访问控制列表ACL在校园网中的应用初探 下载本文

桂林电子科技大学职业技术学院毕业设计(论文)

ACL的介绍,主要包括以下几点: (1) ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预选定义好的规则对包进行过滤,从而达到访问控制目的。 (2) ACL的主要功能就是一方面保护资源节点,组织非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 (3) 在实施ACL的过程中,应当遵循如下两个基本原则。 ○1 最小特权原则:只给受控对象完成任务必须的最小权限。 ○2 最靠近受控对象原则:所有的网络层访问权限控制尽可能离受控对象最近。 (4) ACL过滤的依据是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end 的权限控制目的,需要和系统级及应用级的访问控制权限结合使用。 研究的主要内容 本选题基于ACL为主,同时搭配NAT和虚拟局域网技术,其中采用虚拟局域网技术和建立ACL列表控制保障整个校园网络的安全运行,NAT在合理减少合法地址需求的同时还可以隐藏内部真实的网络地址,减低黑客入侵的成功率,使校园网运作在一个安全稳定的环境下。 本选题研究内容如下: (1) ACL的发展,现状和将来,介绍ACL的概念,原理,工作流程,分类和局限性。 (2) 详细说明ACL的匹配顺序,创建出一个控制访问列表的简单示例,并详细说明控制访问列表的配置任务和放置控制访问列表的正确位置。 (3)配置各种类型的ACL,比如基本访问控制列表,高级访问控制列表,基于接口的访问控制列表,基于以太网MAC地址的访问控制列表??并完成删除控制列表的操作。 (4)完成时间段的控制访问列表配置,访问控制列表的显示和调试。 (5)简述校园网的特点及其所面临的安全问题及解决办法。 (6)搭建配置校园网的环境,配置校园网的控制访问列表实例。 (7)对配置好控制访问列表的校园网的安全性能进行测试。 - 2 -

桂林电子科技大学职业技术学院毕业设计(论文)

采用的研究方法 a)查找并阅读相关资料,了解基本的内容,利用需求分析文档,对整个控制访问策略有个基本的架构。 b)搜寻实验用的文件文档集和研究过程中用到的各种工具软件。 c)根据已有的资料并搜寻到的各种软件工具进行分析、设计。 d)采用DynamipsGUI、gns3、Cisco Packet Tracer 5.3等工具完成整个策略的编写与测试。 工作的进度安排 2011年10月25号-10月30号 搜集资料,查阅文献,完成开题报告。 ? 2011年11月1号-2011年11月5日 完成文献综述 2011年11月6号—11月10号 定出基于ACL技术的校园网络安全的需求分析文档 2011年11月11号—11月15号 整理相关资料并完成概要和详细设计 2011年11月16号—11月20号 进行校园局域网的相关配置和必要性测试 ? 2011年11月21号—11月25号 总结毕业设计的整个过程,完成毕业设计论文初稿 2011年12月1号—12月25号 修改毕业论文定稿,打印装订 指导教师意见 指导教师签名: 年 月 日 - 3 -

桂林电子科技大学职业技术学院毕业设计(论文)

目 录

摘要.........................................................................2 关键字.......................................................................2 前言.........................................................................2 1 ACL的概述..................................................................2

1.1基本原理.............................................................2 1.2功能.................................................................3 1.3配置基本原则.........................................................3 1.4局限性...............................................................4 1.5ACL的作用............................................................4 1.6ACL的分类............................................................4 1.7ACL的执行顺序........................................................4 2 ACL的创建和配置...........................................................5

2.1 ACL的创建...........................................................5 2.2 ACL的创建位置.......................................................7 2.3 ACL的配置...........................................................7

2.3.1 配置标准的ACL.................................................7 2.3.2 配置扩展的ACL.................................................8 2.3.3 配置命名ACL...................................................8 2.3.4 删除ACL......................................................10 2.4 基于时间的ACL......................................................10 2.5 ACL的显示和调试....................................................11 3 ACL在校园网中的应用实例..................................................12

3.1实现网络访问的单向控制..............................................12 3.2禁止或允许部分网络服务..............................................13 3.3禁止某台主机的通信..................................................14 3.4保护重要端口免受病毒攻击............................................14 3.5小结................................................................14

- 1 -

桂林电子科技大学职业技术学院毕业设计(论文)

摘要

随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程,需要全方位的防范。防范不仅是被动的,更要主动进行。本文基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网运作在一个安全稳定的环境下。

[关键词]ACL;校园网;网络安全策略;访问控制列表

前言

自从产生了网络,随之而来的就是网络的安全问题。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的非法数据从外部侵入内部Intranet,也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取,将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备,是保证网络安全的第一关,而在路由器上设置控制访问列表(ACL)可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议,通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。

1、ACL的概述

ACL全称访问控制列表:Access Control List ,往里走常说的ACL 是Cisco IOS 所提供的一种访问控制技术。初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么的完善而已。在其他厂商的路由器或者多层交换机上也提供类似的技术,不过名称和配置方式都可能有妈稍微的差别。

1.1基本原理

ACL使用包过滤技术,在路由器上读取第三次及四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则、对包进行过滤。从而达到访问控制的

- 2 -