ACL控制网络安全论文23205.doc

资源描述

《ACL控制网络安全论文23205.doc》由会员分享，可在线阅读，更多相关《ACL控制网络安全论文23205.doc（15页珍藏版）》请在三一文库上搜索。

1、目录摘要 .- 1 - 1 ACL 的概述 - 2 - 1.1 ACL 的作用 - 2 - 1.2 ACL 的工作原理 - 2 - 1.3 ACL 分类 - 2 - 1.3.1 标准的 ACL - 2 - 1.3.2 扩展 ACL - 3 - 1.3.3 命名 ACL - 4 - 1.3.4 基于时间 ACL - 4 - 1.3.5 动态 ACL - 5 - 1.3.6 自反 ACL - 5 - 2 企业园区内部网络的分析 .- 6 - 2.1 企业园区网络拓扑 .- 6 - 2.2 企业内部的 IP 划分情况 .- 7 - 3 企业园区内部网络的安全分析 .- 8 - 4 ACL 的具

2、体应用 - 8 - 4.1 路由器和交换机 .- 8 - 4.2 财务部 .- 8 - 4.3 软件开发部 .- 9 - 4.4 网站设计部 .- 9 - 4.5 人事部 .- 10 - 4.6 管理服务器 .- 10 - 5 小结 .- 10 - 参考文献 .- 12 - 致谢 .- 13 - - 1 - 摘要随着网络技术的飞速发展,网络的规模不断扩大,网络在为园区提供资源共享的平台, 为之间提供更多的交流管道, ,但网络互联也导致了部门之间数据保密性降低,影响了部门安全, 因此, 企业园区网络建设需考虑部门之间的访问控制和网络设备的安全。 ACL（Access Control Li

3、sts访问控制列表）就是一系列由源地址，目的地址，端口号等决定的允许和拒绝条件集合。ACL是应用于路由器、三层、二层交换机。通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制“。实验中主要对于在企业管理中需要避免各个部门之间网络的相互影响，限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。可以防止病毒通过路由器从外网进入，也可以防止内部的病毒通过路由器向外传染病毒，同时在中心交换机上划分的VLAN也可以防止病毒在子网之间的传播。关键词： ACL 控制网络安全 - 2 - 1 ACL 的概述随着大规模开放式网

4、络的开发，网络面临的威胁也就越来越多。网络安全问题成为网络管理员最为头疼的问题。一方面，为了业务的发展，必须允许对网络资源的开发访问；另一方面，又必须确保数据和资源的尽可能安全。网络安全采用的技术很多，而通过访问控制列表（ACL）可以对数据流进行过滤，是实现基本的网络安全手段之一。 1.1 ACL 的作用网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL 的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 1.2 ACL 的工作原理访问控制列表简称为 ACL

5、，它使用包过滤技术，在路由器上读取第 3 层及第 4 层包头中的信息，如源地址、目的地址、源埠和目的埠等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。其中标准控制列表只读取数据包中的源地址信息，而扩展访问控制列表则还会读取数据包中的目的地址、源埠、目的端口和协议类型等信息。ACL 判断数据包是否符合所定义的规则，符合要求的数据包允许其到达目的地址进入网络内部，不符合规则的则丢弃，同时通知数据包发送端，数据包未能成功通过路由器。通过 ACL，可以简单的将不符合规则要求的危险数据包拒之门外，使其不能进入内部网络。 1.3 ACL 分类 1.3.1 标准的 ACL 当我们

6、要想阻止来自某一网络的所有通信流量，或者充许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准 ACL 使用源地址进行数据包过滤，将对整个 TCP/IP 协议生效，从而允许或拒绝基于网络、子网或主机的 IP 地址的所有通信流量通过路由器的接口。标准 ACL 其格式如下： access-list access-list-number permit | deny source source-wildcard access-list-number：编号的范围适用数字 1-99/1300-1999，该列表号不必按照任何特殊顺序

7、，这表明该 access-list 语句是一个普通的标准型 IP 访问列表语句。list number 参数具有双重功能: （1）定义访问列表的操作协议; （2）通知 IOS 在处理 access-list 语句时，把相同的 list number 参数作为同一实体对待。正如本文在后面 - 3 - 所讨论的，扩展型 IP 访问列表也是通过 list number 而表现其特点的。 permit | deny ：设置执行的动作，是允许还是拒绝。 source：指定源地址。可以是一台主机或者一个网段。 source-wildcard ：源地址的反屏蔽。当设置完访问控制列表的 ACE 时，还必须把

8、它应用到界面上才能使其生效，其格式如下： ip access-group access-list-number in |out 将访问控制列表应用于接口，访问组在配置时要求指定其应用是 in 还是 out 模式，该选项 in 和 out 代表着访问控制列表对于接口来说使用的方式，其中，out 表示访问控制列表用于所有输出数据包，到来的分组首先被路由到出站接口，并在将其传输出去之前根据出站访问列表对其进行处理。一种调用访问控制列表的命令是 access-class ，该命令用于控制到达路由器或者由路由器虚拟终端线路发起的 telnet 会话，而不进行数据包过滤，命令格式如下： ac

9、cess-calss access-list-number in|out 命令 access-class 对于路由器传输的 telnet 流量不起作用，它仅影响到达路由器以及路由器发起的会话。 1.3.2 扩展 ACL 扩展型 IP 访问列表在数据包的过滤方面增加了不少功能和灵活性。IP 扩展访问列表可以根据 IP 上层协议号、源 IP 位址、目的 IP 位址、源 TCP/UDP 端口号、目的 TCP/UDP 端口号、TCP 标志、ICMP 消息类型和代码、TOS 优先级、IP 分片标志等属性对数据包进行过滤，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其它协议的流量通过，

10、他可以更精确的过滤流量。扩展型 IP 访问列表的通用格式如下： access-list access-list-number dynamic dynamic-name timeout minutes permit | denyprotocol source source-wildcard destination destination- wildcard precedence precedencetos toslog|log-inputtime-range time- range-nameoperator opera establishedfragment access-list-numbe

11、r：扩展 ACL 适用数字 100-199 或者 20002699 dynamic：表示这个列表时一个动态访问控制列表。 timeout：定义了一个临时条目在一个动态列表中保留的最大时间。 protocol：协议类型，其中包括 IP、TCP、UDP 和 ICMP 等等由于 IP 头部传送 TCP、UDP、路由协议和 ICMP 协议，所以在访问列表的语句中，IP 协议的级别比其它协议更为重要。 source source-wildcard ：源地址和反屏蔽， - 4 - destination destination-wildcard：目标地址和反屏蔽。如果主机的反屏蔽是 0.0.0.0 那么

12、可以写成：host ip 地址这样的格式。如果地址是 0.0.0.0 255.255.255.255 可以写成 any。 precedence：ip 报头中的优先级字段，范围是 0-7， tos：ip 报头中的服务类型。范围是 0-15 log：任何访问控制列表后都可以加上一个 log 关键词，它起日志的作用。一旦访问列表作用于某个接口，那么包括关键词“log“的语句将记录那些满足访问列表中“permit“ 和“deny“条件的资料包。第一个通过接口并且和访问列表语句匹配的数据包将立即产生一个日志信息。后续的数据包根据记录日志的方式，或者在控制台上显示日志，或者在内存中记录日志。通过

13、Cisco IOS 的控制台命令可以选择记录日志方式。 log-input：如果在扩展 ACL 最后加上 log-input，则不仅会保存流量信息，还会将数据包通过的端口信息也进行保存 time-range：定义一个时间列表。 operator operan ：操作选项。等于 (eq)、不等于 (neq)、大于 (gt) 和小于 (lt)。 1.3.3 命名 ACL 对于每台路由器，798 个标准访问列表或者 799 个扩展访问列表，看上去已经足够了。但是有些情况（比如动态访问列表）可能就不够了，从 IOS 11.2 开始提供的命名访问列表打破了这种限制，命名 ACL 允许对访问控制列表

14、允许访问控制列表进行标识时使用一些描述性的名称，而不是像以前那样仅一个无描述作用的号码，描述名可以使数量庞大的访问列表更加便于管理。 1.3.4 基于时间 ACL 随着网络的发展和用户要求的变化，从 IOS 12.0 开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。它需要先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。并且，对于编号访问表和名称访问表都

15、适用。基于时间的访问控制列表的格式：基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。这里我们主要讲解下定义时间段，具体格式如下： time-range 时间段名称 absolute start 小时：分钟日月年 end 小时：分钟日月年 - 5 - 例如：time-range softer absolute start 0:00 1 may 2005 end 12:00 1 june 2005 意思是定义了一个时间段，名称为 softer，并且设置了这个时间段的起始时间为 2005 年 5 月 1 日零点,结束时间为 2005

16、年 6 月 1 日中午 12 点。 1.3.5 动态 ACL 动态 ACL 是 Cisco IOS 的一种安全特性，它使用户能在防火墙中临时打开一个缺口，而不会破坏其它已配置了的安全限制。 lock-and-key 动态 ACL 使用 IP 动态扩展 ACL 过滤 IP 流量。当配置了 lock-and- key 动态 ACL 之后，临时被拒绝掉的 IP 流量可以获得暂时性的许可。 lock-and-key 动态 ACL 临时修改路由器接口下已经存在的 ACL，来允许 IP 流量到达目标设备。之后 lock-and-key 动态 ACL 把接口状态还原。通过 lock-and-key 动

17、态 ACL 获得访问目标设备权限的用户，首先要开启到路由器的 telnet 会话。接着 lock-and-key 动态 ACL 自动对用户进行认证。如果认证通过，那么用户就获得了临时性的访问权限。 1.3.6 自反 ACL 自反 ACL 是自动驻留的，暂时的，基于会话的过滤器，允许根据上层会话信息对 IP 分组进行过滤，如果某台路由器允许通过网络内部向外网的主机初始发起一个会话，那么自反访问控制列表就允许返回的会话数据流，自反列表和扩展命名的 Ipv4 访问列表一起使用。只能由内部网络始发的，目的地是不能主动访问源，外部网络的响应流量可以进入，由外部网络始发的流量如果没有明确的允许，

18、是禁止进入的。自反 ACL 可以基于上层信息过滤 IP 流量。可以使用自反 ACL 实现流量的单向穿越。自反 ACL 只能通过命名扩展 ACL 来定义。 Configuring Reflexive ACL 配置自反 ACL 的步骤如下：（1）定义命名扩展 ACL： BitsCN(config)#ip access-list extended name （2）定义自反 ACL： BitsCN(config-ext-nacl)#permit protocol any any reflect name timeout seconds （3）嵌套自反 ACL： BitsCN(config-ext

19、-nacl)#evaluate name （4）应用自反 ACL： BitsCN(config-if)#ip access-group name in|out （5）全局定义自反 ACL 的超时时间。可选： - 6 - BitsCN(config)#ip reflexive-list timeout seconds 2 企业园区内部网络的分析传统意义上的网络安全考虑的是防范外部网络对内网的攻击行为，即来自于英特网的攻击行为。外网安全威胁模型假设内部网络都是安全可信的，威胁都来自于外部，其途径主要通过内外网络边界出口，只要将网络边界处的安全控制措施做好，即可确保整个网络的安全。传统防火墙

20、、入侵检测、防病毒网关和 VPN 设备都是基于这种思路来设计的。事实上，内部网络并非完全安全可信。内部网络包含大量的终端、服务器和网络设备，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，威胁既可能来自外网，也可能来自内网的任何一个节点上，实现一个可管理、可控制和可信任的内网已成为维护企业网络系统正常运行，充分发挥信息网络效益的必然要求。 2.1 企业园区网络拓扑图 2-1 企业部门划分图 - 7 - 图 2-2 企业 ACL 功能 2.2 企业内部的 IP 划分情况表2-1 企业各部门IP划分部门 Ip网段 MAC地址人事部 192.168.1.0 255.255

21、.255.0 网站设计部 192.168.2.0 255.255.255.0 软件开发部 192.168.3.0 255.255.255.0 财务部 192.168.4.0 255.255.255.0 管理服务器 192.168.5.0 255.255.255.0 - 8 - 3 企业园区内部网络的安全分析目前，对企业内部园区网络的常见安全问题有以下几点： 1）在企业管理中需要避免各个部门之间网络的相互影响，限定终端用户的访问区域之在本部门 Vlan 和特定的服务器 Vlan 之内。 2）防止内网已有病毒在网络上的扩散传播，控制并减少病毒侵害的范围。 3）防止未经授权的非法终端设备接入网络

22、，对网络中的设备进行管理。 4 ACL的具体应用 4.1 路由器和交换机在企业的路由器中设置ACL可以提高安全性。在网络传输中限制传输的类型，提高性能，减少网络漏洞，能防止内部的攻击，如各种木马程序和蠕虫病毒的攻击。通过对病毒进行分析，了解病毒主要是通过TCP的135、136、137、138、445、4444埠，UDP 的69、135、136、445埠来发动攻击的。路由器作为内部计算机的跨网访问的通道，可以将这些埠限制掉，便可以防止病毒通过路由器从外网进入，也可以防止内部的病毒通过路由器向外传染病毒，同时在中心交换机上划分的VLAN也可以防止病毒在子网之间的传播。 Router(c

23、onfig)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 135 Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 136 Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 137 Router(config)#access-list 101 permit ip any any Router(config)#i

24、nt e0/0 Router(config-if)#ip access-group 101 in 4.2 财务部由于财务部的数据库服务器上面的数据是比较机密的，不是任何人都可以访问上面的数据，这时就要用到访问控制列表ACL，在列表中规定哪些主机可以访问财务部数据库服务器，并且此列表外的主机要想访问财务部服务器时，就会被路由器过滤掉 Router(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 Router(config)#access-list 101 deny ip 192.168.

25、2.0 0.0.0.255 192.168.4.0 0.0.0.255 - 9 - Router(config)#access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 Router(config)#access-list 101 permit ip any any 禁止人事部、软件开发部、网站设计部访问财务部。 4.3 软件开发部由于软件开发部需要编写大量程序，大部分时间用于编程，但有时候需要上网搜索数据。所以利用基于时间的ACL来限制上网的时间。只允许软件开发部192.168.3.0 网段的员工在周一到周五

26、下午三点到五点访问服务器192.168.5.13上的FTP资源，其它工作时间不能下载该FTP资源。路由器配置命令： Router#show clock Router#clock set Router(config)#time-range worktime /定义时间段名称为worktime Router(config-time-rang)#absolute start 15:00 end 17:00 Router(config-time-rang)# periodic weekdays monday to firday periodic weekend 15:00 to 17:00 /定义

27、具体时间范围为每周一到周五的三点到五点。 Router(config-time-rang)#periodic weekdays monday to firday /是定义工作日。 Router(config)#access-list 101 deny tcp any 192.168.5.13 0.0.0.0 eq ftp timerange aaa/禁止在时间段aaa范围内访问192.168.5.13的FTP服务。 Router(config)#access-list 101 permit ip any any /容许其它时间段和其它条件下的正常访问。 int E1/进入E1埠。 Route

28、r(config-if)# ip access-group 101 out /输出方向。基于时间的ACL比较适合于时间段的管理，通过上面的设置，192.168.3.0的用户就只能在周一到周五下午三点到五点访问服务器的FTP资源，其它时间均不能访问 4.4 网站设计部负责企业的主要工作，为客户设计其要求的网站。在这里，员工是不允许上网的，但是其又需要不断地与客户交流。所以，部门内必须设置特定的主机，与客户进行远程交流。这里利用ACL在主交换机上设置一台特定主机能过访问外网并能过 telnet。Router(config)#access-list 1 permit host 192.16

29、8.2.2 Router(config)#access-list 1 deny any int s0/0 Router(config)#ip access-group 1 out line vty 0 4 Router(config)#access-list 1 in - 10 - 4.5 人事部人事部主要负责人事招聘，需要经常上网了解网上人力资源，了解各种人才对企业的需求。所以，在工作期间，可能会有人上QQ、玩游戏、下载檔等，造成企业流量浪费。所以，限制他们一些其它类型的数据流量，而有Email的数据流量被允许，这样就可以限制该企业内部对外部网络的访问，只允许员工接收外部邮件，访问一

30、些固定的网址（1）用ACL来禁止QQ，QQ登陆使用时8000埠（TCP/UDP） Router(config)#access-list 101 deny udp any any eq 8000 禁止QQ流量；Router(config)#access-list 101 permit udp any any/允许过滤后所有UDP流量； Router(config)#accesslist 101 permit tcp any any /允许过滤后所有TCP流量； Router(config)#access-list 101 permit ip any any /允许过滤后所有IP流量。 Rou

31、ter(config)#Int e0/0 Router(config)#Ip access-group 101 in （2）利用ACL限制BT下载 Router(config)#access-list 101 deny tcp any any rang 6881 6890 Router(config)#access-list 101 deny tcp any rang 6881 6890 any Router(config)#access-liat 101 permit ip any any 4.6 管理服务器主要用来管理和限制各个部门之间的访问权限，便于管理者管理和及时了解企业数据信息。

32、通过在管理服务器上设置ACL，管理者可以访问所有的部门，自由访问 Internet，而其它部门则没有权限访问管理服务器。 Router(config)#access-list 101 permit ip 192.168.5.0 0.0.0.255 any Router(config)#access-list 101 deny any 这样，企业管理者可访问所有部门并能自由上网，所有部门不能够访问该企业的管理服务器等功能。 5 小结本文主要介绍了 ACL 的工作原理，列举出了几种 ACL 在网络当中的具体应用，这在一定程度上可以帮助网络管理人员更加灵活、方便的应对网络控制及网络安全中所出

33、现的问题。访问控制列表时网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。在具体的网络应用中实现了防止内部的病毒通过路由器向外传染病毒，在各个 - 11 - VLAN 间也可以防止病毒在子网间的传播。管理服务器的管理者可以访问所有部门，自由访问 Internet，而其它部门则没有权限访问管理服务器。这样企业管理者就可以对所有部门进行访问和管理并能自由上网。实现了禁止人事部、软件开发部、网站设计部访问财务部。对一些部门在规定的一些时间内不能上网或娱乐等采用基于时间的 ACL 进行了限制。 - 12 - 参考文献 1 原峰山,陈立德. 网络管理与安全. 清华大学

34、出版社 2 诸晔.用ACL实现系统的安全访问控制J.计算机应用与软件.2005.22(3):111-114 3 范萍,李罕伟.基于ACL 的网络层访问权限控制技术研究J.华东交通大学学报. 2004.21(4):89-92 4 网络安全性设计 Merike kaeo,CCIE #1287 着人民邮电出版社 100-105 5 郭自龙.访问控制列表在网络管理中的应用.M.北京：清华大学出版社，2004 6 Saadat Malik .网络安全原理与实践指南 M.北京：人民邮电出版社， 1982.20-29 7 Jihnson. 思科网络技术学院教程. M .北京：人民出版社，2009.50-6

35、1. 8唐子蛟，李红蝉基于ACL的网络安全管理的应用研究J四川理工学院学报(自然科学版)，2009，22(1)：4851 9范萍，李罕伟基于ACL的网络层访问权限控制技术研究J华东交通大学学报， 2004，21(4)：8992 10陈卫荣Ciseo路由器访问控制列表配置实现第一道网络安全屏障J武麦学院学报，2008，27(5)：印一64 - 13 - 致谢通过这一阶段的努力，我的毕业论文企业园区内部网络ACLS的基本应用终于完成了，这也意味着我三年的大学生活即将结束。在大学阶段，我在学习上和思想上都受益非浅，这除了自身的努力外，与各位老师、同学和朋友的关心、支持和鼓励是分不开的。在本论文的写作过程中，我的讲师陈阳老师倾注了大量的心血，从写作提纲到初稿定稿，一遍又一遍地指出每稿中的具体问题，严格把关，循循善诱，在此我表示衷心感谢。同时我还要感谢在我学习期间给我极大关心和支持的各位老师以及关心我的同学和朋友。写作毕业论文是一次再系统学习的过程，毕业论文的完成，同样也意味着新的学习生活的开始。再次感谢帮助过我的老师，同学们。感谢你们对我无私的帮助，使我顺利完成了三年的学业。 1

展开阅读全文