访问控制列表ACL在校园网中的应用初探 - 图文 下载本文

桂林电子科技大学职业技术学院毕业设计(论文)

目的。

图1 ACL工作原理

入站数据包进入路由器内,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。接下来选择路由器接口,进入接口后使用ACL。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。

1.2功能

网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。

1.3配置ACL的基本原则

在实施ACL的过程中,应当遵循如下三个基本原则:

- 3 -

桂林电子科技大学职业技术学院毕业设计(论文)

① 最小特权原则:只给受控对象完成任务的最小权限。

② 最靠近受控对象原则:所有的网络层访问权限控制尽可能离受控对象最近。

③ 默认丢弃原则:在Cisco设备中,每个访问控制列表的最后一个隐藏规则为deny any any。

而在华为3COM设备中,最后一个隐藏规则是Permit any any。因此不同的厂商支持的ACL技术在配置上有一些差别,这些差别在网络安全策略的配置是很重要的。

1.4局限性

由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。

1.5 ACL的作用

1. ACL可以限制网络流量、提高网络性能。 2. ACL提供对通信流量的控制手段。 3. ACL是提供网络安全访问的基本手段。

4. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

1.6访问控制列表的分类

目前有两种主要的ACL:标准ACL和扩展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。

·IP标准访问控制列表编号:1~99或1300~1999 ·IP扩展访问控制列表编号:100~199或2000~2699

1.7访问控制列表的执行顺序

ACL的执行顺序是从上往下执行,Cisco IOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。

- 4 -

桂林电子科技大学职业技术学院毕业设计(论文)

在写ACL时,一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句

图2 ACL的匹配顺序

2、ACL的创建与配置

2.1ACL的创建

·标准ACL命令的详细语法 1.创建ACL定义

例如:Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255 2.应用于接口

例如:Router(config-if)#ip access-group 1 out ·扩展ACL命令的详细语法 1. 创建ACL定义

例如:accell-list101 permit host 10.1.6.6 any eq telnet 2. 应用于接口

例如:Router(config-if)#ip access-group 101 out ·下面更详细的介绍扩展ACL的各个参数: Router(config)# access-list access-list-number

- 5 -

桂林电子科技大学职业技术学院毕业设计(论文)

{ permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]

表1 扩展ACL参数描述

参数 参数描述 访问控制列表表号

如果满足条件,允许或拒绝后面指定特定地址的通信流量

access-list-number permit|deny

protocol Source destination

source-mask destination-mask operator operand established

过 and

用来指定协议类型,如IP、TCP、UDP、ICMP等 分别用来标识源地址和目的地址

通配符掩码,跟源地址相对应 通配符掩码,跟目的地址相对应

lt,gt,eq,neq(小于,大于,等于,不等于) 一个端口号

如果数据包使用一个已建立连接,便可允许TCP信息通

·标准ACL与扩展ACL的比较:

3 标准ACL与扩展ACL的比较

- 6 -