高级访问控制列表(精选9篇)
高级访问控制列表 篇1
1 引言
作为包过滤防火墙的核心技术,高级访问控制列表(Access Control List,ACL)能够通过数据包的源地址、目的地址、源端口号、目的端口号、协议类型等一系列的匹配条件对网络中的流量进行识别并过滤,从而阻止恶意流量进入局域网,保护局域网内部的安全[1]。但在阻止恶意流量的同时,高级ACL应该允许局域网内部主机访问外部网络。另外,由于企业局域网很多时候还需要对外提供Web服务进行企业宣传、提供SMTP服务使员工可以通过Internet登录企业邮箱以及提供FTP服务供员工或客户通过Internet下载资料等,因此高级ACL还必须能够允许来自Internet的对局域网内特定服务的访问。在这些服务中,由于FTP使用了两个TCP端口,即FTP是一个多通道的应用层协议[2],因此在针对FTP定义高级ACL的约束规则时就需要了解FTP的工作过程,并有针对性地进行定义。
2 高级ACL的典型应用
高级ACL的典型应用是在一个局域网络的出口路由器上。为确保内部网络的安全,往往需要在出口路由器与外部网络连接的接口的inbound方向上应用高级ACL,以实现对外部网络的恶意流量进行过滤的目的[3]。例如,要求在如图1所示的网络中配置高级ACL,其中内部网络可以随意访问外部网络,而外部网络访问内部网络受到以下限制:
(1)外部网络可以访问内网主机192.168.1.2上的HTTP服务。
(2)禁止外部网络访问其他任何关于内网的基于TCP的服务。
(3)禁止外部网络主动PING内部网络主机。
(4)允许其他类型的访问。
具体的配置如下:
配置完成后,即可实现网络的安全访问控制需求。
3 高级ACL控制FTP流量的应用
在上一节的例子中,在应用层只是对HTTP协议进行了相应的定义,由于HTTP是一个单通道协议,因此只需要一条ACL规则即可实现。但实际中还存在像FTP这样的多通道协议,在学习传输层的著名端口时,所有的专业书籍中无一例外的会介绍到FTP使用了两个端口,分别是命令端口21和数据端口20。因此如果要在图1所示的网络中允许外部网络访问内网主机192.168.1.2上的FTP服务,需要在已配置的ACL3000中增加以下两条规则:
配置完成后,按照正常推理,在外部网络主机上应该可以连接内网主机192.168.1.2上的FTP服务,但是实际情况是根本无法连接。在路由器上使用display acl 3000命令查看A-CL 3000的报文匹配情况如下:
从上面显示的结果可以看出,第三条规则没有匹配任何流量,也就是说外部网络主机与内网主机192.168.1.2上的FTP数据端口(TCP的20端口)之间没有进行任何数据的传输。之所以会出现这样的情况,实际上和FTP的工作模式有关。按照连接模式的区别,可以将FTP分为主动模式和被动模式两种[4]。
3.1 FTP主动模式
主动模式(Active Mode)是FTP的传统连接模式,FTP在主动模式下的连接过程如下:
(1)FTP客户端开启一个大于1024的随机端口N连接到FTP服务器的命令端口21上。
(2)FTP客户端开始监听自己的N+1端口,并向FTP服务器的命令端口发送“PORT N+1”命令来通知FTP服务器自己已经在端口N+1上做好了接收数据的准备。
(3)FTP服务器接收到命令后,打开自己的20端口作为数据端口与FTP客户端的N+1端口建立连接,进行数据的传输。
可见在主动模式中,数据连接是由FTP服务器主动发起的,FTP服务器端的数据端口为20端口。
3.2 FTP被动模式
被动模式(Passive Mode)相对出现的较晚,由于主动模式需要FTP客户端主机打开一个数据端口进行监听,而这个端口很有可能会被本机的一些安全策略如本机的软件防火墙阻塞掉,因此开发了FTP的被动连接模式。FTP在被动模式下的连接过程如下:
(1)FTP客户端开启一个大于1024的随机端口N连接到FTP服务器的命令端口21上。
(2)FTP客户端开启自己的N+1端口,并向FTP服务器的命令端口发送PASV命令来通知FTP服务器自己工作在被动模式。
(3)FTP服务器接收到命令后,会开启一个大于1024的随机端口X进行监听,并向FTP客户端的命令端口发送“PORT X”命令来通知FTP客户端自己已经在端口X上做好了接收数据的准备。
(4)FTP客户端接收到命令后,通过自己的N+1号端口与FTP服务器的数据端口X建立连接,进行数据的传输。
可见在被动模式中,数据连接是由FTP客户端主动发起的,FTP服务器端的数据端口为大于1024的随机端口,而不是20端口。在默认情况下,IE以及常见的一些FTP客户端工具都使用被动模式进行连接。
问题到此已经变得非常明朗,正是因为FTP客户端的IE工作在被动模式,因此在建立数据连接的时候FTP客户端会主动向FTP服务器的数据端口X发起连接请求,而这些请求都会因为匹配了规则rule deny tcp而被拒绝掉。从而导致外部网络主机上无法连接内网主机192.168.1.2上的FTP服务。解决的方法就是采用主动模式进行FTP的连接。具体的操作方法是在IE的菜单栏中选择“工具”—“Internet选项”—“高级”,然后找到“使用被动FTP(用于防火墙和DSL调制解调器的兼容)”选项,将其勾选掉即可。如图2所示。
设置完成后,在外部网络主机上使用IE就可以连接到内网主机192.168.1.2上的FTP服务。此时,在路由器RTA上再次使用display acl 3000命令查看ACL 3000的报文匹配情况如下:
从上面显示的结果可以看出,第三条规则有相匹配的流量,这也说明了在主动模式下FTP服务器端的数据端口为20端口。
实际上,如果采用主动模式的话,即使删除掉ACL中的第三条规则,外部网络主机依然可以访问内网主机192.168.1.2上的FTP服务。在这种情况下,数据连接的流量作为外部网络的响应流量将会匹配rule 5,从而允许进入内部网络。
4 结语
作为多通道应用层协议,FTP在不同的工作模式下使用不同的数据端口,这就要求在使用高级ACL对其进行约束时,一定要确定FTP的工作模式,否则可能会导致ACL的规则无法实现预期的效果。当然,对于FTP的两种工作模式孰优孰劣并没有定论,显然主动模式有利于FTP服务器端的安全,但对FTP客户端的安全不利,因为需要FTP客户端开启某个高位端口进行监听;而被动模式有利于FTP客户端的安全,但对FTP服务器端的安全不利,因为需要FTP服务器端开启某个高位端口进行监听。具体采用哪种连接模式还是要根据具体的网络应用和网络安全的需求来决定。
摘要:作为网络中常用的安全控制策略,高级访问控制列表会被用在出口路由器连接外部网络的接口上,以保护局域网内部的安全。在对恶意流量进行过滤的同时,高级访问控制列表还需要识别并允许特定的外部网络访问,特别对于多通道的FTP协议,高级ACL需要确定其工作模式以给出合适的约束规则,确保局域网内部的FTP服务可被访问。
关键词:高级访问控制列表,FTP协议,模式,规则
参考文献
[1]杭州华三通信技术有限公司.路由与交换技术第1卷(下册)[M].北京:清华大学出版社,2011.
[2]郝永清.黑客FTP攻击剖析与实用防御技术精解[M].北京:科学出版社,2010.
[3]秦建华,王启红.计算机网络安全防护[J].电脑编程技巧与维护,2012,7(下):132-133.
[4]田庚林,田华,张少芳.计算机网络安全与管理[M].北京:清华大学出版社,2010.
高级访问控制列表 篇2
此白皮书解释这不同的访问控制表(ACL)条目并且什么发生当不同的种类信息包遇到这些多种条目,用于ACLs阻拦IP信息包从被路由器转发。
RFC 1858 报道IP段过滤的安 全注意事项并且突出显示对介入TCP信息包、微小的碎片攻击和交迭 的碎片攻击的IP段的主机的二次攻击。拦截这些攻击是理想 的因为他们能攻陷主机,或者阻塞所有其内部资源。
RFC 1858 也描述二个方法保卫这些攻 击,直接和间接。在直接方法,最小长度小于的初始分段被 丢弃。如果开始8个字节原始IP数据报,间接方法介入丢弃片 段集的第二个片段。请参阅 RFC 1858 关于更详细的细节。
传统上, 信息包过滤器类似ACLs被应用于不分片和IP信息包的初始分段因为 他们包含第三层和4 ACLs能匹配为允许或拒绝决策的信息。因为他们在信息包,可以被阻拦根据第三层信息非初始片段通过ACL 传统上允许; 然而,因为这些信息包不包含第四层信息,他 们在ACL条目不匹配第四层信息,如果存在。因为收到片段的 主机不能重新召集原始IP数据报没有初始分段,允许IP数据包的非 初始片段通过是可接受的。
防火墙可 能也使用对阻拦信息包通过维护信息包碎片表源和目的地IP地址、 协议和IP标注的ID。Cisco PIX防火墙和 ? Cisco IOS防火墙能过滤特定数据流的所有片段通过 维护信息此表,但它是太消耗大的以至于不能执行此在一个路由器 为基本的ACL功能。 防火墙的主要工作是对阻拦信息包,并 且其辅助角色是路由信息包; 路由器的主要工作是路由信息 包,并且其辅助角色是阻拦他们。
二 个变化做在Cisco IOS软件版本上12.1(2) 和12.0(11)解决包围TCP 片段的一些安全问题。 间接方法,如所描述在 RFC 1858 ,是被实施 作为标准TCP/IP输入信息包充分检查一部分。变动也做了对 ACL 功能关于非初始片段。
ACL表项的类型
有六不同种类的ACL线路 ,并且其中每一有一个后果如果信息包执行或不配比。 在以 下列表,FO = 0指示不分片或一个初始分段在TCP流,FO > 0表明信 息包是一个非初始片段,L3意味着第三层,并且L4意味着第四层。
注意: 当有时第 三层和第四层信息在ACL线路和 片段 关键字存在,ACL活动为许可证是保守的并且拒绝动作 。动作是保守的因为您不想要偶然地拒绝流的一个分段的部 分因为片段不包含充足的信息匹配所有过滤器属性。
在拒绝 事例,而不是拒绝一个非初始片段,下ACL条目被处理。在许 可证事例,假设第四层信息在信息包,如果可用,在ACL 线路匹配 第四层信息。
许可证ACL线路带有L3仅信息
如果信息包的L3信息在ACL线路匹配 L3 信息,允许。
如果信息包的L3信 息在ACL线路不匹配L3信息,下ACL条目被处理。
拒绝ACL线路带有L3仅信息
如果信息包的L3信息 在ACL线路匹配L3 信息,它否认。
如果信息包的L3信息在ACL线路不匹配L3信息,下ACL条目被处理。
允许ACL线 路带有L3仅信息,并且片段关键字存在
如果信息包的L3信息在ACL线路匹配L3 信息,信息 包碎片偏移被检查。
如果信息包的 FO > 0,信息包允许。
如果信息包 的FO = 0,下ACL条目被处理。
拒绝ACL线路带有L3仅信息 ,并且片段关键字存在
如果信息包的L3信息在ACL线路匹配L3 信息,信息包碎片偏移被检 查,
如果信息包的FO > 0,信息包被 丢弃。
如果信息包的FO = 0,下条 ACL线路被处理。
允许ACL线路带有L3和L4信息
如果信息包的L3和L4信息匹配ACL线 路和FO = 0,信息包允许。
如果信息 包的L3信息匹配ACL线路和FO > 0,信息包允许。
拒绝ACL线路带有L3和L4信 息
如果信息包的L3和 L4信息匹配ACL条目和FO = 0,信息包被丢弃。
如果信息包的L3信息匹配ACL线路和FO > 0,下ACL 条目被处理。
ACL规则流程图
当不分片、初始分段和非初始片段被检查ACL时,以 下流程图说明ACL规则。
注意: 非初始片段包含仅第三层,从未第四层信息, 虽然ACL可能包含第三层和第四层信息。
信息包如何能匹配 ACL
示例 1
以下五个可能的情况介 入遇到ACL 100的不同种类的信息包。参见表和流程图您跟随 什么在每个情况发生。网络服务器的IP地址是171.16.23.1。
access-list 100 permit tcp any host 171.16.23.1 eq 80access-list 100 deny ip any any
信息包是为服务器或不分片注定的初始分段在端口80:
ACL的第一条线路包含第 三层和第四层信息,在信息包匹配第三层和第四层信息,因此信息 包允许。
信息包是为服务器或不分片注定的初始分段在端口21:
ACL的第一条线路包含第 三层和第四层信息,但第四层信息在ACL不匹配信息包,因此下条 ACL线路被处理。
ACL的第二条线路丢 弃所有信息包,因此信息包被丢弃。
信息包是非初始片段到服务 器在端口80流:
ACL的第 一条线路包含第三层和第四层信息,第三层信息在ACL匹配信息包, 并且ACL 活动是允许,因此信息包允许。
信息包是非初始片段到服务 器在端口21流:
ACL的 第一条线路包含第三层和第四层信息。第三层信息在ACL匹配 信息包,没有第四层信息在信息包,并且ACL活动是允许,因此信息 包允许。
信息包是初始分段、不分片或者非初始片段到另一台主机在服务器 子网:
ACL的第一条 线路包含在信息包的第三层信息(目的地地址)不匹配第三层信息, 因此下条ACL线路被处理。
ACL的第 二条线路丢弃所有信息包,因此信息包被丢弃。
示例 2
下列同样五个可能的 情况介入遇到ACL 101的不同种类的信息包。再次,参见表 和流程图您跟随什么在每个情况发生。网络服务器的IP地址 是171.16.23.1。
access-list 101 deny ip any host 171.16.23.1 fragmentsaccess-list 101 permit tcp any host 171.16.23.1 eq 80access-list 101 deny ip any any
信息包是为服务器或不分片注定的初始分段在端口 80:
ACL的第一条线路 包含在信息包匹配第三层信息的第三层信息。ACL活动是拒绝 ,但因为 片段 关键字存 在,下ACL条目被处理。
高级访问控制列表 篇3
访问控制列表主要是思科、华为、锐捷所提供的一种访问控制技术, 初期仅在路由器上支持, 近些年已经扩展到三层交换机, 部分最新的二层交换机如3500之类。在其它厂商的路由器或多层交换机上也提供类似的技术, 不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于锐捷的ACL进行编写。
基本原理:ACL使用包过滤技术, 在路由器上读取第三层及第四层包头中的信息如协议、源端口、目的端口等, 根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的。
主要功能:网络中的节点分为资源节点和用户节点两大类, 其中资源节点提供服务或数据, 用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点, 阻止非法用户对资源节点的访问, 另一方面限制特定的用户节点所能具备的访问权限。即主要功能如下:
(1) 实现网络流量限制、提高网络性能。
(2) 提供对通信流量的控制手段。
(3) 提供网络安全访问的基本安全级别。
(4) 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
2 访问控制列表在Intranet管理中的应用
2.1 访问控制列表在网络安全中的应用
2.1.1 病毒过滤
近两年以冲击波、振荡波为代表的网络蠕虫病毒, 造成了许多地方感染, 网络瘫痪。蠕虫生存在网络的节点之中, 依靠系统的漏洞和电子邮件在网络中大量繁殖, 造成网络阻塞之类的严重后果。可以依靠杀毒软件来查杀蠕虫, 但并不能指望全网统一查杀以期将其消灭 (对信息点上万的高校Intranet来说, 那几乎是不可能的) 。可以通过访问控制列表, 封锁蠕虫病毒传播、扫描、攻击所利用的端口, 事前就把蠕虫病毒拒之门外。例如针对冲击波病毒, 可在路由器上做下面的配置:
2.1.2 阻止黑客攻击
DDo S (Distributed Denial of Service) 中文含义为分布式拒绝服务, 即同时发动分布于全球的几千台主机对目的主机攻击导致合法用户不能够访问正常网络服务是黑客常用攻击手段。由于DDo S攻击需要大量的伪源IP地址, 那么可以通过限制非法的伪源IP地址, 达到阻止黑客攻击效果。例如:企业Intranet合法网段是192.168.10.0∕24, 192.168.20.0∕24, 192.168.30.0∕24, 则具体配置如下:
通过以上访问控制列表命令可以有效控制DDo S, 只允许合法有效Intranet地址通过路由器的S0/0端口访问外网, 从而大大缓解了骨干链路的压力。
2.2 访问控制列表在访问权限中的应用
2.2.1 访问时间权限控制
Intranet接上了Internet, 员工可以利用享受因特网浩瀚资源的同时, 也给某些员工沉迷网络游戏、炒股票、私人聊天提供了机会, 影响正常工作。那么, ACL可以限定用户在指定的时间内不能访问这些网站。如限定从2010年3月6日到2029年8月10日止, 在周一至周五上课时间 (8:00~16:20) 不能访问腾讯QQ为例, 周末和晚上可以开放, 具体设置如下:
QQ通过和远端的服务器建立TCP或UDP的连接进行通讯的, 可以禁止QQ特定的TCP或UDP端口来实现。从防火墙和路由器上可以看到QQ正在用UDP 8080端口进行通讯, 禁止相应源端口。然而过一会儿以后, 发现QQ又可以连接上去了。因为新版的QQ可以使用TCP 80端口进行通信。因为TCP 80端口是HTTP专用的, 所以如果禁用TCP 80端口的话, 将使整个局域网无法访问所有的网站, 这是绝对不行的。因此, 只有将所有QQ服务器的都找出来, 然后禁止访问。
2.2.2 访问设备管理权限控制
为了对单位的网络中心服务器、重要网络设备的保护, 防止黑客的攻击, 可以利用ACL对不同的设备设置一些必要的安全访问控制策略。例如, 可以限定只有计算机网络中心的主机192.168.18.56才有权限访问路由器, 则可以在全局配置模式下, 设置标准ACL指定授权访问路由器主机地址192.168.18.56应用于虚接口上, 应用方向为in, 具体配置如下:
表示只允许主机192.168.18.56可远程登录路由器并修改其配置。
2.2.3 访问控制列表在流量控制中的应用
Bit Torrent (简称BT) 和电驴 (e Donkey) 都是用来进行文件下载的共享软件, 其特点是:下载的人越多, 速度越快。BT、电驴下载大大降低了下载服务器的负荷, 但也造成网络下载的数据量剧增, 使得网络带宽被大量的BT、电驴下载流量占据, 严重影响其它网络业务, 因此需要对BT、电驴流量进行有效控制。利用ACL可以合理的对这些流量进行控制, 以更好的管理、利用现有的网络资源。一般情况下, BT软件使用的是6880~6890端口, 而电驴使用的是TCP的4662端口和UDP的4772端口, 只要封锁这些端口就可以达到目的, 具体设置如下:
3 结束语
通过设置访问控制列表来管理Intranet的方法。可以使一个Intranet网络不仅仅能够运转, 而且能够安全、正常、高效地运转。
参考文献
[1]王渊明, 王小飞.基于时间的访问控制列表的应用[J].济南:山东通信技术, 2005 (1) :25-27.
[2]谭明佳.基于时间的访问表技术应用研究[J].哈尔滨:电脑学习, 2004 (1) :41-43.
[3]Cisco Systems公司.思科网络技术学院教程[M].北京:人民邮电出版社, 2004-07.
高级访问控制列表 篇4
建立访问控制列表,可对数据流量进行简单的控制,以及通过这种控制达到一定程度的安全性,允许或拒绝数据包通过路由器,从而达到对数据包进行过滤的目的。
另外,也可以在VTY线路接口上使用访问控制列表,来保证telnet的连接的安全性。因为接口的数据流是有进口和出口两个方向的,所以在接口上使用访问控制列表也有进和出两个方向。
进方向的工作流程
进入接口的数据包——进方向的访问控制列表——判断是否匹配——不匹配,丢弃,匹配,进入路由表——判断是否有相应的路由条目——无,丢弃,有从相应接口转发出去
出口方向的工作流程
进入接口数据包——进入路由表,判断是否是相应的路由条目——无,丢弃,有,数据包往相应接口——判断出口是否有访问控制列表——无,数据被转发,有,判断条件是否匹配——不匹配,丢弃,匹配,转发。
比较看,尽可能使用进方向的访问控制列表,但是使用哪个方向的应根据实际情况来定。类型
标准访问控制列表
所依据的条件的判断条件是数据包的源IP地址,只能过滤某个网络或主机的数据包,功能有限,但方便使用。
命令格式
先在全局模式下创建访问控制列表
Router(config)#access-list access-list-number {permit or deny} soure {soure-wildcard} log 注:access-list-number 是访问控制列表号,标准的访问控制列表号为0~99;permit是语句匹配时允许通过,deny是语句不匹配时,拒绝通过。soure是源IP地址,soure-wildcard是通配符,log是可选项,生成有关分组匹配情况的日志消息,发到控制台
补:当表示某一特定主机时,soure {soure-wildcard}这项例如:192.168.1.1 0.0.0.255 可表示为host 192.168.1.1 创建了访问控制列表后,在接口上应用
Router(config-if)#ip access-group access-list-number {in or out} 扩展访问控制列表
扩展访问控制列表所依据的判断条件是目标、源ip地址、协议及数据所要访问的端口。由此可得出,在判断条件上,扩展访问控制列表具有比标准的访问控制列表更加灵活的优势,能够完成很多标准访问不能完成的工作。
命令格式
同样在全局模式下创建列表
Router(config)#access-list access-list-number {dynamic dynamic-name}{timeout mintes}{permit or deny}protocol soure soure-wildcard destination destination-wildcard {precdence precedence} {tos tos} {time-range time-range-name}
命名访问控制列表
cisco ios 软件11.2版本中引入了IP命名ACL,其允许在标准和扩展访问控制列表中使用名字代替数字来表示ACL编号。
创建命名ACL语法格式:
router(config)#ip access-list {extend or standard} name router(config-ext-nacl)#{permit or deny } protocols soure soure-wildcard {operator}destination destination-wildcard {operator}{established}
注:established 是可选项,只针对于tcp 协议
还有vty的限制,其ACL的建立与在端口上建立ACL一样,只是应用在vty ACL 到虚拟连接时,用命令access-class 代替命令access-group 放置ACL
高级访问控制列表 篇5
随着时代的发展,仅仅根据访问的目的地址和端口对应用访问进行限制已经无法满足网络的应用需求。在某些情况下,还要根据时间采取相应的网络控制管理策略。因此,有必要对基于时间的访问控制列表的应用问题展开研究,从而为网络管理提供更好的控制策略,继而使网络得到更好的使用。
1 访问控制列表的应用需求分析
近几年,互联网的规模在不断扩大,从而使网络不得不面临更多的威胁。就目前来看,越来越多的网络管理人员开始担心网络安全问题。但是,为了确保网络业务的发展,还必须同意用户访问网络资源的请求。而随着网络威胁的增加,使用固有的内部网络数据和资源保护技术已然无法满足数据和资源的保护需求。在众多网络安全管理技术,访问控制列表可以算是基本的网络安全手段,能够实现对内网外部数据的过滤。所以,利用访问控制列表能够将有害数据包过滤掉,并且做好网络数据流量的控制,能够为网络运行提供一个相对安全的环境。从分类上来看,访问控制列表包含了自反访问控制列表和基于时间的访问控制列表等多个种类的网络控制策略。其中,基于时间的访问控制列表可以根据一天中不同时间进行网络资源的访问控制,能够为网络管理员提供不同的安全策略开展工作日和周末时间段的网络管理工作。因此,基于时间的访问控制列表在现实生活中得到了广泛的应用,并且具有较好的应用前景,可以满足网络的管理需求。
2 基于时间的访问控制列表概述
所谓的访问控制列表,其实就是一组有序的语句集。在数据包需要通过访问控制列表的接口时,访问控制列表将对语句中的访问参数和数据报文中的信息进行匹配,然后对是否允许数据包通过的问题进行判断。而基于时间的访问控制列表,其实就是根据不同的时间进行资源访问控制的一组列表。就目前来看,利用基于时间的访问控制列表可以较好的进行的网络的管理。首先,根据时间进行列表的应用,能够为类似Internet的网络管理用户访问提供更大的便利。同时,通过设置基于时间的安全策略,也能够加强防火墙等网络边界的访问控制功能,从而使网络安全得到加强。再者,根据时间变化,网络服务供应商可以进行上网收费管理,并且使用基于时间的访问控制列表进行数据流量的调节。此外,根据时间变化,可以进行不同服务质量Qo S的实施,从而为不同的网络提供相对可靠的服务。而实施不同的Qo S,也能够对网络质量、网络访问、分组丢失、网络延迟等内容进行克制。最后,利用基于时间的访问控制列表进行日志消息记录时段的控制,也能够限制用户在高峰时段的网络访问次数,继而为网络管理提供创造更好的条件。
3 基于时间的访问控制列表的应用原则及步骤
3.1 应用原则
在应用基于时间的访问控制列表时,需要遵循相应的命令应用原则。首先,应用时先要进行时间范围的定义,并且利用time-range命令对指定的时间范围进行表示。在定义时间范围的过程中,需要使用absolute命令或periodic命令,并且遵照IOS命令格式进行时间范围的定义。在访问控制列表中,需要用time-range-name进行时间范围名称的标识,并且在列表中进行这个名称的引用。而在编写absolute语句时,需要以start表示时间开始,并以end表示时间结束。所以在语句中,如果没有end的参数,absolute的动作就会一直进行下去。在使用periodic命令时,可以在同时时间范围内进行多个命令的使用。不同于只拥有结束时间、开始时间和日期等少量参数的absolute语句,periodic可以拥有大量参数,并且其范围相对较大。比如,小时、分钟、星期的某一天以及几天的结合,都能够包含在这一范围内。在进行访问控制列表的扩展时,标准VINS、扩展XNS、扩展的透明桥、以太网类型和地址、扩展的IP和原路由桥等多种协议都能够得到基于编号的访问控制列表的支持。在扩展的过程中,可以使用access-list-number进行扩展的访问控制列表的标识,并且用source标识源地址。同时,可使用source-wildcard标识通配符屏蔽码,并使用source-port标识源端口号,而用destimation表示目的地址。在这些参数中,可以使用关键字的参数有source、source-wildcard、destimation和destimation-wildcard。在进行0.0.0.0255.255.255.0 的通配符屏蔽码缩写时,可以使用any。在进行0.0.0.0通配符屏蔽码缩写时,可以使用host。而在进行扩展访问控制列表命名时,使用的参数与扩展控制列表的参数基本一致。但是,相较于扩展控制列表,命名访问控制列表只进行扩展的IP、扩展的IPX等少量协议的支持。
3.2 应用步骤
在应用基于时间的访问控制列表进行访问列表编号和命名时,只需要遵循三个步骤。首先,需要进行路由器时钟的校正。具体来讲,就是在使用之前确认路由器能否提供一个可靠的实时时钟。确认之后,网络管理员就能够进行特权用户层命令的调用,从而将路由器设置为本地时间,并且通过调用特权用户命令进行设置的保存。其次,需要进行访问时间的定义。参照基于时间的访问控制列表的应用原则,可以利用time-range命令进行时间范围的指定。例如:time-range no-qq absolute start 0:00 1 may 2015end 12:00 1 may 2020.在该条命令中,时间段名称为no-qq,以2015 年5 月1 日零点为起始时间,以2020 年5 月1 日中午12点为结束时间。再者,完成时间段设置后,如果访问控制列表关联的时间范围接口并不存在,就可以认为该访问控制列表已经在时间上实现了匹配,所以就能够进行时间因素的忽略。
4 基于时间的访问控制列表的应用实践研究
4.1 应用分析
为了对基于时间的访问控制列表的应用问题展开进一步的研究,可以校园网管理为例,对该种网络安全策略的实际应用问题进行探讨。不同于企业网络,校园建设在学校内部,主要的功能是为教学提供资源共享、信息交流和协同工作的平台,所以主要是用于为教学服务。而在学校内部,不论是学生还是教师都需要按照时间表上课和休息。在计算机课程中,学生的网络实训练习也应该严格遵照学校要求进行。例如,在听课时间段内,学生不能进行QQ软件等聊天娱乐软件的登录。但是在双休日期间,学生却能够自由进行上网行为的控制。所以,考虑到校园网的管理特点,可以使用基于时间的访问控制列表进行校园网的管理,从而使校园网的建设管理得到规范。在具体应用的过程中,可以使用基于时间的访问控制策略进行校园网路由器的设置。在设置时,可以根据一天中的不同时间点或一周内不同日期进行网络数据包的转发和拒绝控制,从而对校园网在某个时间段内的网络行为进行管理。在实现这一功能时,可以使用标准访问列表和扩展访问列表这两种控制方法。利用前者,能够进行基于目标地址的数据包过滤。利用后者,能够根据网络协议、源地址、目标地址及其端口完成数据包的过滤。而在此基础上加入有效时间范围操作策略,就能够实现对校园网的有效控制。
4.2 时钟设置分析
根据之前的分析,由于校园网使用的是路由器装置内部不含有时钟,所以在设备启动时无法准确得知具体时间。而为了给基于时间的路由设置提供标准时间参照,还需要进行时区和夏令时的设置,然后再进行路由器的时钟设置。需要注意的是,完成路由器的时间设置后,重启路由器将导致时间信息消失。但是,由于网络中含有一个NTP服务器,所以可以将该服务器当成是标准时间源。而在路由器启动的过程中,既可以进行该服务的调用,然后再进行时钟的设置。
4.3 上课时间的网络访问控制管理
根据学校规定,学生在上课的过程中不允许使用网络进行QQ和MSN软件的使用。具体规定为:从周一到周五的8 点至18 点,全校师生不得使用MSN和QQ聊天工具。遵照基于时间的访问控制列表应用原理,可以利用Periodic weekdays start 8:00 end 18:00 表示从周一到周五的8 点至18 点,并利用Timerange deny- qq表示对QQ工具的访问进行限制。
4.4 实训机房的网络访问控制管理
在实训机房的管理方面,可以使用Vlan完成网络设施。在学校的信息大楼中,一个网络机房内含有50 台计算机,配以192.168.5.0 的网段范围。为了进行机房的管理,学校出台规定,要求机房从周一7 点到周五18 点的上课时间对浏览器服务进行限制。同时,要求机房正常进行FTP服务的开放,并且在双休日期间提供全面开放服务。在设置时,可以先利用R1(config)#clock set 15:33:50 21 May 2015 进行时钟设置,然后利用R1(configtime- range)#periodic weekday 7:00 to 18:00 进行限制网络访问的时间段的设置,并使用R1(config - if)#ip access - list 101deny tcp 192.168.5.0 0.0.0.255 any eq 80 time - range 2015school5将基于时间的访问控制列表用于限制机房服务。
4.5 规定时间段的网络访问控制管理
实际上,校园网需要为数量庞大的学生群体提供服务,所以将承担较大的运行压力。在一些时间段,如果学生普遍进行下载软件的使用,将很容易导致校园网崩溃。所以一些学校规定,从周一到周五的6 点到18 点,禁止除办公室以外的所有计算机使用BT等网络下载软件,以便减轻校园网运行压力[8]。在编写基于时间的访问控制命令时,可以periodic weekdays 6:00 to 18:00 表示列表应用的时间范围,然后利用access- list 111 deny ip host 10.1.10.111 any表示为校务办公室计算机放行。
5 结论
总而言之,在进行网络管理时,合理进行基于时间的访问控制列表的应用,可以使网络管理工作的开展更加灵活和安全。所以,相关人员应该加强对基于时间的访问控制列表的应用原则和步骤的掌握,并且尝试进行该种网络管理策略的实践应用,从而在内部网络管理方面积累更多的宝贵经验。因此,本文对基于时间的访问控制列表的应用问题展开的探讨,可以为相关工作的开展提供指导。
参考文献
[1]潘文婵,章韵.路由器访问控制列表在网络安全中的应用[J].计算机技术与发展,2010.
[2]银少海.访问控制列表在校园网络安全中的应用探讨[J].网络安全技术与应用,2015.
[3]谢大吉.网络管理中访问控制列表应用探讨[J].中国科技信息,2011.
[4]麻悦.基于ACL访问控制列表在校园机房的应用[J].中小企业管理与科技(下旬刊),2011.
[5]刘洋.访问控制列表在包过滤防火墙上的应用与研究[J].计算机光盘软件与应用,2012.
[6]李征.访问控制列表在网络优化中的应用[J].清华大学学报(自然科学版),2013.
[7]王亮.动态访问控制列表在企业网络安全中的应用[J].网络安全技术与应用,2015.
基于访问控制列表的校园网管理 篇6
随着现代化教学活动的开展和与国内外教学机构交往的日益增多,利用校园网进行信息交流活动越来越普遍。然而伴随着校园内计算机用户的普及,接入校园网的节点日益增多,很容易造成网络堵塞和病毒传播。这样,就给校园网的管理提出更高的要求。
笔者认为校园网的管理主要应考虑三个方面:网络安全、访问权限与流量控制。利用访问控制列表可以过滤病毒,阻止黑客非法访问;可以对校园网的访问设置访问权限;通过控制访问流量实现对校园网有针对性的管理,有利于校园网发挥更大的效能。
2、访问控制列表
2.1 访问控制列表概念
访问控制列表(Access Control List)主要是思科、华为、锐捷所提供的一种访问控制技术,初期仅在路由器上支持,近些年已经扩展到三层交换机,部分最新的二层交换机如3500之类。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于锐捷的ACL进行编写。
基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如协议、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
主要功能:网络中的节点分为资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。即主要功能如下:(1)实现网络流量限制、提高网络性能;(2)提供对通信流量的控制手段;(3)提供网络安全访问的基本安全级别;(4)可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
3、访问控制列表在校园网管理中的应用
3.1 访问控制列表在网络安全中的应用
3.1.1 病毒过滤
近两年以冲击波、振荡波为代表的网络蠕虫病毒,造成了许多地方感染,网络瘫痪。蠕虫生存在网络的节点之中,依靠系统的漏洞和电子邮件在网络中大量繁殖,造成网络阻塞之类的严重后果。可以依靠杀毒软件来查杀它们,但并不能指望全网统一查杀以期将其消灭(对信息点上万的高校校园网来说,那几乎是不可能的)。可以通过访问控制列表,封锁蠕虫病毒传播、扫描、攻击所利用的端口,事前就把蠕虫病毒拒之门外。例如针对冲击波 (Worm.Blaster) 病毒,可在路由器上做下面的配置:
阻止黑客攻击
DDoS (Distributed Denial of Service)中文含义为分布式拒绝服务,即同时发动分布于全球的几千台主机对目的主机攻击导致合法用户不能够访问正常网络服务是黑客常用攻击手段。由于DDoS攻击需要大量的伪源IP地址,那么可以通过限制非法的伪源IP地址,达到阻止黑客攻击效果。笔者所在学校校园网合法网段是192.168.10.0∕24, 192.168.20.0∕24, 192.168.30.0∕24,则具体配置如下:
ip access-group 1 out (把ACL和接口S0/0联系起来,即在出口方向上使用ACL) 。通过以上访问控制列表命令可以有效控制DDoS,只允许合法有效校园网地址通过路由器的S0/0端口访问外网,从而大大缓解了骨干链路的压力。
3.2 访问控制列表在访问权限中的应用
3.2.1 访问时间权限控制
宿舍联了宽带,学生可以利用下课时间访问学校电子图书馆查询资料等。在大多数学生享受因特网无限教育资源的同时,也给某些学生沉迷网络游戏提供了一个良好机会。那么,ACL可以限定用户不同的上网时间。如限定从2010年3月6日到2029年8月10日止,在周一至周五上课时间(8:00~16:20)不能访问外网,周末和晚上可以开放,具体设置如下:
3.2.2 访问设备管理权限控制
为了对学校网络中心服务器、重要网络设备的保护,防止黑客的攻击,我们可以利用ACL对不同的设备设置一些必要的安全访问控制策略。例如,我们可以限定只有计算机网络中心的主机192.168.18.56才有权限访问路由器,则可以在全局配置模式下,设置标准ACL指定授权访问路由器主机地址192.168.18.56应用于虚接口上,应用方向为in,具体配置如下:
访问控制列表在流量控制中的应用
BitTorrent(简称BT)和电驴(eDonkey)都是用来进行文件下载的共享软件,其特点是:下载的人越多,速度越快。BT、电驴下载大大降低了下载服务器的负荷,但也造成网络下载的数据量剧增,使得网络带宽被大量的BT、电驴下载流量占据,严重影响其它网络业务,因此需要对BT、电驴流量进行有效控制。利用ACL可以合理的对这些流量进行控制,以更好的管理、利用现有的网络资源。一般情况下,BT软件使用的是6880~6890端口,而电驴使用的是TCP的4662端口和UDP的4772端口,我们只要封锁这些端口就可以达到目的,具体设置如下:
4、结束语
本文通过分析校园网管理存在的问题,提出了通过设置访问控制列表来管理校园网的方法。这样,一个校园网络就不仅仅是能够运转,而且是能够安全、正常、高效地运转。
摘要:随着学校规模地不断扩大发展, 校园网的管理成为越来越迫切解决的问题。本文将详细介绍利用访问控制列表对校园网的管理。
关键词:访问控制列表,校园网,网络管理
参考文献
[1]王渊明, 王小飞.基于时间的访问控制列表的应用[J], 山东通信技术, 2005.01:25-27.
[2]谭明佳, 基于时间的访问表技术应用研究[J].电脑学习, 2004.01:41-43.
[3]Cisco Systems公司, 思科网络技术学院教程[M].北京:人民邮电出版社, 2004, 7.
高级访问控制列表 篇7
网络时代的高速发展,对网络的安全性也越来越高,企业内部可能存在不同网段计算机访问许可不同,服务器拒绝收到某种服务信息流量等问题。通过配置路由器中访问控制列表,可以控制网络流量,按规则过滤数据报文,实现访问许可,并帮助企业内部网络制定相关策略,描述安全功能,反映流量的优先级,提高网络的安全性[1]。配置访问控制列表是《构建中小型企业网络》课程中重要内容,需要掌握路由器基本配置的基础知识。
Packet Tracer是思科发布的一款网络辅助学习软件,它可以模拟设计网络结构,配置网络仿真环境,排除网络故障,整个界面和网络环境真实再现。Packet Tracer解决了学校网络实验室内设备不足,减轻了教学负担的问题,有利于培养学生的网络学习兴趣[2]。
2 实验原理
IP访问控制列表是应用在路由器接口的指令列表,可分为标准IP访问控制列表和扩展IP访问控制列表。标准IP访问控制列表检查路由数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过[3]。
通过灵活地增加访问控制列表,达到过滤流入和流出路由器接口的数据包,限制网络流量,提高网络性能,起到网络访问的基本安全作用。
3 实验项目设计
3.1 实验目标
(1)理解标准IP访问控制列表的原理及功能;
(2)掌握命名的标准IP访问控制列表的配置方法;
(3)理解扩展IP访问控制列表的原理及功能;
(4)掌握编号的扩展IP访问控制列表的配置方法。
3.2 实验任务描述
某公司下设经理室、销售部、财务部,另外架设了公司的Web服务器,各部门分别属于不同的网段,具体见图1网络拓扑图。考虑财务处存放有重要的账套信息,保证服务器安全,领导要求实现:
任务一销售部不能访问财务部,但经理室可以访问财务部;
任务二.各部门主机只能访问服务器的WWW服务,不能对其使用ICMP服务。
3.3 实验设计
1)实验步骤分析
为实现任务目标,需要依次完成(1)在Packet Tracer仿真平台中搭建网络物理环境,考虑减少实验复杂性,这里仅选用了三台路由器、三台电脑、一台服务器;(2)给各个端口分配IP地址,其中IP规划设计如表1所示;(3)配置路由,保证PC之间、PC到服务器间网络畅通,仅畅通后才能实验允许或拒绝服务,测试网络连通性;(4)配置标准IP访问控制列表,实现任务一;(5)配置扩展IP访问控制列表,实现任务二;(6)测试实验结果。
2)实验关键指令
(1)路由配置指令
R1路由配置:
依次配置R2、R3,分别用PC2电脑ping PC3和Web服务器,测试网络整体连通性,并用WEB浏览器访问WEB服务器,测试结果如图2所示,显示网络畅通:
(2)配置标准IP访问控制列表命令
标准IP访问控制列表可以实现允许或拒绝来自某一网段完整协议,可以帮助我们实现PC1可以与PC3通信,但是不允许PC2与PC3通信。考虑PC1、PC2、PC3都要访问WEB服务器,只有在R2的F0/0端口宣告应用。关键命令如下:
至此,完成标准IP访问控制列表的配置,经测试达到预期目标,测试结果如图3-4所示:
(3)配置扩展IP访问控制列表命令
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,它检查数据包的源地址和目标地址,允许或拒绝某个特定的协议,例如TCP协议。它可以帮助我们实现任务2中提到的各子网段可以使用www服务,访问WEB服务器,但是拒绝使用ICMP服务。根据访问控制列表的最靠近受控对象原则,将扩展IP访问控制列表应用在R2的S0/0/1端口,关键命令如下:
至此,完成扩展IP访问控制列表的配置,经测试达到预期目标,测试结果如图5-6所示:
3)实验结果分析
从结果可以看出,标准IP访问控制列表仅检查源地址,允许和拒绝的是完整的协议;扩展IP访问控制列表检查源地址和目标地址,允许或拒绝的是某个特定的协议。配置访问列表的每一条语句就是一个规则,数据包发送后,逐条匹配,直到匹配到合适语句,执行语句的动作(允许或拒绝);如果没有找到匹配的规则,按照缺省规则执行[4]。
另外在实验中,允许或拒绝的都是整个网段,使用了反向子网掩码帮助实现,方向子网掩码中的0表示检查相应IP相应位,1表示不检查,从而可以通过反向子网掩码再对IP地址段进行细分,实现过滤指定部分网段数据功能。
3.4 实验总结
基于Packet Tracer仿真平台,配置访问控制列表的实验,能在教学中帮助同学们理解了标准IP访问控制列表和扩展IP访问控制列表的原理及其功能;通过任务驱动教学方法,帮助同学们掌握基本配置方法,加深理解路由器的网络管理功能。通过理论和实践结合提高了学生学习网络基础知识的积极性。
4 技能拓展
本次实验中仅涉及标准IP访问控制列表配置、扩展IP访问控制列表配置,ACL访问控制列表还包含反向访问控制列表、基于时间的访问控制列表、基于名称的访问控制列表。综合配置访问控制列表,可以保护存放敏感数据的计算机,拒绝非法访问服务器,阻止病毒传播与攻击,控制网络流量,提高网络性能,限定上网时间等作用。
摘要:针对网络实验室内设备不足,不便于学生开展网络实验的问题,本文描述了利用Packet Tracer仿真模拟软件开展配置IP访问控制列表的意义,详细介绍了开展配置访问控制列表的实验原理、实验项目设计、实验技能的拓展。帮助学生理解访问控制列表的功能,掌握其配置方法,并应用于实践中去。
关键词:实验教学,访问控制列表,流量控制,网络安全
参考文献
[1]Malik.网络安全原理与实践[M].王宝生,朱培栋,白建军,译.北京:人民邮电出版社,2008.
[2]刘静.基于Packet Tracer的IP访问控制列表教学设计与实现的研究[J].科技创新与应用,2012(12):276.
[3]王芳.路由器访问控制列表及其应用技术研究[J].解放军信息工程大学,2007.
高级访问控制列表 篇8
关键词:访问控制列表,网络安全,配置
网络安全的防护手段多种多样,如代理服务器,加密技术,入侵检测,防火墙等等。但是单方面的防御是不够的,纯粹的各种技术的叠加也只能增加网络繁重的复杂的负担而已。目前实现网络安全的一种有效途径是在网络中的交换机或路由器上使用访问控制列表(Access Control List简称ACL)ACL通过对网络资源进行访问ji输入和访问输出控制,确保网络设备不被非法访问或被用作攻击跳板。适当的使用ACL可以帮助用户有效减少安全风险。
1 ACL的基本原理、功能、使用目的
1.1 ACL的基本原理
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
1.2 ACL的功能
网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
1.3 ACL的使用目的
1)限制网络流量、提高网络性能。例如队列技术,不仅限制了网络流量,而且减少了拥塞。
2)提供对通信流量的控制手段,例如可以用其控制通过某台路由器的某个网络的流量。
3)提供了网络访问的一种基本安全手段。例如在公司中,允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器。
4)在路由器接口上,决定某些流量允许或拒绝被转发。例如,可以允许FTP的通信流量,而拒绝TELNET的通信流量。
2 ACL的工作原理和工作过程
2.1 ACL的工作原理
ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝
注意:ACL是CISCO IOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码———丢弃DENY.所以在写ACL时,一定要注意先后顺序。
例如:要拒绝来自172.16.1.0/24的流量,把ACL写成如下形式
允许172.16.0.0/18
拒绝172.16.1.0/24
允许192.168.1.1/24
拒绝172.16.3.0/24
那么结果将于预期背道而驰,把表一和表二调换过来之后,再看一下有没有问题:
拒绝172.16.1.0/24
允许172.16.0.0/18
允许192.168.1.1/24
拒绝172.16.3.0/24
发现172.16.3.0/24和刚才的情况一样,这个表项并未起到作用,因为执行到表二就发现匹配,于是路由器将会允许,和我们的需求完全相反,那么还需要把表项四的位置移到前面
最后变成这样:
拒绝172.16.1.0/24
拒绝172.16.3.0/24
允许172.16.0.0/18
允许192.168.1.1/24
可以发现,在ACL的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置。
ACL是一组判断语句的集合,它主要用于对如下数据进行控制:1)入站数据;2)出站数据;3)被路由器中继的数据
2.2 ACL的工作过程
1)无论在路由器上有无ACL,接到数据包的处理方法都是一样的:当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息———包括AD,METRIC……及对应的出接口;
2)这时,我们假定该数据是可路由的,并且已经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入ACL,如果没有ACL的话,则直接从该口送出。如果该接口编入了ACL,那么就比较麻烦。第一种情况———路由器将按照从上到下的顺序依次把该数据和ACL进行匹配,从上往下,逐条执行,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进行相应处理(允许或拒绝),并停止继续查询匹配;当查到ACL的最末尾,依然未找到匹配,则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。
对于ACL,从工作原理上来看,可以分成两种类型:
1)入站ACL
2)出站ACL
上面的工作过程的解释是针对出站ACL的。它是在数据包进入路由器,并进行了路由选择找到了出接口后进行的匹配操作;而入站ACL是指当数据刚进入路由器接口时进行的匹配操作,减少了查表过程
并不能说入站表省略了路由过程就认为它较之出站表更好,依照实际情况而定:
如图1所示,采用基本的ACL———针对源的访问控制。
要求如下:
1)拒绝1.1.1.2访问3.1.1.2但允许访问5.1.1.2
2)拒绝3.1.1.2访问1.1.1.2但允许访问5.1.1.2
采用基本的ACL来对其进行控制
从命令上来看,配置似乎可以满足条件。
假定从1.1.1.2有数据包要发往3.1.1.2,进入路由器接口E0后,这里采用的是入站表,则不需查找路由表,直接匹配ACL,发现有语句access-list 1 deny 1.1.1.2 0.0.0.255拒绝该数据包,丢弃;假定从3.1.1.2有数据包要发往1.1.1.2,同上,当1.1.1.2要和5.1.1.2通信,数据包同样会被拒绝掉。当3.1.1.2要和5.1.1.2通信,数据包也会被拒绝掉该ACL只能针对源进行控制,所以无论目的是何处,只要满足源的匹配,则执行操作。
如何解决此问题?
1)把源放到离目标最近的地方,使用出站控制;
2)使ACL可以针对目的地址进行控制。
第一项很好理解,因为标准的ACL只能针对源进行控制,如果把它放在离源最近的地方,那么就会造成不必要的数据包丢失的情况,一般将标准ACL放在离目标最近的位置!
第二种办法,要针对目标地址进行控制。因为标准ACL只针对源,所以,这里不能采用标准ACL,而要采用扩展ACL.但是它也有它的劣势,对数据的查找项目多,虽然控制很精确,但是速度却相对慢些。
简单比较以下标准和扩展ACL
标准ACL仅仅只针对源进行控制
扩展ACL可以针对某种协议、源、目标、端口号来进行控制
从命令行就可看出
标准:
Router(config)#access-list list-number
扩展:
Router(config)#access-list list-number protocol source{source-mask destination destination-mask}[operator operand][established][log]
Protocol—用来指定协议类型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和目的,分别用来标示源地址及目的地址
Source-mask and destination-mask—源和目的的通配符掩码
Operator operand—It,gt,eq,neq(分别是小于、大于、等于、不等于)和一个端口号
Established—如果数据包使用一个已建连接(例如,具有ACK位组),就允许TCP信息通过。
3 结论
通过对在交换机或路由器上配置ACL。再配合防火墙用,会使网络安全达到事半功倍的效果。虽然ACL是提高网络安全性的有效手段。但是许多用户并没有充分地利用ACL。因为正确管理和维护CL比较困难.所以要将ACL交给专门工程师去处理。并将ACL的每一条规则详细,对任何配置的ACL和每一条规则的改变做日志.以备日后追踪分析的要求。
参考文献
[l]Catherine Paquet,Diane Teare.Building Scalable Ciseo Intemetworks[M].北京:人民邮电出版社,2003.
[2]AⅡaIl L ka.The Practice of Network Security[M].北京:机械工业出版社.
高级访问控制列表 篇9
1 访问控制列表ACL
1.1 ACL介绍
ACL是将一些访问规则应用于路由器、三层交换机或者防火墙接口上,使合法的数据包得以通过,非法的数据包被拒绝,从而ACL达到对访问的控制,保障网络安全。达到对访问的控制,保障网络安全。
1.2 ACL的分类
1)标准访问列表ACL
标准的ACL只能根据源IP地址进行分类,使用199以及13001999之间的数字作为表号,H3C标准访问列表格式如下:
acl ACL号
rule permit|deny source IP地址反向子网掩码
2) 扩展访问列表
可以根据源IP地址、目的IP地址、源端口号、目的端口号,协议来进行分类,扩展的ACL使用100-199以及2000-2699之间的数字作为表号。H3C扩展访问列表格式如下:
aclACL号
协议定义过滤源主机范围定义过滤源端口定义过滤目的主机访问 定义过滤目的端口
3) 命名的访问列表
将标准访问列表或扩展访问列表取个名字,可以对访问列表进行增加、删除操作。格式如下:
acl ACL号name名字
1.3访问列表的定义规范
1) ACL是按着语句的顺序从上向下执行的,所以语句的放置顺序很重要,一旦找到匹配条件的语句就不再检查其他的判断语句了。
2) 在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在ACL里一定至少有一条“允许”的语句。
3) ACL语句不能被逐条的删除,只能一次性删除整个ACL。
4) 一个ACL的配置可以定义在进口也可以定义在出口方向。
5) 最有限制性的语句应该放在ACL语句的首行。
6) 将标准访问列表要尽可能放置在靠近目的地址的地方
7) 将扩展访问列表要尽量放置在靠近源地址的地方
2 我校校园网的网络设置
2.1学生机房的访问规则
学生机房不允许相互访问,也不能访问教师机,只能访问Web服务器,其它的应用服务器都不让访问,但学生机房的备份服务器可以访问ftp服务器。
2.2校园网络的拓扑图
四个学生机房的ip地址是192.168.3.*,192.168.4.* ,192.168.5.*,192.168.6.*
四个机房的备份服务器ip地址分别是每段的200
教师办公室的ip地址是192.168.10.*
Web服务器地址10.60.2.2,Ftp服务器地址10.60.2.3
2.3 三层交换机S7506E配置
建立一个扩展访问列表名字为jifang,规则是可以访问10.60.2.2这台web服务器,四台机房的备份电脑可以访问10.60.2.3这台ftp服务器,其它段的机房、教师电脑及服务器不允许访问,将设置好的ACL添加到相应的vlan中。
如果web或ftp服务器没有自己单独的ip地址,也可以单独拒绝服务器的web或ftp服务
例如拒绝vlan4机房登录web服务和ftp服务