基于编号IP ACL的访问控制的实现.pdfVIP

第20卷第4期 潍坊教育学院学报 v01．20 No．4 2007年第4期 JOURNAL OF WEIFANG EDUCATIONAL COLLEGE Dee．20凹 基于编号IP ACL的访问控制的实现 马凤娟 ，宋大伟2 (1．哈尔滨理工大学计算机科学与技术学院，黑龙江 哈尔滨 150080； 2．潍坊教育学院计算机工程系，山东青州 262500) 摘要：访问控制是网络安全防范和保护的主要策略，是保证网络安全最重要的核心策略之一。它的主要 任务是保证网络资源不被非法使用和访问。本文主要通过ACL的原理、分类及配置使用，来阐述如何在网 络中配置一个合适的编号IP ACL实现访问控制，加强网络管理。 关键字：ACL；过滤；流量 中图分类号：TP393．08 文献标识码：A 文章编号：1009—2080(2007)04—0034—03 网络中设置好路由选择后，默认情况下，路由器 持两种类型的过滤：标准和扩展。标准ACL仅根据 将允许所有分组从一个接口传输到另一个接口。考 分组内的源口地址进行过滤，而扩展ACL可以根据 虑到安全或流量策略的原因，网络管理员往往需要实 分组的源和目的口地址、口协议类型(TCP、UDP、 施一些策略来限制流量的传输。使用访问控制列表 ICMP等)和协议信息(如TCP或UDP的源端口号和 可以很好地解决这个问题。 目的端口号)来过滤流量。可见，扩展ACL要比标准 一 、访问控制列表的原理 ACL可以进行更精确地过滤。 访问控制列表简称为ACL，它使用数据包过滤技 三、ACL的配置规则 术，在路由器上读取网络层及传输层包头中的信息如 ACL能执行两个操作：允许(permit)或拒绝(de— 源地址、目的地址、源端口、目的端口等，根据预先定 ny)。由于在一个ACL中可以存在多条语句，语句自 义好的规则对包进行过滤，从而达到访问控制的目 顶向下依次执行，后续语句就不再进行处理，所以先 的。数据包过滤用来控制跨越网络的数据流。通过 后顺序非常重要。如果没有找到匹配项，ACL末尾的 它，可以限制网络通信量，限制网络访问特定用户和 隐含拒绝语句将丢弃分组。一个ACL至少应该有一 设备。访问列表可用来控制网络上数据包的传递，限 条permit语句，否则所有流量都将丢弃，因为每个 制虚拟终端线路的通信量或者控制路由选择更新。 ACL末尾都有隐藏的隐含拒绝语句。下面是配置 ACL基本上是一个命令集，通过编号或命名组织 ACL的规则： 在一起，用来过滤进入或离开路由器接口的流量。 1．ACL句的顺序，要把最严格的语句放在列表 ACL明确定义了允许哪些流量以及拒绝哪些流量。 顶部，最不严格的语句放在列表底部； 要在接口上过滤流量，必须在接口上启动ACL，并且 2．ACL语句按自上而下的顺序进行处理，直到 需要指定在人站(流量进入接口前)或者出站(流量流 找到匹配项，后续语句不再处理； 出接口前)方向上过滤流量。 3．如果没有找到匹配项，则丢弃分组(隐含拒 二、ACL的分类 绝)； ACL分为编号ACL和命名ACL两种类型。编号 4．每个ACL需要一个唯一的编号或名称； ACL在所有ACL中分配一个唯一的号码，命名ACL 5．路由器不能过滤其本身产生的流量； 在所有ACL中分配一个唯一的名称。每种类型都支 6．每个接口在每个方向(人站和出站)只能应用 收稿日期：200r7—0l4—15 作者简介：马凤娟(19r75一)，女(汉族)，山东寿光人，哈尔滨理工大学计算机科学与技术学院在读工程硕士，潍坊教育学院 计算机工程系教师。 34 2007年第4期