基于ACL的校园网络安全策略6.docVIP

基于ACL的校园网络安全策略 [摘要]随着网络的高速发展，网络的普及也越来越平民化，在人们的学习和生活的方方面面，网络无孔不入，给人们的学习和生活带来了极大的便利，但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程，需要全方位的防范。防范不仅是被动的，更要主动进行。本文基于ACL为主，建立ACL列表控制和保障整个校园网的安全运行，使校园网运作在一个安全稳定的环境下。 [关键词]ACL；校园网；网络安全策略；访问控制列表 前言 自从产生了网络，随之而来的就是网络的安全问题。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的非法数据从外部侵入内部Intranet，也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取，将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备，是保证网络安全的第一关,而在路由器上设置控制访问列表（ACL）可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议，通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以起到控制网络流量、流量的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。 1 基本功能、原理与局限性 基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 访问控制列表是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。 在这里，只介绍IP协议的ACL。 ACL的作用 ACL可以限制网络流量、提高网络性能。 ACL提供对通信流量的控制手段。 ACL是提供网络安全访问的基本手段。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 2.1 访问控制列表的分类 目前有两种主要的ACL：标准ACL和扩展ACL。标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。 ·IP标准访问控制列表编号：1～99或1300～1999 ·IP扩展访问控制列表编号：100～199或2000～2699 2.2 访问控制列表的匹配顺序 ACL的执行顺序是从上往下执行，Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。 在写ACL时，一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则，只有这样才能保证不会出现无用的ACL语句 图2 ACL的匹配顺序 2.3 访问控制列表的 ·扩展ACL命令的详细语法 创建ACL定义 例如：accell-list101 permit host any eq telnet 应用于接口 例如：Router(config-if)#ip access-group 101 out ·下面更详细的介绍扩展ACL的各个参数： Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log] 表1 扩展ACL参数描述 参数 参数描述 access-list-number 访问控制列表表号 permit|deny 如果满足条件，允许或拒绝后面指定特定地址的通信流量 protocol 用来指定协议类型，如IP、TCP、UDP、ICMP等 Source and destination 分别用来标识源地址和目的地址 source-mask 通配符掩码，跟源地址相对应 destination-mask 通配