《基于ACL的校园网络安全策略》由会员分享,可在线阅读,更多相关《基于ACL的校园网络安全策略(16页珍藏版)》请在金锄头文库上搜索。
1、基于ACL的校园网络安全策略 摘要随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程,需要全方位的防范。防范不仅是被动的,更要主动进行。本文基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网运作在一个安全稳定的环境下。关键词ACL;校园网;网络安全策略;访问控制列表 前言自从产生了网络,随之而来的就是网络的安全问题。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的非法数据从外部侵入内
2、部Intranet,也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取,将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备,是保证网络安全的第一关,而在路由器上设置控制访问列表(ACL)可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议,通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。1 基本功能、原理与局限性基本原理:入站数据包进入路由器内,路由器首先判断数据包是否从可路由的源地址而来
3、,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。接下来选择路由器接口,进入接口后使用ACL。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数
4、据包未能成功通过路由器。通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。图1 ACL工作原理功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用
5、级的访问权限控制结合使用。2 访问控制列表概述 访问控制列表(Acess Control List,ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。在这里,只介绍IP协议的ACL。 ACL的作用1. ACL可以限制网络流量、提高网络性能。2. ACL提供对通信流量的控制手段。 3. ACL是提供网络安全访问的基本手段。 4. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。2.1 访问控制列表的分类目前有两种主要的ACL:标准ACL和扩
6、展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。IP标准访问控制列表编号:199或13001999IP扩展访问控制列表编号:100199或26992.2 访问控制列表的匹配顺序ACL的执行顺序是从上往下执行,Cisco IOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。在写ACL时,一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句图2 ACL的匹配
7、顺序2.3 访问控制列表的创建标准ACL命令的详细语法1 创建ACL定义例如:Router(config)#access-list 1 permit 10.0.0.0 0.255.255.2552应用于接口例如:Router(config-if)#ip access-group 1 out扩展ACL命令的详细语法1. 创建ACL定义例如:accell-list101 permit host 10.1.6.6 any eq telnet2. 应用于接口例如:Router(config-if)#ip access-group 101 out下面更详细的介绍扩展ACL的各个参数: Router(co
8、nfig)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log表1 扩展ACL参数描述参数参数描述access-list-number访问控制列表表号permit|deny如果满足条件,允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型,如IP、TCP、UDP、ICMP等Source and destination分别用来
9、标识源地址和目的地址source-mask通配符掩码,跟源地址相对应destination-mask通配符掩码,跟目的地址相对应operator lt,gt,eq,neq(小于,大于,等于,不等于) operand一个端口号established如果数据包使用一个已建立连接,便可允许TCP信息通过表2 常见端口号端口号(Port Number)20文件传输协议(FTP)数据21文件传输协议(FTP)程序23远程登录(Telnet)25简单邮件传输协议(SMTP)69普通文件传送协议(TFTP)80超文本传输协议(HTTP)53域名服务系统(DNS)标准ACL与扩展ACL的比较:图3 标准ACL
10、与扩展ACL的比较2.4 通配符掩码通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示“不检查(忽略)相应的位”。IP地址掩码的作用:区分网络为和主机位,使用的是与运算。0和任何数相乘都得0,1和任何数相乘都得任何数。通配符掩码:把需要准确匹配的位设为0,其他位为1,进行或运算。1或任何数都得1,0或任何数都得任何数。特殊的通配符掩码:1.Any0.0.0.0 255.255.255.2552.Host172.16.30.28 0.0.0.0Host 172.16.30.282.5 正确放置ACL ACL通过制定的规则过滤数据包,并且丢弃不希望抵达目的地址的不安全数据包来达到控
11、制通信流量的目的。但是网络能否有效地减少不必要的通信流量,同时达到保护内部网络的目的,将ACL放置在哪个位置也十分关键。假设存在着一个简单的运行在TCP/IP协议的网络环境,分成4个网络,设置一个ACL拒绝从网络1到网络4的访问。根据减少不必要通信流量的准则,应该把ACL放置于被拒绝的网络,即网络1处,在本例中是图中的路由器A上。但如果按这个准则设置ACL后会发现,不仅是网络1与网络4不能连通,网络1与网络2和3也都不能连通。回忆标准ACL的特性就能知道,标准ACL只检查数据包的中的源地址部分,在本例子中,凡是发现源地址为网络1网段的数据包都会被丢弃,造成了网络1不能与其他网络联通的现象。由此
12、可知,根据这个准则放置的ACL不能达到目的,只有将ACL放置在目的网络,在本例子中即是网络4中的路由器D上,才能达到禁止网络1访问网络4的目的。由此可以得出一个结论,标准访问控制列表应尽量放置在靠近目的端口的位置。在本例子中,如果使用扩展ACL来达到同样的要求,则完全可以把ACL放置在网络1的路由器A上。这是因为扩展访问控制列表不仅检查数据包中的源地址,还会检查数据包中的目的地址、源端口、目的端口等参数。放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段,则会丢弃这个数据包,而检查出数据包的目的地址是指向网络2和3的网段,则会让这个数据包通过。既满足了减少网络通信流量的
13、要求,又达到了阻挡某些网络访问的目的。由此,可以得出一个结论,扩展访问控制列表应尽量放置在靠近源端口的位置。图4 正确设置ACL编辑原则:标准ACL要尽量靠近目的端扩展ACL要尽量靠近源端3 访问控制列表的配置3.1 访问控制列表配置3.1.1 配置标准访问控制列表以下是标准访问列表的常用配置命令。跳过简单的路由器和PC的IP地址设置1.配置路由器R1的标准访问控制列表R1(config)#access-list 1 deny 172.16.1.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#access-list 2 perm
14、it 172.16.3.1 0.0.0.2552.常用实验调试命令在PC1网络所在的主机上ping 2.2.2.2,应该通,在PC2网络所在的主机上ping 2.2.2.2,应该不通,在主机PC3上Telnet 2.2.2.2,应该成功。 Outgoing access list is not set Inbound access list is 1以上输出表明在接口S2/0的入方向应用了访问控制列表1。3.1.2 配置扩展访问控制列表相比基本访问控制列表,扩展访问控制列表更加复杂,不仅需要读取数据包的源地址,还有目的地址、源端口和目的端口。图5 用扩展ACL检查数据包扩展访问控制列表的常见配
15、置命令。1.配置路由器R1R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www2.常用调试命令分别在访问路由器R2的Telnet和WWW服务,然后查看访问控制列表100:R1#show ip access-lists 100Extended IP access list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www 3.1.3配置命名访问控制列表命名ACL是IOS11.2以后支持的新特性。命名ACL允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL,命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。它提供的两个主要优点是:解决ACL的号码不足问题;可以自由的删除ACL中的一条语句,而不必删除整个ACL。命名ACL的主要不足之处在于无法实
