基于ACL校园网络安全的实现.docx
《基于ACL校园网络安全的实现.docx》由会员分享,可在线阅读,更多相关《基于ACL校园网络安全的实现.docx(28页珍藏版)》请在三一办公上搜索。
1、南 阳 理 工 学 院本科生毕业设计(论文)学院(系): 软件学院 专 业: 网络工程 学 生: 指导教师: 完成日期 2012 年 04 月南阳理工学院本科生毕业设计(论文)基于ACL的校园网络安全策略的设计与实现Based on Design and Implementation of the campus network security policy in ACL总 计:毕业设计(论文) 21页表 格: 3个图 片: 6个南 阳 理 工 学 院 本 科 毕 业 设 计(论文)基于ACL的校园网络安全策略的设计与实现Based on Design and Implementation o
2、f the campus network security policy in ACL学 院(系): 软件学院 专 业: 网络工程 学 生 姓 名: 学 号: 指导教师(职称): 讲师 评 阅 教 师: 完 成 日 期: 2012年04月14日 南阳理工学院Nanyang Institute of Technology基于ACL的校园网络安全策略的设计与实现网络工程 摘 要 随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程,需要全方位
3、的防范。防范不仅是被动的,更要主动进行。ACL(访问控制列表)是网络安全防范和保护的主要策略,网络管理员通常首选ACL策略来完成对所管理网络的安全配置。由此可见ACL在网络中的重要性。本文通过在校园网中配置ACL实现对网络安全策略的应用,论文首先论述了ACL的发展和应用,详细介绍ACL的概念、作用、工作流程、分类和局限性,然后介绍了各种类型的访问控制列表的具体配置,最后搭建配置校园网的环境,具体配置校园网的控制访问列表,实现校园网运作在一个安全稳定的环境中。摘 要 ACL;校园网;网络安全策略Based on Design and Implementation of the campus ne
4、twork security policy in ACLNet Engineering MajorAbstract: With the rapid development of the network, the popularity of the network more and more civilians pervasive in peoples learning and all aspects of life, the network has brought great convenience to peoples learning and life, but the accompany
5、ing networkthe security issue has drawn increasing attention. Campus Network security is a huge project, a full range of prevention. Prevention is not only passive, but also to take the initiative. ACL (Access Control List) is the main strategy of prevention and protection of network security, netwo
6、rk administrators often preferred the ACL policy to complete the security configuration on the management network. This shows the importance of ACL in the network. This article through in the campus network configuration ACL to achieve in the application of network security policy, this paper first
7、discusses the development and application of the ACL, detailed introduces the concept, function, ACL working process, and the classification and limitations, and then introduces various types of access control list of the specific configuration, build environment of campus network last configuration
8、, and the specific configuration of the campus network access control list, realize campus network operating in a safe and stable environment Key words: ACL; Campus Network; Network Security Policy目 录1. ACL的发展和应用11.1 ACL发展11.2 ACL的应用12. ACL的概述22.1 ACL的定义22.2 ACL的作用22.3 ACL基本原理22.4 ACL的工作过程32.5 ACL的分
9、类42.6 ACL的局限性42.7 ACL的匹配顺序42.8 通配符掩码52.9 正确放置ACL53. ACL的各种应用配置63.1 标准ACL的配置63.2 扩展ACL的配置73.3 命名ACL83.4 基于时间段的ACL配置93.5 ACL的显示调试和删除104. 校园网ACL应用实例114.1 搭建配置环境124.2 ACL在院系机构的应用124.3 ACL在教学机房中作用144.3.1 屏蔽特定端口防范病毒与攻击144.3.2 通过ACL 限制上网行为154.4 ACL对校园网P2P流量的控制164.4.1 P2P工作原理164.4.2 抓包位置的部署164.4.3 索引服务器地址收集
10、164.4.4 ACL 的组成164.4.5 创建ACL 策略16结束语17参考文献18附录19致谢211. ACL的发展和应用1.1 ACL发展ACL(Access Control List)的全称是控制访问列表,控制访问起源于20世纪60年代,是一种重要的信息安全技术。所谓访问控制,就是通过某种途径显示地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的ACL是CISCO IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始开始提供ACL的支持。只不过支持的
11、特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方法都可能有细微的差别。CISCO路由器中有两种常用的控制访问列表,一种是标准访问列表,另一种是扩展访问列表。标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。在标准与扩展访问控制列表中均要使用表号,而在命名访问控制
12、列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。随着网络的发展和用户要求的变化,从IOS 12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有
13、效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。1.2 ACL的应用ACL(Access Control List,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。通过在路由器以及交换机上配置相关规则即可实现对数据包的过滤,而不需要添加额外的防火墙等过滤设备既能够实现对数据包的过滤。由于实现方式简单,效果明显,并且成本低廉,适合校园网、小型企业等节约网络成本的网络中用于数据包的控制1。同时其他网络技术结合ACL配置也能够实现相应的功能,例如NAT、IPSEC、路由策略
14、、QOS等,由此可见ACL的重要性。2. ACL的概述2.1 ACL的定义访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。2.2 ACL的作用访问控制列表(Access Control List, ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则。ACL可以限制网络流量、提高网络性能。ACL可以根据数据包的协议,指定数据包的优先级。ACL可以限定或
15、简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段,ACL允许主机A访问网络,而拒绝主机B访问。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。ACL是路由器接口的指令列表,用来控制端口进出的数据包,ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。2.3 ACL基本原理网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访
16、问,另一方面限制特定的用户节点所能具备的访问权限。ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝 ACL是CISCO IOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码丢弃DENY.所以在写ACL时,一定要注意先后顺序。可以发现,在ACL的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置。当入站数据包进入路由器内时,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路
17、由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。接下来选择路由器接口,进入接口后使用ACL。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的2。其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。通过ACL,可以简单的将不符合规则要求的危
18、险数据包拒之门外,使其不能进入内部网络。具体过程如下图所示:图212.4 ACL的工作过程无论在路由器上有无ACL,接到数据包的处理方法都是一样的:当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息包括AD,METRIC及对应的出接口。这时,我们假定该数据是可路由的,并且已经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入ACL,如果没有ACL 的话,则直接从该口送出。如果该接口编入了ACL,那么就比较麻烦3。第一种情况路由器将按照从上到下的顺序依次把该数据和ACL进行匹配,从上往下,逐
19、条执行,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进行相应处理(允许或拒绝),并停止继续查询匹配;当查到ACL的最末尾,依然未找到匹配,则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。2.5 ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。这两种ACL的区别是,标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。网络管理员可以使用标准AC
20、L阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,上表指出了每种协议所允许的合法表号的取值范围。IP标准访问控制列表编号:199或13001999IP扩展访问控制列表编号:100199或20002699标准访问控制列表和扩展访问控制列表的对比如
21、下图所示。图22标准ACL与扩展ACL对比2.6 ACL的局限性由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等4。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。2.7 ACL的匹配顺序ACL的执行顺序是从上往下执行,Cisco IOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。在写ACL时,一定要遵循最为精确匹配的ACL语句
22、一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句图23 ACL匹配顺序2.8 通配符掩码通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示“不检查(忽略)相应的位”。IP地址掩码的作用:区分网络为和主机位,使用的是与运算。0和任何数相乘都得0,1和任何数相乘都得任何数。通配符掩码:把需要准确匹配的位设为0,其他位为1,进行或运算。1或任何数都得1,0或任何数都得任何数。特殊的通配符掩码:1.Any0.0.0.0 255.255.255.2552.Host172.16.30.28 0.0.0.0Host 172.16.30.282.9 正确放置ACL ACL通过制
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 ACL 校园 网络安全 实现
![提示](https://www.31ppt.com/images/bang_tan.gif)
链接地址:https://www.31ppt.com/p-1941600.html