ACL技术论文

2024-06-05

ACL技术论文（精选7篇）

ACL技术论文篇1

1 引言

随着计算机技术和网络技术的迅猛发展,以太网技术不断成熟和广泛应用,同时也给人们带来了更多的挑战。网络数据的安全性以及如何有效的管理好校园网成了摆在网络管理员面前的一个难题。该文主要介绍在以太网技术为主的校园网管理中如何利用ACL技术来降低对校园网中存在的安全隐患。

2 ACL技术概述

ACL的全称为访问控制列表(Access Control Lists),是Cisco IOS所提供的一种访问控制技术。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL可以实现网络流量限制,提高网络性能。ACL还提供网络访问的基本安全级别。

3 ACL在校园网中的应用

校园网通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇病毒攻击的风险。网络管理员常使用A-CL来禁止数据传输或仅允许指定的数据传输。然而这仅仅是访问控制列表的基本使用方法,其实还有一些许多管理员并不经常使用的方法。

3.1 利用ACL技术实现流量控制

虽然现在网络技术和网络设备有了很大的改进,校园网带宽拓展了很多,但很多学校的带宽仍然有时不够用。利用流量控制工具软件对校园网进行一下分析我们会发现其大部分出口带宽被下载软件所占用。下面我们就以现在比较流行的下载工具BT和电驴为例,分析一下如何利用ACL技术来控制校园网的出口流量。一般情况下,BT软件使用的是6880-6890端口,而电驴使用的是TCP的4662端口和UDP的4772端口,我们只要封锁这些端口就可以达到母的。具体配置如下:

3.2 利用ACL技术实现上网时间控制

利用ACL可以对用户限定上网的时间。比如为防止学生上网成瘾而逃课,可以限定在周一至周五上课时间(8:00-18:00)不能访问外网,其他时间可以开放。具体设置如下:

以上我们就限定了从2008年10月1日到2009年10月1日止,每周一到周五的早8点到18点不能访问Internet。同样,我们也可控制教职工对外网的访问,例如我们希望限制工作人员在工作时间内使用QQ或者联众游戏,那么我们可以在路由器上使用时间控制的ACL来达到目的。

3.3 利用ACL技术实现网络设备的管理

网络交换设备作为校园网的核心部分,它维护着整个校园网的有效运行,只有对网络设备进行一个有效的管理,才能为校园提供一个安全、稳定的网络环境。例如,我们可以限定只有网络管理员(192.168.0.1)才允许登录并配置路由器。我们可以利用ACL技术进行如下的配置:

4 总结与展望

ACL技术和校园网管理相结合是一项很有前景的技术,它解决了网络管理上的很多难题,使得校园网有了一个更安全、更稳定的运行环境。但是由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要对校园网有一个更完善的管理于防护,还需要和系统级及应用级的访问权限控制以及防火墙、入侵检测、内网安全系统等一些网络安全技术相结合。如何使ACL技术和这些网络安全技术有机地结合起来,完善网络管理还有待进一步的研究。

摘要：该文首先简单介绍了ACL的基本原理,重点介绍ACL技术在校园网管理中的作用,并给出了一些简单的配置实例,最后对ACL技术的发展展开展望。

关键词：访问权限控制列表,校园网,网络安全

参考文献

[1]Michael Wenstrom.管理Cisco网络安全[M].北京:人民邮电出版社,2002.

[2]张保通.网络互连技术——路由、交换与远程访问[M].北京:中国水利水电出版社,2004.

[3]魏大新,李育龙.Cisco网络技术教程[M].北京:电子工业出版社,2004.

[4]蒋熹.使用ACL在校园网内实现流量控制与安全访问[J].中国科技信息,2007,(3):130-131.

ACL技术在校园网中的应用篇2

1 ACL概述

ACL的全称为访问控制列表(Access Control Lists),由多条访问表项构成,是一个有序的语句集。一般的访问表有两种:标准访问表和扩展访问表。标准访问列表只能对IP报文中的源地址进行检查,对匹配的数据包允许或者拒绝通过路由器或者交换机的出口。扩展访问控制列表在包过滤方面更具有灵活性和可扩充性,除了检查数据包的源地址,目的地址之外,还可以根据数据包的特定协议类型、源端口和目的端口等进行过滤,从而达到访问控制的目的。

2 ACL工作过程

当一个数据包由接口进入路由器或交换机时,路由器或交换机会检查数据包。如果一个数据包的报头跟控制列表中的第一个判断语句匹配,那么后面的语句就都被忽略掉,不再进行比较,直接按第一个判断语句对数据包进行处理(通过或则丢弃),否则交给下一个判断语句进行比较,直到匹配成功,如果所有的判断语句都比较完毕,仍然没有匹配的语句,则将该数据包丢弃。

3 ACL在校园网中的应用

3.1 过滤病毒

计算机病毒能够破坏网络设备、破坏计算机系统软件和文件系统,木马程序会导致信息泄漏,蠕虫类病毒则会导致网络运行效率下降甚至瘫痪。所以说影响校园网络安全的主要因素是病毒,除了应该配置防火墙和对计算机安装杀毒软件外,我们还可以通过配置ACL列表来关闭一些常见病毒程序端口,达到保护网络安全的目的。例如针对冲击波病毒,我们知道冲击波病毒常用的端口69、135,138、445、593、4444等,所以在路由器上建立ACL,封锁病毒传播、扫描、攻击所利用的端口,禁止与这些目的端口匹配的数据包通过路由器,把病毒阻止在设备之外。具体配置如下:

3.2 对服务器进行控制

服务器是校园网的重要设施,是与外界沟通的桥梁,比如主页服务器,是宣传学校的窗口,同时也是恶意攻击的首选目标,特别是来自校园内部,学生是Internet环境中比较活跃的群体,他们求知欲强,好奇心更强,喜欢在网上进行一些尝试,有的没什么目的只是为了满足一时的好奇心和表现欲,所以我们除了在服务器本身做好安全措施外,还可以在路由器或交换机上建立ACL,只放开与服务器对应的一些端口,其余都关闭,例如WWW服务器只开放80端口、DNS服务器只开放53端口、Email服务器开放80、25、110端口,这样一些数据包在没到达服务器之前,已经被路由器或交换机过滤掉。具体配置如下:

3.3 流量控制

校园网用户利用BT等工具下载电影,占用了大量的网络带宽,影响了校园网的正常使用。BT是一种P2P的应用。客户端本身就是一个服务器,可以采取一定的措施,限制校园外的用户对校园网内的BT用户发起主动连接,从而限制出流量,进而达到限制双向BT流量的目的。具体配置如下:

以上控制列表的含义:只允许校园网内的主机主动与校园网外的主机建立TCP连接进行下载,不允许校园网外的主机对校园内的主机主动发起连接。

3.4 上网时间的控制

学生的自觉性与自我约束的能力比较差,经常上网忘了时间,使生活变得毫无规律,严重影响了正常的学习,为了防止学生熬夜上网,可以利用ACL限定上网的时间,比如限定在一学期的周一至周五晚24:00—早8:00不能访问外网,周末和放假期间可以放开,具体配置如下:

以上我们就限定从2010年9月1日到12月31日,每周一到周五的晚24点到早8点学生不能访问外网。同样我们也可以限制机房和教职工的上网时间,例如可以限制学生在机房上课的时候使用QQ、MSN等聊天软件,都可以使用时间控制的ACL达到目的。

4 结束语

文章通过在路由器或交换机上建立ACL,列举了ACL在校园网控制方面的几个具体应用,在一定程度上提高了校园网的安全性。ACL的核心是一种流量分类技术,可以和其他技术配合应用在不同的场合。结合校园网的实际情况,在网络中合理的使用ACL技术进行访问权限的控制,网络性能将得到很大提升。

摘要：文章简单介绍了ACL的基本概念和原理,重点阐述了ACL技术在校园网中的应用。

关键词：ACL,校园网,网络安全

参考文献

[1]Cisco Systems公司.思科网络技术学院教程[M].北京:人民邮电出版社,2004.

[2]钟乐海.网络安全技术[M].北京:电子工业出版社,2007.

[3]诸晔.用ACL实现系统的安全访问控制[J].计算机应用与软件,2005,22(3):111-114.

ACL技术论文篇3

1 访问控制列表 (ACL) 技术

访问控制列表 (Access Control, ACL) 是Cisco IOS提供的一种访问控制技术, 被广泛应用于路由器和三层交换机, 部分最新的二层交换机也开始提供ACL技术支持, ACL可以有效的控制用户对网络和Internet的访问, 最大限度地保证网络安全。

2 访问控制列表技术原理及分类

2.1 访问控制列表技术原理

访问控制列表技术是基于定义好的控制规则, 使用包过滤技术, 在路由器上读取第三层及第四层包头中的信息, 如源地址、目的地址、源端口、目的端口等, 根据预先定义好的规则对包进行过滤, 从而实现控制技术网络中的访问控制、安全控制和流量控制, 从而达到访问控制的目的, 如图1所示。

根据访问控制列表工作原理分析, 网络中的数据包由网络接口进入路由设备, 首先查看该数据包是否可以进行路由, 如果可以进行路由, 路由设备将进行检查这个端口是否有ACL控制进入数据报, 如果有, 根据ACL中的条件指令, 检查该数据包是否是被允许的, 通过查询路由表, 将数据转发到目标端口;其次路由设备查看目标端口是否存在ACL控制流出的数据报, 如果存在, 这个数据报将直接发送到端口, 如果不存在, 路由设备将根据此条ACL选择丢弃该数据包, 如图2所示。

2.2 访问控制列表分类

访问控制列表是实现对通过路由设备的数据包根据一定的规则进行过滤, 从而实现提高网络可管理性和安全性。按照命名规则一般可以分为三类:标准访问控制列表、扩展访问控制列表以及命名访问控制列表。标准访问控制列表通过检查源地址, 查看允许或者拒绝整个协议簇, 功能有限;扩展访问控制列表通过检查源地址和目标地址, 查看允许或者拒绝特定的协议, 为了更加精确的数据过滤, 扩展访问控制列表将对源地址和目标地址以及TCP或者UDP端口号进行查看过滤, 开可以指定扩展ACL针对特定的协议进行操作;所谓命名访问控制列表是以列表名代替编号来定义IP访问控制列表, 同样也包括标准和扩展两种列表, 定义过滤的语句与编号方式相似。

3 ACL技术在高校校园网中的应用

现以某高校校园网为例, 分析访问控制列表在校园网中的具体应用, 网络需求为学生区客户端不能访问教师区, 教师区域可以访问学生区, 控制每天早8:00到晚22:00的学生区访问Web服务, 控制学生区下载流量。网络区域划分为:教师工作区192.168.10.0/24;学生生活区192.168.20.0/24。

3.1 利用访问控制列表控制数据访问流向

校园网中, 教师工作区为教师开展教学活动提供了网络资源, 便于教师利用互联网查询资料、共享资源, 教师工作区网络具备教务管理、办公OA等教师办公管理系统, 这些网络服务是教师教学办公的信息化服务, 教师工作区的网络服务以及数据资源对学生通常是保密的, 因此在网络安全规划时, 确保学生区主机不能访问教师工作区的网络, 为方便教师能够及时有效地了解学生动态, 教师工作区网络可以正常访问学生区主机。因此, 可采用访问控制列表对数据访问流向进行控制。

在配置ACL时, 考虑到使用标准访问控制列表, 禁止学生区数据访问教师工作区的同时也禁止了教师区数据访问学生区, 而采用扩展访问控制列表将有有效的控制数据流向, 其中ACL配置的第一条语句的作用就是只允许学生区向教师区回复数据通过, 而不允许学生区访问教师区的数据通过, 有效的控制数据访问流向, 保证了教师区数据的安全。

3.2 利用访问控制列表控制学生区上网时间

借助基于时间的访问控制列表, 可以有效控制某个用户或者某个网络在特定时间段的数据访问权。遵循高校对学生管理的要求, 保证学生正常上课时间有充沛的精力, 避免学生彻夜沉浸在网络中, 网络管理人员通过使用基于时间的访问控制列表, 对学生区域的网络进行有条件的控制, 每天早8点至晚上22点, 保证学生查阅资料浏览网页, 其余时间不能访问外网, 从而有效的控制学生上网时间, 保证充沛的时间进行课堂学习。

基本步骤如下, 首先, 定义要在ACL中使用的时间范围, 并给其指定一个名称;其次, 建立ACL, 并在ACL中使用时间范围;最后, 将ACL应用于接口。

3.3 利用访问控制列表实现流量控制

在高校校园网中, 为了解决网络数量流量控制一般有两种途径, 一是扩大现有带宽, 实现网络用户共享高速宽带网络带来的便捷;二是保持现有带宽, 使用网络设备对网络进行有效的管理和速率限制, 实现关键部门的网络能够高速传输数据。通过对多个高校调研, 目前高校采用光纤接入, 带宽一般都是千兆高速网, 在现有带宽条件下, 合理使用网络设备进行流量控制, 既不用改变现有网络结构, 增加额外建设成本, 又可以满足负载平衡, 保证网络畅通。通过对校园网数据分析 (如图3所示) , 网络数据以迅雷、BT、HTTP等为主要影响网络速度的因素, 并且以学生区网络用户为主, 因此, 合理控制学生区网络服务, 可以有效的控制网络流量。通过对BT、迅雷等常用网络下载工具端口测试, BT软件常用端口为6881-6890, 迅雷常用端口为3076-3078, 因此, 采用访问控制列表, 实现对这些软件流量控制。

4 结语

本文研究访问控制列表基本工作原理, 灵活使用访问控制列表技术实现校园网中数据流控和访问限制, 由于它的配置简单易行且不用增加硬件设备, 与防火墙配合使用不但提升网络的安全性能, 而且还可减轻网络防火墙的负担。因此, 随着访问控制列表技术的进一步研究和发展, 其在网络安全中将发挥越来越大作用。

参考文献

[1]覃德泽.基于ACL的校园网安全技术[J].网络安全技术与应用, 2013 (3) .

[2]郑志凌.基于ACL的校园网流量控制与安全访问[J].信息技术应用, 2014 (3) .

[3]高琳.校园网安全之ACL技术[J].价值工程, 2013 (33) .

ACL技术论文篇4

1 资料与方法

1.1 一般资料

选取该院收治前交叉韧带断裂患者36例, 其中, 男22例, 女14例, 年龄16~60岁, 平均年龄32.25岁。36例患者中, 交通意外23例, 运动损伤13例, 36例患者均有膝关节外伤史, 且损伤部位均为前交叉韧带断裂, 左侧21, 右侧15, 其中合并半月板损伤8例。所有患者均有关节肿痛, 走路不稳, 走路疼痛等症状, 病程在1周~3.5年。所有患者手术前皆进行MRI检查, 结果显示为前交叉韧带断裂合并或不合并半月板损伤, 未见后交叉韧带断裂征像。Lysholm评分平均33~71分 (53±5.16) , 轴移试验, 前抽屉试验、Lachman试验均呈阳性。

1.2 方法

采取连续硬膜外麻醉或腰麻, 仰卧位, 大腿近段常规止血带。常规膝前内外侧入路进行检查以确定前交叉韧带的断裂位置。对膑上囊, 关节软骨, 半月板等部位是否有尿酸盐结晶沉积进行检查, 同时检查有无伴随性损伤。检查发现, 26例患者存在股骨止点断裂, 体部断裂10例, 合并半月板损伤8例。对滑膜, 软骨和半月板损伤, 清理髁问窝内滑膜, 清理韧带残端组织, 让髁问窝外侧壁及后缘充分显露出来, 重新建立断裂的前交叉韧带。36患者的重建肌腱直径进行检测发现, 17例患者7 mm左右, 4例患者6 mm左右, 16例患者8 mm左右。定位点为ACL胫骨止点残迹处, 胫骨定位器作为向导钻入定为针, 以最小号胫骨钻钻空进行逐渐扩大, 直到移植肌腱直径大小。用ACL股骨定位器度股骨外科髁内侧面进行定位。以定位器作导向钻入克氏针, 隧道深度达3 cm。放置重建肌腱及固定股骨端:由前内侧入路置入把胫骨隧道定位器植入, 选择合适的空心钻 (与移植物适配) 沿着定位器针的方向钻取建立胫骨隧道, 让股骨隧道定位于左膝1点位, 右膝11点位。隧道中心点位于内、外侧髁间棘连线同外侧半月板后角延长线的交叉点。实用股骨定位器通过胫骨隧道打入导针, 关节镜监视下屈膝90°角, 使得4股肌腱分开。中央插入螺钉鞘试模制作螺钉鞘通道, 遂将螺钉鞘插入, 然后把锥度螺钉拧入, 并把外露的肌腱切除。安装完毕韧带后, 对可修复的半月板进行缝合, 采取关节镜技术对半月板在红区及交界区的桶柄状撕裂及纵裂进行探查, 并进行半月板修复。其中, 采取Rapidloc对体部、后角进行修复, 而用可吸收缝线方法对前角进行修复。最后对胫骨段进行固定。肌腱收紧, 用Rigidfix固定股骨端, Intrafix固定胫骨端, 若用Endobutton对股骨端进行固定则可以吸收挤压钉法对胫骨端进行固定。随后, 关节镜再次探查重建韧带的位置。对修复或修整的半月板情况进行确定。

1.3 手术配合

术前详细了解患者疾病经过和临床情况, 稳定术前心理状态, 减轻患者焦虑和恐惧。指导患者行体位的适应性训练, 必要时可以向患者展示该院性关节镜手术刀图片, 并对微创手术的优点进行适宜介绍。缓解患者紧张的心态, 使其以积极的心态应对手术。术前行空气净化, 备好关节镜摄像系统, 前交叉韧带重建手术器械, 确认手术用仪器消毒合格。患者配合麻醉师行腰硬联合麻醉。健肢平行外展进行固定, 患肢置于支架上, 术中密切观察患者的生命体征, 输液是否通畅, 有无不适或其它异常情况等。植入人工韧带并进行固定, 然后检查移植韧带情况, 对关节腔进行反复冲洗然后关闭切口。关节腔内注入0.5 m L吗啡和5 m L布比卡因混合液和玻璃酸钠。引流管连接好负压球, 用弹力绷带加压包扎好后松止血带[2]。

1.4 术后处理

术后第2天行股四头肌及小腿三头肌等长收缩断裂, 术后24~48 h引流, 穿用抗血栓弹力袜。行半月板修复者术后石膏固定6周, 6周后开始功能康复训练6周后开始增大屈曲角度[3]。患者2周内0~45°角。功能锻炼, 6周内0~90°角。3个月后患者可以开始患肢负重训练。手术后第6周和3、6、12个月及2年进行定期复查。

1.5 统计方法

所有数据均采用SPSS 18.0软件进行分析, 计量资料以均数±标准差 (x±s) 表示, 手术前后Lysholm评分比较采用t检验。

2 结果

36例患者手术切口均一期愈合。术后早期即行股四头肌、踝泵, 胴绳肌肌力等练习, 4周后患者均可被动屈膝90°;术后12~14周, 患者膝关节活动范围均恢复到对侧水平。术后随访6~24个月 (平均15个月) 疗效评定ACL损伤评估采用前抽屉试验及Lachman试验;用Lysholm评分对膝关节功能进行评价。Lysholm膝关节功能评分术前31~72分 (54±3.63) , 术后6个月为 (72.9±7.7分, 术后12个月为 (86.8±8.3) 分, 术前与术后比较差异有统计学意义 (P<0.01) 。术后所有患者无感染, 无韧带自发断裂、松动等并发症发生。

3 讨论

膝关节交叉韧带位于膝关节之中, 有前后两条, 交叉如十字, 常称十字韧带。前交叉韧带起于股骨髁间窝的外后部, 向前内止于胫骨髁间隆突的前部, 能限制胫骨前移位。后交叉韧带起于股骨髁间窝的内前部, 向后外止于胫骨髁间隆突的后部, 能限制胫骨向后移位。因此, 交叉韧带对稳定膝关节有重要作用。交叉韧带位置深在, 非强大暴力不易引起损伤或断裂。交叉韧带损伤, 常是膝关节复合损伤的一部分。一般单纯的膝交叉韧带损伤少见, 多伴有侧副韧带及半月板的损伤。暴力撞击小腿上端后方是, 胫骨向前方移位, 会造成前交叉韧带损伤。相反, 若暴力撞击小腿上方前方, 则胫骨后移, 造成后交叉韧带损伤。研究表明, 早期重建损伤韧带可以避免继发性损伤[4]。随着材料的研究深入, 实验证明, 同种异体材料的使用也可以达到字体移植材料的哦临床效果[5]。但因为异体材料可能会发生排斥作用, 加大感染性疾病的风险, 应用仍然有一定限制[6]。而人工韧带的效果则和自体材料很相似, 客服了并发症发生的几率, 所以得到广泛应用[7,8]。现在关于韧带的不同重建方式和固定模式也在广泛研究中[9], 但临床效果和广泛应用仍然需要时间来验证。

摘要：目的探讨及分析关节镜在膝关节前交叉韧带断裂韧带重建中的应用。方法前交叉韧带断裂36例患者行关节镜下膝关节人工韧带重建术, 结果前交叉韧带断裂术均顺利进行, 术后早期进行功能锻炼, 处理相关并发症, 并对其术前、术后6个月、术后12个月的稳定性进行分析。结果术后36例患者随访时间6～24个月, 术前前抽屉试验结果为阳性, Lachman试验结果为阳性。术后均阴性。lysholm评分术前31～72分 (54±3.63) , 术后6个月为 (72.9±7.7) 分, 术后12个月为 (86.8±8.3) 分, 术前与术后比较差异有统计学意义 (P<0.01) 。结论关节镜下重建前交叉韧带是一种创伤小, 用时短, 疗效确切的治疗方式, 人工韧带重建ACL早期效果满意;手术中应尽量保留较长的韧带残端和使用准确的等长重建方法。

关键词：关节镜,ACL,人工韧带,重建

参考文献

[1]颜献群.膝关节镜下前交叉韧带重建的手术配合[J].实用中西医结合临床, 2008, 8 (1) :94-96.

[2]HarrisJD, CavoM, BrophyR, et a1.Biologicalknee reconstruction:asystematic review of combined meniscal allograft transplantation andcartilage repair or restoration[J].Arthroscopy, 2011, 27 (3) :409-418.

[3]颜瑞健, 张晓文, 马苟平, 等.关节镜辅助下切开复位内固定治疗踝关节骨折的临床观察[J].中国骨伤, 2011, 24 (9) :714-718.

[4]王俊良, 刘玉杰, 李众利, 等.关节镜监视下踝关节植骨融合术的疗效分析[J].中国骨伤, 2011, 24 (9) :719-722.

[5]徐友高, 李百川, 胡居正, 等.关节镜下人工韧带移植重建膝前后叉韧带[J].实用骨科杂志, 2009, 15 (10}756-759.

[6]郑小飞, 黄华杨, 张余, 等.关节镜下重建前交叉韧带移植物的选择与疗效比较[J].中国骨与关节损伤杂志, 2009, 24 (7) 592-594.

[7]黄崇博, 向孝兵, 丁清和, 等.关节镜辅助下空心钉疗前交叉韧带下止点撕脱骨折的效果观察[J].国际医药卫生导报, 2011, 17 (24) :1977-1979.

[8]寿志强, 孙俊英, 管国华, 等.关节镜下4股半腱肌肌腱重建前交叉韧带疗效观察[J].临床骨科杂志, 201l, 14 (3) :271-273.

ACL技术论文篇5

随着互联网的不断扩大, 网络面临的威胁也越来越多。网络安全问题成为网络管理人员最为头疼的问题, 这就是为了业务的发展, 必须允许对网络资源的访问, 同时又必须确保内部网络数据和资源的尽可能安全。网络安全采用的技术很多, 而通过访问控制列表可以对数据进行过滤, 是实现基本的网络安全手段之一, ACL可以通过对网络数据流量的控制, 过滤掉有害的数据包, 从而达到执行安全策略的目的。而自反ACL则更具有配置灵活、精确控制的特点, 使得其成为实现防火墙的重要手段。自反访问列表基于上层会话信息过滤数据包, 它允许起源于内网 (受保护网络) 的数据流通过路由器, 外网 (非信任网络) 响应起源于内网的会话的数据流也可以通过路由器, 但禁止起源于外网的数据通过路由器进入内网, 通过设置基本上达到了防火墙的基本功能。

在保证企业内部网络安全同时, 企业可能会为了提高工作效率, 禁止员工在上班时间如9:00-12:00和13:00-18:00这两个时间段内使用QQ和MSN等, 但可以通过网络来查询相关资料, 而在规定的时间段外是可以使用QQ和MSN等工具的, 此时就要求我们的网络管理员通过设置策略来实现公司的要求, 即凡是从内部网络发起且在规定的时间段内到达QQ和MSN服务的数据流都被拒绝掉, 而其他的数据流则能正常通过, 这样就达到智能去管理网络, 减轻网络管理员的工作量。

(二) 自反ACL的概述与应用分析

自反访问表是CISCO提供给企业网络的一种较强的安全手段, 利用自反访问表可以很好的保护企业内部网络, 免受外部非法用户的攻击。自反访问列表基于上层会话信息过滤数据包, 它允许起源于内网 (受保护网络) 的数据流通过路由器, 外网 (非信任网络) 响应起源于内网的会话的数据流也可以通过路由器, 但禁止起源于外网的数据通过路由器进入内网, 是保护网络安全的重要组成部分, 它可以防范网络黑客, 应对身份欺骗和DOS攻击。

1. 自反ACL的基本的工作原理

(1) 只能由内部网络始发的, 外部网络的响应流量可以进入。

(2) 由外部网络始发的流量如果没有明确的允许, 是禁止进入的。

2. 自反ACL的工作流程

(1) 由内网始发的流量到达配置了自反访问表的路由器, 路由器根据此流量的第三层和第四层信息自动生成一个临时性的访问表, 临时性访问表的创建依据下列原则:

1) protocol不变。

2) source-IP地址, destination-IP地址严格对调。

3) source-port, destination-port严格对调。

4) 对于icmp这样的协议, 会根据类型号进行匹配。

(2) 路由器将此流量传出, 流量到达目标, 然后响应流量从目标返回到配置了自反访问表的路由器。

(3) 路由器对入站的响应流量进行评估, 只有当返回流量的第三、四层信息与先前基于出站流量创建的临时性访问表的第三、四层信息严格匹配时, 路由器才会允许此流量进入内部网络。

3. 自反ACL的基本配置步骤

自反ACL只包含临时的条件语句, 当一个IP会话发起时, 这些临时条件自动建立;当会话结束, 这些临时条件将被路由器删除。自反ACL只使用扩展命名IP访问列表定义, 不能使用代码或标准命名访问列表定义, 基本配置步骤如下:

(1) 定义自反ACL

(2) 安置反射列表

反向ACL需要与命名的扩展列表结合使用, 相当于另一个ACL调用它, 让它在另一个ACL中生成临时条件。

(3) 把这个扩展ACL应用在外部接口

(三) 基于时间ACL的概述与应用分析

可以在路由器上启用基于时间ACL, 使其在特定时间范围内放行或拒绝网络访问。如果数据包在预配置的时间之外到达网络, 它不能阻止相应用户对网络服务的访问, 基于时间的访问表的主要目的是根据一天中的不同时间, 或者根据一星期中的不同天, 或者二者的结合, 来控制对网络资源的访问。基于时间的访问表允许网络管理员对流入网络和流出网络的数据加以控制, 网络管理员对周末或工作日中的不同时间段定义不同的安全策略。另外, 这种基于时间的数据流过滤实现方法使得网络管理员对组织中的策略和过程更具有敏感性。例如, 某些公司可能希望所有的或特殊的雇员在通常的业务时间之后可以使用QQ或MSN等聊天工具, 由于设备是根据系统时钟来判断时间, 因此, 管理员就必须保证系统时钟准确。基于时间ACL基本设计如下:

定义时间范围分为两个步骤。首先, 要使用time-range命令来正确地指定时间范围。然后, 需要使用absolute或者一个或多个periodic语句来定义时间范围。其IOS命令的格式如下:

time-range命令用来将名字与使用一个absolute或者一个或多个periodic语句定义的时间范围联系起来。一旦使用了time-range命令, 并且为该范围指定了名称, 就可以使用absolute或periodic语句定义与名称相关联的时间范围。

absolute语句指定绝对时间范围。absolute关键字之后紧跟着start关键字和end关键字。如果读者希望访问表中相关的permit或deny语句生效, 则start和end之后应紧跟开始和结束时间。用户要注意格式的正确性。如果读者去掉了start或end日期, 则当去掉开始日期时, 与之相联系的permit或deny语句会立即产生作用;而当去掉的是结束日期时, 则与之相联系的permit或deny语句会永远产生作用。这些情形可能都不是我们所希望的。因此, 每一条语句的格式, 以及每一个变量的输入方式都十分重要。

尽管一个时间范围只能有一个absolute语句, 但它可有多个periodic语句。另外, absolute语句只拥有开始和结束时间以及日期等少数几个参数, 而eriodic语句允许使用大量的参数, 其范围可以是一星期中的某一天、几天的结合, 或者使用关键字daily、weekdays和weekend等, 从而使得应用更加灵活。

(四) 自反ACL与基于时间ACL的综合应用设计

根据自反ACL与基于时间ACL的设计原则, 我们在能正常管理网络设备的同时, 通过在路由器上做相应配置来提高公司内网的安全性, 禁止外网不可信任的数据流到达公司内网的主机。与此同时, 为了能让外界更加详细地了解该公司, 故公司发布了一个web服务, 允许外网客户端随时访问公司内部的WEB服务器。此外, 为了提高工作的效率, 公司规定在上班时间 (周一至周五9:00-12:00, 13:00-18:00) 公司员工不能使用QQ和MSN, 但是可以访问Internet查找资料等。文中使用基于时间的ACL和自反ACL, 把定义的时间范围和自反ACL综合应用在一起, 然后在出站的方向上打上反射标记, 在进站时评估反射, 判断流入的数据是否由内部网络发起的, 如果是则允许进入内部网络, 否则丢弃该数据包。这样, 在外网接口上应用安全策略, 既可以使路由器起到基本防火墙功能, 又就能让公司员工在规定的时间范围内不能上QQ但能访问Internet, 而外网可以随时访问公司的WEB服务器, 实现以上功能的主要代码如下:

1. 定义时间范围

2. 定义自反ACL

3. 入站方向评估反射:

4. 在外网接口应用ACL策略:

(五) 结束语

在现在企业网络应用中, 企业内部主机或数据的安全显得尤为重要, 而要达到的这样目的, 关键在于边界路由器等边界设备的安全策略, 通过边界安全系统来保护其安全性。此外, 企业在内部网络安全得到其他保护的同时, 为了提高员工的工作效率, 通常会禁止企业员工在正常上班时间使用QQ与MSN等聊天工具, 而其他时间段内能够正常使用。本文通过在边界路由器上实施自反ACL与基于时间ACL来实现这些要求。先分析了自反ACL与基于时间ACL概念与基本应用, 然后通过两者的联合应用来实现外部非信任网络能正常访问企业对外发布的web服务器, 同时又保护企业内部主机的安全和禁止企业员工在正常上班时间使用QQ及MSN聊天工具。通过以上安全策略的实施基本上能保证企业网络的安全, 同时基于时间ACL策略的实施减轻了企业网络管员在实施策略前需每天手工配置策略的工作量。

摘要：文章主要介绍了自反ACL与基于时间ACL的概念及基本策略的实施, 然后在边界路由器上通过两者的联合应用来设计保护企业内部网络的安全, 实现任何发自内部网络的合法数据流能正常访问Internet, 而外网 (非信任网络) 的数据流只能到达内网中对外发布的web服务器。同时在保证了服务器和内部网络数据安全性后, 对内部员工上网进行控制, 要求在上班时间禁止内部员工使用QQ及MSN。通过在路由器上实施策略基本上可以满足小型企业网络安全需求。

关键词：自反ACL,基于时间ACL,非信任网络,安全

参考文献

[1]梁广民, 王隆杰.思科网络实验室路由、交换实验指南[M].北京:电子工业出版社, 2008.

[2]John F.Roland.安全Cisco IOS网络 (SECUR) [M].张耀疆, 陈克, 译.人民邮电出版社。

[3]李逢天, 张帆, 译.管理CISCO网络安全[M].人民邮电版社.

[4]Wayne Lewis.思科网络技术学院教程CCNA3交换基础与中级路由[M].北京:人民邮电出版社, 2008.

浅析ACL与NAT的执行顺序篇6

访问控制列表 (Access Control List, ACL) 技术是一种简单的静态包过滤防火墙技术, 它能够通过数据包的源地址、目的地址、源端口号、目的端口号、协议类型等一系列的匹配条件对网络中的流量进行识别并过滤, 从而达到对特定流量进行控制以保护内部网络安全的目的。

网络地址转换 (Network Address Translation, NAT) 技术最初是作为缓解IPv4地址空间紧张的一种解决方案引入的, 其主要作用就是通过将私有IP地址转换为合法公有IP地址, 使私有网络中的主机可以通过共享少量的公有IP地址访问Internet。另外, NAT技术在客观上屏蔽了企业内部网络的真实IP地址, 一定程度上保护了内部网络不受到外部网络的主动攻击。

由于网络一般既会有安全的需求, 又会有节约IP地址的需求, 因此ACL与NAT往往会被同时应用在网络中。而ACL与NAT又都要求应用在企业网络与Internet相连的网络边界上, 应用位置重叠, 这时候就必须要考虑到ACL与NAT的执行顺序关系, 从而确定ACL是对内部本地地址进行约束还是对内部全局地址进行约束。

作为当前两大主流的网络设备生产商, H3C公司的网络设备和CISCO公司的网络设备 (包括锐捷、神州数码等公司的类CISCO设备) 在对ACL与NAT的执行顺序处理上存在较大的差异, 这就要求网络管理人员必须要了解不同厂商设备的处理情况, 从而确保ACL能够在保护合法流量的同时有效的防范来自Internet的恶意流量攻击。

2 H3C路由器上的执行顺序

在进行执行顺序验证之前, 首先需要搭建一个简单的实验网络, 如图1所示。

将内部网络主机PC1和PC2的IP地址分别静态转换到内部全局地址202.207.120.20和202.207.120.30上。具体配置如下:

[H3C]nat static 192.168.1.2 202.207.120.20

[H3C]nat static 192.168.1.3 202.207.120.30

[H3C]interface Ethernet 0/1

[H3C-Ethernet0/1]nat outbound static

配置完成后, 在PC1或PC2上可以PING通PC3, 并且在路由器上使用display nat session命令可以看到内部本地地址192.168.1.2到内部全局地址202.207.120.20、内部本地地址192.168.1.3到内部全局地址202.207.120.30之间的映射关系。

2.1 出站ACL与NAT的执行顺序

在路由器上配置基本ACL并进行应用, 具体配置如下:

[H3C]firewall enable

[H3C]acl number 2000

[H3C-acl-basic-2000]rule deny source 192.168.1.2 0

[H3C-acl-basic-2000]rule permit

[H3C-acl-basic-2000]quit

[H3C]interface Ethernet 0/1

[H3C-Ethernet0/1]firewall packet-filter 2000outbound

从上面的配置可以看出, ACL 2000中的规则rule 0的定义是拒绝源IP地址为内部本地地址192.168.1.2的数据流量, 该ACL被应用在了路由器的Ethernet 0/1接口的outbound方向上。

配置完成后, 在PC1上使用PING命令测试到达PC3的连通性, 会发现无法连通。在路由器上执行命令display acl2000, 显示结果如下:

[H3C]display acl 2000

Basic ACL 2000, named-none-, 2 rules,

ACL's step is 5

rule 0 deny source 192.168.1.2 0 (4 times matched)

rule 5 permit

从显示的结果可以看出, PC1发出的流量命中了规则rule 0, 因而被拒绝。因此我们通过推断可知, 在H3C路由器某个接口上同时存在出站ACL和NAT时, 出站流量应该是先去匹配出站ACL, 然后再进行地址的转换。

2.2 入站ACL与NAT的执行顺序

首先将ACL 2000从路由器上删除掉, 然后配置高级ACL并进行应用, 具体配置如下:

[H3C]acl number 3000

[H3C-acl-adv-3000]rule deny ip destination192.168.1.2 0

[H3C-acl-adv-3000]rule permit ip

[H3C-acl-adv-3000]quit

[H3C]interface Ethernet 0/1

[H3C-Ethernet0/1]undo firewall packet-filter 2000outbound

[H3C-Ethernet0/1]firewall packet-filter 3000inbound

从上面的配置可以看出, ACL 3000中的规则rule 0的定义是拒绝目的IP地址为内部本地地址192.168.1.2的数据流量, 该ACL被应用在了路由器的Ethernet 0/1接口的inbound方向上。

配置完成后, 在PC3上使用命令“ping 202.207.120.20”测试到达PC1的连通性, 会发现无法连通。在路由器上执行命令display acl 3000, 显示结果如下:

[H3C]display acl 3000

Advanced ACL 3000, named-none-, 2 rules,

ACL's step is 5

rule 0 deny ip destination 192.168.1.2 0 (4 times matched)

rule 5 permit ip

从显示的结果可以看出, PC3发出的流量命中了规则rule 0, 因而被拒绝。因此我们通过推断可知, 在H3C路由器某个接口上同时存在入站ACL和NAT时, 入站流量应该是先进行地址的转换, 然后去匹配入站ACL。

3 CISCO路由器上的执行顺序

依然使用图1所示的实验网络, 并进行NAT的配置。

3.1 出站ACL与NAT的执行顺序

在路由器上配置与第2.1节类似的标准ACL, 具体配置如下:

Router (config) #ip access-list standard 1

Router (config-std-nacl) #deny host 192.168.1.2

Router (config-std-nacl) #permit any

Router (config-std-nacl) #exit

Router (config) #interface Fa0/1

Router (config-if) #ip access-group 1 out

配置完成后, 在PC1上使用PING命令测试到达PC3的连通性, 会发现能够连通。而如果将上面标准ACL的第一条规则修改为deny host 202.207.120.20, 即将约束条件从内部本地地址修改为内部全局地址, 再次进行测试, 则PC1将无法连通PC3。

在路由器上执行命令show access-lists 1, 显示结果如下:

Router#show access-lists 1Standard IP access list 1

deny host 202.207.120.20 (4 match (es) )

permit any

从显示的结果可以看出, PC1发出测流量命中了第一条规则, 而该规则是对内部全局地址进行的约束。可见在CISCO路由器某个接口上同时存在出站ACL和NAT时, 出站流量应该是先进行地址的转换, 然后再去匹配出站ACL。

3.2 入站ACL与NAT的执行顺序

首先将access-list 1删除掉, 然后配置与第2.2节类似的扩展ACL, 具体配置如下:

Router (config) #ip access-list extended 100

Router (config-ext-nacl) #deny ip any host192.168.1.2

Router (config-ext-nacl) #permit ip any any

Router (config-ext-nacl) #exit

Router (config) #interface Fa0/1

Router (config-if) #no ip access-group 1 out

Router (config-if) #ip access-group 100 in

配置完成后, 在PC3上使用命令“ping 202.207.120.20”测试到达PC1的连通性, 会发现能够连通。而如果将上面标准ACL的第一条规则修改为deny ip any host202.207.120.20, 即将约束条件从内部本地地址修改为内部全局地址, 再次进行测试, 则PC3将无法连通PC1。

在路由器上执行命令show access-lists 100, 显示结果如下:

Router#show access-lists 100Extended IP access list 100

deny ip any host 202.207.120.20 (4 match (es) )

permit ip any any

从显示的结果可以看出, PC3发出测流量命中了第一条规则, 而该规则是对内部全局地址进行的约束。可见在CISCO路由器某个接口上同时存在入站ACL和NAT时, 入站流量应该是先匹配入站ACL, 然后再进行地址的转换。

4 结束语

通过具体的实验验证可知, H3C设备和CISCO设备在对ACL与NAT的执行顺序处理上完全相反。由于在实际的网络中可能存在来自不同厂商的设备, 因此在进行具体的ACL策略应用前一定要了解具体设备对ACL与NAT的执行顺序, 以确保ACL的有效性。

摘要：ACL和NAT作为常用的两种网络技术, 经常会被同时应用在网络中的同一个位置, 这时就必须要考虑到两者的执行顺序。执行顺序上的差异将直接影响到ACL的配置和应用的有效性。通过对主流的两大设备厂商的设备进行实验测试, 了解不同厂商对ACL和NAT执行顺序处理上的差异, 从而确保网络管理员能够对于不同厂商设备给出正确的ACL约束规则, 保护网络的安全。

关键词：访问控制列表,网络地址转换,内部本地地址,内部全局地址,规则

参考文献

[1]杭州华三通信技术有限公司.路由与交换技术第1卷 (下册) [M].北京:清华大学出版社, 2011.

[2]Cisco Systems公司.思科网络技术学院教程[M].北京:人民邮电出版社, 2010.

ACL技术论文篇7

1 技术简介

ACL (访问控制列表, Access Control List) 是对报文匹配条件判断语句的集合, 主要用于识别报文流。例如识别报文的源地址、目的地址、端口号、源MAC地址、目的MAC地址、802.1P优先级、链路层协议、时间协议等。ACL不能对识别的报文进行处理动作, 只能由应用ACL的业务模块来处理这些报文。ACL一般分为两类, 即基本ACL和扩展ACL。有的厂商又自定义了一些ACL分类, 分类更精确了。例如H3C的ACL分类为:基本ACL (编号范围:2000-2999) , 高级ACL (编号范围:3000-3999) , 二层ACL (编号范围:4000-4999) , 用户自定义ACL (编号范围:5000-5999) 。

Qos (服务质量, Quality of Service) 是与ACL结合最为紧密的技术之一。它的应用降低了传送时延、丢包率和时延抖动等, 从而保障了业务的传输带宽, 提高了网络服务质量。Qos能实现流量分类、流量监管、流量整形、接口限速、拥塞管理和规避等。主要有三种服务类型, 即Best-Effort Service (尽力而为服务) 、Integrated Service (综合服务, 简称Int Serv) 、Differentiated Service (区分服务, 简称Diff Serv) 。

策略路由是一种可基于报文源和目的地址等信息制定策略, 满足已通过匹配定义的ACL列表的报文实现策略路由, 从而从指定的接口转发需求的技术。按照策略路由作用对象不同, 可分为本地和接口策略路由;按照处理方式可分为强 (制) 策略路由和弱策略路由。

2 应用背景、难点分析及解决方案

2.1 应用背景

2012年我单位对数据中心进行了改造, 引入了两台H3C S12500系列路由交换机和H3C Sec Path路由级防火墙。两台核心交换采用IRF2虚拟化部署, 堆叠虚拟成一台设备;核心交换双线路聚合后上联路由防火墙;原计费系统作为另一条上联线路, 以透明方式串接到核心交换和防火墙之间;新计费系统不作为网关存在, 真正的网关是核心交换。

2.2 难点分析

由于两台核心交换各内置了一块ACG流量控制板卡对内网用户数据进行流量控制和数据整形, 两块ACG流控板卡互为备份, ACG板卡作为应用层控制, 需禁止广播包、多播包和ARP;一部分用户沿用原计费系统, 大部分用户使用系计费系统。这都涉及到复杂的用户流量控制和策略引流。下面以内网访问外网的数据流走向举例进行分析。

(1) 用户数据报文上行走向:用户计算机→接入层交换→汇聚交换→三层交换流量控制板卡→三层交换路由表→路由选路:原计费系统用户策略路由至相应VLAN网关, 然后经原计费系统认证, 最后到达路由防火墙相应端口;同时新系统用户经新身份认证系统认证后, 经默认路由, 下一跳至路由防火墙相应端口。

(2) 用户接收数据报文下行走向:原路径返回。

经分析, 这里面涉及到数据流量的二次引流问题。第一次, 将所有用户数据报文引流至ACG流量控制板卡;第二次, 将从ACG板卡出来的使用原计费系统用户数据报文引流至原计费系统VLAN网关。

2.3 解决方案

流量控制方案采用MQC方式配置:对所有用户定义ACG引流列表ACL3001、ACL3002和ACL4000;定义流分类、流行为、重定向策略;在三层交换汇聚端口下发策略;配置两块ACG板卡内联口。

对原计费系统用户采用PBR策略路由引流:对使用原计费系统用户, 以IP地址分类定义ACL2001;以ACL2001配置策略路由;在原计费系统用户VLAN模式, 下发路由策略。

3 技术实践

依据解决方案, 设备组网调试时做了如下配置。

3.1 MQC方式配置流控

3.1.1 定义两块ACG插卡的ACL列表

3.1.2 定义流分类

3.1.3 在三层交换汇聚接入端口下发策略