1、桂林电子科技大学职业技术学院毕业设计(论文)访问控制列表ACL在校园网中的应用初探学院(系):电子信息工程系专业名称:通 信 技 术学 号:学生姓名:指导教师:桂林电子科技大学职业技术学院毕业设计(论文)任务书系别:电子信息工程系号:姓指导教工作流程,分名:师:设计(论文)题目:访问控制列表 ACL在校园网中的应用初探设计(论文)主要内容:、ACL的发展,现状和将来,详细介绍 ACL的概念,原理,类和局限性。、详细说明ACL的匹配顺序,创建出一个控制访问列表的简单示例,并详 细说明控制访问列表的配置任务和放置控制访问列表的正确位置。(3) 、配置各种类型的访问控制列表,比如基本访问控制列表,高
2、级访问控制列表,基于接口的访问控制列表,基于以太网MAC地址的访问控制列表并完成删除控制列表的操作。(4) 、完成时间段的控制访问列表配置,访问控制列表的显示和调试。(5) 、简述校园网的特点及其所面临的安全问题及解决办法。(6) 、搭建配置校园网的环境,配置校园网的控制访问列表实例。(7) 、对配置好控制访问列表的校园网的安全性能进行测试。 要求完成的主要任务:1、查阅不少于 5 篇相关资料,完成开题报告。2、根据进度按时完成毕业论文初稿。3、按时参加论文中审和后期答辩。4、完成校园网络安全的分析与策略研究论文设计必读参考资料:1 莫林利 使用ACL技术的网络安全策略研究及应用 华东交通大学
3、学报 2009( 1 2)2 唐子蛟,李红蝉 基于ACL的网络层访问权限控制技术研究 四川理工学院 学报 2009(01)3 周星,张震等.网络层访问控制列表的应用J.河南大学学报,2004, 20 (5)4 斯桃枝,姚驰甫.路由与交换技术M.北京:北京大学出版社,2008年5 月5 谢希仁.计算机网络 第五版M.北京:电子工程出版社,20086 邢彦辰,范立红等 计算机网络与通信.人民邮电出版社;第1版(2008 年10月1日)7 为Bob Vachon Rick Grazia ni 思科网络技术学院教程 人民邮电出版 社2009年3月第1版指导教师签名:系主任签名:桂林电子科技大学职业技术
4、学院毕业设计(论文)开题报告系别电子信息工程系专业通信技术学号姓名论文(设计)题目访问控制列表ACL在校园网中的应用初探目的及意义(含国内外的研究现状分析)本选题的目的是配置以ACL为核心、安全可靠的校园网络。随着网络的高速发展,网络的普及也越来越平民化,网络的安全问题也越来越引起 人们的重视,在现实生活中我们每天都在面对各种各样的病毒,木马,非法入侵,基于这些现状我们必须有一套安全可靠的防护措施。高校校园网的安全是一个庞大 的系统工程,需要全方位防范。防范不仅是被动的,更要主动进行,只有这样,才 能取得主动权,使网络避免有意无意的攻击。ACL即访问控制列表,它是工作在 OSI参考模型三层以上
5、设备,通过对数据包中的 第三、四层中的包头信息按照给定的规则进行分析,判断是否转发该数据包。基于 ACL的网络病毒的过滤技术在一定程度上可以比较好的保护局域网用户免遭外界病 毒的干扰,是一种比较好的中小型局域网网络安全控制技术。Acces Conttol List,控制访问起源于20世纪60年代,是一种重要的信息安全技术。所谓访问控制,就是通过某种途径显示地准许或限制访问能力及范围,从而限 制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。网络 中常说的ACL是 CISCO IOS所提供的一种访问控制技术,初期仅在路由器上支持, 近些年来已经扩展到三层交换机,部分最新的二层交
6、换机如2950之类也开始开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层 交换机上也提供类似的技术,不过名称和配置方法都可能有细微的差别。CISCO路由器中有两种常用的控制访问列表,一种是标准访问列表,另一种是扩展访问列 表。随着网络技术的发展和用户需求的变化,从IOS 12.0开始,CISCO路由器新增加了一种基于时间的访问控制。ACL的介绍,主要包括以下几点:(1)ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地 址、目的地址、源端口、目的端口等,根据预选定义好的规则对包进行过滤,从而 达到访问控制目的。(2)ACL的主要功能就是一方面保
7、护资源节点,组织非法用户对资源节点的访 问,另一方面限制特定的用户节点所能具备的访问权限。(3)在实施ACL的过程中,应当遵循如下两个基本原则。|a最小特权原则:只给受控对象完成任务必须的最小权限。a最靠近受控对象原则:所有的网络层访问权限控制尽可能离受控对象最近。(4) ACL过滤的依据是第三层和第四层包头中的部分信息,这种技术具有一些固 有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此, 要达到end to end的权限控制目的,需要和系统级及应用级的访问控制权限结合 使用。研究的主要内容本选题基于ACL为主,同时搭配NAT和虚拟局域网技术,其中采用虚拟局域网技术 和
8、建立ACL列表控制保障整个校园网络的安全运行,NAT在合理减少合法地址需求的同时还可以隐藏内部真实的网络地址,减低黑客入侵的成功率,使校园网运作在一个安全稳定的环境下。本选题研究内容如下:(1) ACL的发展,现状和将来,介绍 ACL的概念,原理,工作流程,分类和局限 性。 详细说明ACL的匹配顺序,创建出一个控制访问列表的简单示例,并详细说明 控制访问列表的配置任务和放置控制访问列表的正确位置。(3) 配置各种类型的ACL比如基本访冋控制列表,咼级访冋控制列表,基于接口 的访冋控制列表,基于以太网 MAC地址的访冋控制列表并完成删除控制列表的 操作。(4) 完成时间段的控制访问列表配置,访问
9、控制列表的显示和调试。(5) 简述校园网的特点及其所面临的安全问题及解决办法。(6) 搭建配置校园网的环境,配置校园网的控制访问列表实例。(7) 对配置好控制访问列表的校园网的安全性能进行测试。采用的研究方法a) 查找并阅读相关资料,了解基本的内容,利用需求分析文档,对整个控制 访问策略有个基本的架构。b) 搜寻实验用的文件文档集和研究过程中用到的各种工具软件。C)根据已有的资料并搜寻到的各种软件工具进行分析、设计。d)米用 DynamipsGUI gns3、Cisco Packet Tracer 5.3等工具完成整个策略的编写与测试。工作的进度安排2011年10月25号10月30号搜集资料,
10、查阅文献,完成开题报告。2011年11月1号一2011年11月5日完成文献综述2011年11月6号一11月10号定出基于ACL技术的校园网络安全的需求分析文档2011年11月11号一11月15号 整理相关资料并完成概要和详细设计2011年11月16号一11月20号进行校园局域网的相关配置和必要性测试2011年11月21号一11月25号总结毕业设计的整个过程,完成毕业设计论文初稿2011年12月1号一12月25号修改毕业论文定稿,打印装订指导教师意见指导教师签名:年 月曰1 1目 录摘要2关键字.2.21 ACL 的概述21.1 基本原理21.2 功1.3 配置基本原则31.4 局限性41.5A
11、CL 的作用41.6ACL 的分类41.7ACL 的执行顺序42 ACL 的创建和配置52.1 ACL 的创建52.2 ACL 的创建位置72.3 ACL 的配置72.3.1 配置标准的ACL72.3.2 配置扩展的ACL82.3.3 配置命名ACL82.3.4 删除ACL102.4 基于时间的ACL102.5 ACL 的显示和调试113 ACL 在校园网中的应用实例123.1 实现网络访问的单向控制12禁止或允许部分网络服务13禁止某台主机的通信14保护重要端口免受病毒攻击14小结14摘要随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的 方方面面,网络无孔不入,给人们的学习
12、和生活带来了极大的便利,但随之而来的 网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工 程,需要全方位的防范。防范不仅是被动的,更要主动进行。本文基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网运作在一个安全稳定的 环境下。关键词ACL;校园网;网络安全策略;访问控制列表、八 、,前言自从产生了网络,随之而来的就是网络的安全问题。任何连接上网络的企 业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的非法数据从外部侵入内部 Intranet ,也要防止内部各主机之间的相互攻击 , 一旦网络瘫痪或 者信息被窃取,将会带来巨大的损失。路由器作为 Intranet 和 Internet 的网间互 连设备,是保证网络安全的第一关,而在路由器上设置控制访问列表(ACL可以很 好的解决这些网络安全问题。访问控制列表适用于所有的路由协议,通过灵活地增 加访问控制列表,ACL可以当作一种网络控制的有力工具。一个设计良好的访问控 制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬 件投资的情况下完成一般软、硬件防火墙产品的功能。1、ACL的概述
免费区 
