPN)加密时所需的流量。

7)IOS服务质量(Qo S)特性中的一些应用。

8)在安全技术中的广泛应用(如TCP拦截和IOS防火墙)。

可使用ACL为访问或穿越网络的所有流量提供一个基本的安全等级。如果没有配置ACL,则流经路由器的所有分组均将允许进入网络的各个部分。

2 配置ACL

ACL实质上是一个包含允许或拒绝语句的列表,这些语句控制网络访问以实现安全策略。有时也将ACL的应用称为过滤,因为ACL是通过允许或拒绝网络访问来管制流量的。ACL是端到端安全解决方案中不可分割的一部分[1]。

配置ACL分为两个步骤:1)创建ACL;2)将ACL应用到接口。

2.1 创建ACL

配置ACL的第一步是在每个接口上针对各个需要过滤的协议创建一个ACL。对于某些协议,可能需要创建一个过滤入站流量的ACL,还需要创建一个过滤出站流量的ACL。一个设备可配置多个ACL,可以给ACL分配一个唯一的名称或编号并定义过滤标准,以指定需要过滤的协议。ACL中所有独立的过滤规则都是ACL的一部分,称为访问控制条目(ACE,access control entry)。一个ACL可包含多个ACE[2]。

表1和表2列出了可通过基于名称或编号的ACL定义的协议。表2还列出了针对各个协议的有效的ACL编号范围。

ACL的类型很多,本文主要讨论标准ACL和扩展的ACL的配置和实现。1)标准ACL是最基本的ACL类型之一,该类型的ACL通过将IP分组源地址与配置在ACL中的地址进行比较来检测分组。标准ACL只能用于允许或拒绝具有某特定源IP地址的分组[3]。定义一个基于编号的标准ACL的命令语法为:access-listaccess-list-number{deny|permit}source[source-wildcard][log]。

2)扩展的ACL用于过滤那些基于源地址、目的地址和特定协议、端口以及标记的更为具体的流量。针对不同协议的扩展的ACL的命令语法如下:

定义一个扩展的IP ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}protocol source source-wildcard destination destination-wildcard[precedence precedence][tos tos][log|log-input][time-range time-range-name][fragments]

定义一个扩展的TCP ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}tcp source source-wildcard[operator[port]]destination destinationwildcard[operator[port]][established][precedence precedence][tos tos][log|log-input][time-range time-rangename][fragments]

定义一个扩展的用户数据报协议(UDP)ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}udp source source-wildcard[operator[port]]destination destinationwildcard[operator[port]][precedence precedence][tos tos][log|log-input][time-range time-range-name][fragments]

定义一个扩展的Internet控制消息协议(ICMP)ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}icmp source source-wildcard destination destination-wildcard[icmp-type[icmp-code]|icmp-message][precedence precedence][tos tos][log|log-input][time-range time-range-name][fragments]

定义一个扩展的Internet群组管理协议(IGMP)ACL:access-list access-list-number[dynamic dynamic-name[timeout minutes]]{deny|permit}igmp source source-wildcard destination destination-wildcard[igmptype][precedence precedence][tos tos][log|log-input][time-range timerange-name][fragments]

2.2 将ACL应用于接口

配置ACL的第二步是将ACL应用到接口。虽然定义ACL时无需将其应用到接口,但如果不将ACL应用到设备接口,ACL是不会生效的。ACL可应用于网络中的各种接口和设备,但在确定将其应用在哪之前必须先考虑一些复杂的因素。以图1为例,假设需要阻塞来自路由器A的流量从源主机A流入目的主机B。当确定在哪应用ACL时,应考虑如下因素[4]:

1)当使用一个标准ACL时,应对最接近目的路由器C的传输流量应用ACL过滤。由于标准的ACL只根据源地址来过滤分组,因此将丢弃靠近路由器A入口处的分组。而完全阻塞主机A所有流量将存在一个潜在的危机,即有可能阻塞去往主机C和主机D的流量。因此,在路由器C上应用ACL比在路由器A或B上应用ACL更为合适。

2)当使用一个扩展的ACL时,在最接近源路由器A的入口处应用ACL。由于扩展的ACL是根据源/目的IP地址和源/目的端口等来过滤分组的,与标准ACL相比具有更细的粒度。因此,将丢弃接近网络入口处的分组。尽管丢弃接近目的地的分组也能实现相同的结果,但这些分组穿越整个网络,占用了资源,最终却在目的路由器C被丢弃,这是一种资源浪费。因此,最好丢弃接近源(入口)的分组,即在路由器A上应用ACL,而不是路由器B或路由器C。

图2给出了依靠入站和出站ACL处理分组的逻辑流程图[5]。

3 实施ACL应注意的事项

实施ACL时应注意的事项包括:

1)ACL可应用于一台设备的多个接口。

2)每种协议在每个接口的一个方向上只允许有一个ACL。也就是每个接口只能有两个ACL,即一个入站ACL和一个出站ACL。

3)ACL是自上而下执行的。应当仔细规划访问列表条目(ACE)顺序。较为具体的条目应当放在前面。

4)当进入ACL时,路由器将访问控制条目(ACE)载入底部。较新的IOS版本具有排序功能,能够将ACE条目插入到当前条目之间。

5)具有对不允许流量的“隐式拒绝”。只包含一条拒绝语句的单条目ACL将拒绝所有流量。因此一个ACL必须至少包含一条允许语句,否则将阻塞所有流量。

6)应始终先创建一个ACL,再将其应用到接口。当修改或编辑ACL时,应始终先从接口移除ACL后,再做更变,然后再在接口重新应用此ACL。

7)应用在路由器接口上的出站(出口)ACL只检查流经路由器的流量——即穿越路由器的流量,而非源于路由器的流量。

4 ACL配置实例

4.1 实例一

此例使用标准ACL阻塞了来自于源10.1.1.0/24之外的所有流量。注意在这个例子中,一个允许语句后跟随着阻塞所有流量的隐式拒绝。

步骤1:定义一个标准ACL

Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255

步骤2:将该ACL应用到一个接口

Router(config)#interface Serial0

Router(config-if)#ip access-group 1 in

4.2 实例二

此例允许简单邮件传输协议(SMTP)流量到达主机172.16.1.1,以及源于所有主机的域名系统(DNS)流量和ICMP回送以及回送应答分组。

步骤1:定义一个扩展的ACL

步骤2:将该ACL应用到一个接口

5 结束语

该文从网络流量控制的角度讨论了两种类型的ACL配置方法,以及在使用不同类型的ACL时应当考虑的问题。这些方法可应用在路由器和交换机上,也可应用在一个网络两部分之间的设备上,从而控制网络流量进入或流出网络的某些特定部分。也可以用于过滤设备上的入站流量或出站流量,或两者均过滤。应该根据不同协议和不同的源/目的/端口来定义ACL,以实现对各种流量类型更细粒度的控制。

摘要：介绍了使用访问控制列表控制网络流量的原理,着重讨论了两种访问控制列表类型的配置方法,并针对这两种类型的访问列表举例说明了其在实际中的配置和应用,以及在应用中需要考虑的事项。

关键词：访问控制,ACL,流量过滤,网络安全

参考文献

[1]Malik.网络安全原理与实践[M].王宝生,朱培栋,白建军,译.北京:人民邮电出版社,2008.

[2]石硕.交换机/路由器及其配置[M].2版.北京:电子工业出版社,2007.

[3]刘军,王彩萍.ACL在IP网络中的应用[C].计算机与数学工程,2009,1,(37):178-181.

[4]Ranga.R.Vatsavai,Sharma Chakravarthy,Mukesh Mohania.Access Control Inference And Feedback For Policy Managers:A Fine-Grained Analysis[C].IEEE International Workshop on Policies for Distributed Systems and Networks.London,2006.

[5]Nagaraj S.V.Access Control in Distributed Object Systems:Problems With Access Control Lists[C].IEEE International Workshops onEnabling Technologies,Massachusetts,2001.

配置访问篇2

配置实例：禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段。

access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established Cisco 模拟器定义ACL101，容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机，前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。

设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的，由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接，因此病毒无法顺利传播，

检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机，如果可以PING通的话再用172.16.3.0那台计算机PING172.16.4.0的服务器，PING不通则说明ACL配置成功。

基于端口访问WLAN的安全配置篇3

数据泄露:对不安全的无线通信进行窃听攻击可造成机密数据泄露、用户凭据被发现,甚至导致身份盗窃。经验丰富的攻击者可使用通过窃听收集的信息来发动对可能不容易受到攻击的系统的攻击。

1、数据截取和修改

能够访问网络资源的攻击者也能够将恶意系统插入在两个合法系统之间中途截取和修改数据的网络。

2、欺骗方式进行访问

访问内部网络使攻击者有机会伪造数据。这类攻击可以使用欺骗性电子邮件,较发来自外部来源的通信,当然内部用户更愿意信任这些邮件,为社会工程攻击和特洛伊木马插入提供了平台。

3、拒绝服务(Do S)

WLAN都容易受到Do S有意或无意的攻击。这些损害可能只是由像微波炉或某个设备一样简单的物体造成的,从而使网络塞满不加选择的通信。

4、自由加载

某些入侵者的目的可能只是为了能够自由访问因特网。虽然这种行为不是直接恶意行为或损害,但可能造成合法用户的网络连接速度更慢或者非托管媒介受到恶意软件的攻击。

5、恶意访问点攻击

即使企业没有无线网络,仍很容易受到来自非托管无线网络的安全威胁。无线硬件的价格相对便宜,因此任何员工都有可能在环境内部建立非托管和不受保护的网络。

二、WLAN端口访问机制

802.1x协议又称为基于端口的访问控制协议,可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。802.1x协议仅仅关注端口的打开与关闭,对于合法用户接入时,打开端口;对于非法用户接入或没有用户接入时,则端口处于关闭状态。

1、802.1x协议体系结构原理

IEEE 802.1x协议的体系结构主要包括三部分实体:客户端系统Supplicant System、认证系统Authenticator System、认证服务器系统Authentication Server System。

(1)设置客户端:一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

(2)设置认证系统:认证系统一般是支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口有两个逻辑端口:受控(Controlled Port)端口和非受控端口(Uncontrolled Port)。第一个逻辑接入点(非受控端口),允许验证者和LAN上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何。非受控端口始终处于双向连通状态(开放状态),主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证;第二个逻辑接入点(受控端口),允许经验证的LAN用户和验证者之间交换数据。受控端口平时处于关闭状态,只有在客户端认证通过时才打开,用于传递数据和提供服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用程序。如果用户未通过认证,则受控端口处于未认证(关闭)状态,则用户无法访问认证系统提供的服务。

(3)设置认证服务器:认证服务器通常为RADIUS(Remote Authentication Dial In User Service)服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续数据流就将接受上述参数的监管。

2、设置802.1x认证协议

IEEE 802.1x使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理和记账。

(1)802.1x身份验证可以增强安全性。IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。作为RADIUS客户端配置的无线接入点将连接请求和记账邮件发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥,减少了非法用户访问的可能性。

(2)IEEE 802.1x为可扩展的身份验证协议EAP安全类型提供的支持使您能够使用诸如智能卡、证书以及Message Digest5(MD5)算法这样的身份验证方法。扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信的协议。利用802.1x,EAP可以用来在申请者和身份验证服务器之间传递验证信息。这意味着EAP消息需要通过LAN介质直接进行封装。认证者负责在申请者和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨入用户服务(RADIUS)服务器。

(3)另外,可设置产品提供SSID、IEEE802.1X、MAC地址绑定、WEP、WPA、TKIP、AES等安全机制,加强其安全性。

三、合理布置硬件及安全意识的提高

合理布置无线AP及工作站的位置,同样对网络安全性十分重要。例如,应将AP置于接近建筑物中心的地方,远离外向墙壁或窗户。这样不仅可使所有办公室能够更好地接入WLAN,而且还可减少来自外界的干扰,而且还应灵活地减少接入点广播强度,仅覆盖所需区域,减少被窃听的机会。

保障数据安全,网络技术主管需要采用最高安全保护措施,从最基本的安全制度到最新的访问控制、数据加密协议,采用的安全措施越多,其网络相对就越安全。当然,只靠软硬件的设置,远远不能保障数据的安全,最为重要的是提高用户的安全意识,并对各级网络用户负责其安全性,让所有网络用户都是“安全代理”。另外要帮助用户了解不采取安全保护的危险性,培训用户如何检查其电脑上的安全机制,并按需要激活这些机制,这样可以大幅度提高其网络的安全性。

总之,WLAN安全是一个复杂的工程,在防范中,应积极定期检查各级网络上的欺骗性或未知接入点。定期修改接入点上的缺省管理密码和SSID,并实施动态密钥(802.1x)或定期配置密钥更新,这样可以最大限度地减少非法用户接入网络的可能性。

参考文献

[1]王祥仲郑少京.局域网组建与维护实用教程[M].清华大学出版社.2007-7-1.

[2]陈明.网络安全教程[M].清华大学出版社2004-4-1.

[3]王钧民,邢丽.网络服务器配置与管理项目教程[M].电子工业出版社.2009年06月.

[4]http://it.china-b.com[EB/OL].

[5]马建峰.无线局域网的安全体系结构[M].高等教育出版社2008年5月.

[6]郭峰,曾兴雯等.无线局域网[M].电子工业出版社.1997.