项目十一访问控制列表实现网络安全.pdfVIP

项目十一 访问控制列表实现网络安全 【项目概况】： A 公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于 IOS 的多层交换机，所有的二层交换机也为可管理的基于 IOS 的交换机，在公司内部使用了 VLAN 技术。分别是网络设备与网管(VLAN1)、内部服务器(VLAN2)、Internet 连接(VLAN3)、 财务部 （VLAN4 ）、市场部(VLAN5)、研发部门 （VLAN6 ），出口路由器上 Fa0/0 接公司内部 网，通过 s0/0 连接到 Internet 。 每个网段的三层设备 （也就是客户机上的缺省网关）地址都从高位向下分配，所有的其 它节点地址均从低位向上分配。该网络的拓朴结构图如工作场景所示： 【项目工作场景】： 图 11-1：A 公司网络拓扑示意图 图 11-1 所示的是 A 公司网络拓扑示意图,我们可以看到企业网通过路由器的 s0/0 连接到 Internet，Fa0/0 连接到多层交换机，所有的二层交换机也为可管理的基于 IOS 的交换机，在公 司内部使用了 VLAN 技术，按照功能的不同分为了 6 个 VLAN 。 【项目问题】： 自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导 又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了 不该看的数据。那有什么办法能够解决这些问题呢？ 【问题分析】： 问题 1：公司内部员工利用网络做一些和工作无关的事，甚至危害公司网络安全。 分析 1：即要满足公司正常上网需求，又要过滤掉和工作无关的数据流量。 问题2：利用公司现有的设备，满足上述要求。 分析 2：根据公司拓扑，所有员工上网数据都从路由器 S0/0 接口连接到互联网，那么能 不能在 S0/0 口配置一个过虑器，和工作有关的内容放行，和工作无关的内容过滤。 问题3：再不添加设备的情况下，保证网络设备本身及服务器的基本安全。 分析 3：能否只允许管理员的 PC 登陆网络设备，其它 PC 拒绝登陆，实现设备安全；能否 只允许服务器开放的服务数据通过，其它数据拒绝，保证服务器的安全。 【方案设计】： 使用网络层的访问限制控制技术――访问控制列表 （下文简称 ACL ）解决上述问题。 网络中常说的ACL 提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩 展到三层交换机，部分必威体育精装版的二层也开始提供 ACL 的支持，只不过支持的特性不是那么完善 而已。本文所有的配置实例均基于 H3C VRP 的ACL 进行编写。 基本原理：ACL 使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地 址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问 控制的目的。 功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户 节点访问资源节点所提供的服务与数据。ACL 的主要功能就是一方面保护资源节点，阻止非 法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 配置 ACL 的基本原则：在实施 ACL 的过程中，应当遵循如下两个基本原则： （1）、最小特权原则：只给受控对象完成任务所必须的最小的权限 （2 ）、最靠近受控对象原则：所有的网络层访问权限控制 局限性：由于ACL 是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层 包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到 应用内部的权限级别等。因此，要达到 end to end 的权限控制目的，需要和系统级及应用级的 访问权限控制结合使用。 【相关任务和知识】： 任务 1：使用 ACL 实现公司内部设备及信息安全； 任务 2：使用 ACL 实现公司员工上班时和工作无关的信息过滤； 任务 3：使用 ACL 应对常见网络病毒。 知识 1：访问控制列表基础； 知识 2：访问控制列表原理； 知识 3：访问控制列表配置语法； 任务 1 使用 ACL 实现公