《ACL控制网络安全论文23205.doc》由会员分享,可在线阅读,更多相关《ACL控制网络安全论文23205.doc(17页珍藏版)》请在三一办公上搜索。
1、ACL控制网络安全目 录摘 要- 1 -1 ACL的概述- 2 -1.1 ACL的作用- 2 -1.2 ACL的工作原理- 2 -1.3 ACL分类- 2 -1.3.1 标准的ACL- 2 -1.3.2 扩展ACL- 3 -1.3.3 命名ACL- 4 -1.3.4 基于时间ACL- 4 -1.3.5 动态ACL- 5 -1.3.6 自反ACL- 5 -2 企业园区内部网络的分析- 6 -2.1 企业园区网络拓扑- 6 -2.2 企业内部的IP划分情况- 7 -3 企业园区内部网络的安全分析- 8 -4 ACL的具体应用- 8 -4.1 路由器和交换机- 8 -4.2 财务部- 8 -4.3
2、软件开发部- 9 -4.4 网站设计部- 9 -4.5 人事部- 10 -4.6 管理服务器- 10 -5 小结- 10 -参考文献- 12 -致 谢- 13 -摘 要随着网络技术的飞速发展,网络的规模不断扩大,网络在为园区提供资源共享的平台, 为之间提供更多的交流管道, ,但网络互联也导致了部门之间数据保密性降低,影响了部门安全, 因此, 企业园区网络建设需考虑部门之间的访问控制和网络设备的安全。ACL(Access Control Lists访问控制列表)就是一系列由源地址,目的地址,端口号等决定的允许和拒绝条件集合。ACL是应用于路由器、三层、二层交换机。通过匹配报文中的信息与访问控制列
3、表参数可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制。实验中主要对于在企业管理中需要避免各个部门之间网络的相互影响,限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。可以防止病毒通过路由器从外网进入,也可以防止内部的病毒通过路由器向外传染病毒,同时在中心交换机上划分的VLAN也可以防止病毒在子网之间的传播。关键词: ACL 控制 网络安全1 ACL的概述随着大规模开放式网络的开发,网络面临的威胁也就越来越多。网络安全问题成为网络管理员最为头疼的问题。一方面,为了业务的发展,必须允许对网络资源的开发访问;另一方面,又必须确保数据和资源的尽可能安全。网络安全采用的
4、技术很多,而通过访问控制列表(ACL)可以对数据流进行过滤,是实现基本的网络安全手段之一。1.1 ACL的作用网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。1.2 ACL的工作原理访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第3层及第4层包头中的信息,如源地址、目的地址、源埠和目的埠等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则
5、还会读取数据包中的目的地址、源埠、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。1.3 ACL分类1.3.1 标准的ACL当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准 ACL使用源地址进行数据包过滤,将对整个TCP/IP协议生效,从而允许或拒绝基于网络、子网或主
6、机的IP地址的所有通信流量通过路由器的接口。标准ACL其格式如下:access-list access-list-number permit | deny source source-wildcard access-list-number:编号的范围适用数字1-99/1300-1999,该列表号不必按照任何特殊顺序,这表明该access-list语句是一个普通的标准型IP访问列表语句。list number参数具有双重功能: (1)定义访问列表的操作协议; (2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP
7、访问列表也是通过list number而表现其特点的。permit | deny :设置执行的动作,是允许还是拒绝。source:指定源地址。可以是一台主机或者一个网段。source-wildcard :源地址的反屏蔽。当设置完访问控制列表的ACE时,还必须把它应用到界面上才能使其生效,其格式如下:ip access-group access-list-number in |out将访问控制列表应用于接口,访问组在配置时要求指定其应用是in还是out模式,该选项in和out代表着访问控制列表对于接口来说使用的方式,其中,out表示访问控制列表用于所有输出数据包, 到来的分组首先被路由到出站接口
8、,并在将其传输出去之前根据出站访问列表对其进行处理。一种调用访问控制列表的命令是access-class ,该命令用于控制到达路由器或者由路由器虚拟终端线路发起的telnet会话,而不进行数据包过滤,命令格式如下:access-calss access-list-number in|out命令access-class 对于路由器传输的telnet流量不起作用,它仅影响到达路由器以及路由器发起的会话。1.3.2 扩展ACL扩展型IP访问列表在数据包的过滤方面增加了不少功能和灵活性。IP扩展访问列表可以根据IP上层协议号、源IP位址、目的IP位址、源TCP/UDP端口号、目的TCP/UDP端口号、
9、TCP标志、ICMP消息类型和代码、TOS优先级、IP分片标志等属性对数据包进行过滤,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,他可以更精确的过滤流量。扩展型IP访问列表的通用格式如下:access-list access-list-number dynamic dynamic-name timeout minutes permit | denyprotocol source source-wildcard destination destination-wildcard precedence precedencetos toslog|log-inputtim
10、e-range time-range-nameoperator opera establishedfragmentaccess-list-number:扩展ACL适用数字100-199或者20002699 dynamic:表示这个列表时一个动态访问控制列表。timeout:定义了一个临时条目在一个动态列表中保留的最大时间。protocol:协议类型,其中包括IP、TCP、UDP和ICMP等等由于IP头部传送TCP、UDP、路由协议和ICMP协议,所以在访问列表的语句中,IP协议的级别比其它协议更为重要。source source-wildcard :源地址和反屏蔽,destination de
11、stination-wildcard:目标地址和反屏蔽。如果主机的反屏蔽是0.0.0.0那么可以写成:host ip地址 这样的格式。如果地址是 0.0.0.0 255.255.255.255可以写成 any。precedence:ip报头中的优先级字段,范围是0-7,tos:ip报头中的服务类型。范围是0-15log:任何访问控制列表后都可以加上一个log关键词,它起日志的作用。一旦访问列表作用于某个接口,那么包括关键词log的语句将记录那些满足访问列表中permit和deny条件的资料包。第一个通过接口并且和访问列表语句匹配的数据包将立即产生一个日志信息。后续的数据包根据记录日志的方式,或
12、者在控制台上显示日志,或者在内存中记录日志。通过Cisco IOS的控制台命令可以选择记录日志方式。log-input:如果在扩展ACL最后加上log-input,则不仅会保存流量信息,还会将数据包通过的端口信息也进行保存time-range:定义一个时间列表。operator operan :操作选项。等于 (eq)、不等于 (neq)、大于 (gt) 和小于 (lt)。 1.3.3 命名ACL对于每台路由器,798个标准访问列表或者799个扩展访问列表,看上去已经足够了。但是有些情况(比如动态访问列表)可能就不够了,从IOS 11.2 开始提供的命名访问列表打破了这种限制,命名ACL允许对
13、访问控制列表允许访问控制列表进行标识时使用一些描述性的名称,而不是像以前那样仅一个无描述作用的号码,描述名可以使数量庞大的访问列表更加便于管理。1.3.4 基于时间ACL随着网络的发展和用户要求的变化,从IOS 12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。它需要先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。并且,对于编号访问表和名称访问表都适用 。基于
14、时间的访问控制列表的格式:基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。这里我们主要讲解下定义时间段,具体格式如下:time-range 时间段名称absolute start 小时:分钟 日 月 年 end 小时:分钟 日 月 年例如:time-range softer absolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。1.3.5 动态ACL动态ACL
15、是Cisco IOS 的一种安全特性,它使用户能在防火墙中临时打开一个缺口,而不会破坏其它已配置了的安全限制。lock-and-key动态ACL使用IP动态扩展ACL过滤IP流量。当配置了lock-and-key动态ACL之后,临时被拒绝掉的IP流量可以获得暂时性的许可。 lock-and-key动态ACL临时修改路由器接口下已经存在的ACL,来允许IP流量到达目标设备。之后lock-and-key动态ACL把接口状态还原。通过lock-and-key动态ACL获得访问目标设备权限的用户,首先要开启到路由器的telnet会话。接着lock-and-key动态ACL自动对用户进行认证。如果认证通
16、过,那么用户就获得了临时性的访问权限。1.3.6 自反ACL自反ACL是自动驻留的,暂时的,基于会话的过滤器,允许根据上层会话信息对IP分组进行过滤,如果某台路由器允许通过网络内部向外网的主机初始发起一个会话,那么自反访问控制列表就允许返回的会话数据流,自反列表和扩展命名的Ipv4访问列表一起使用。只能由内部网络始发的,目的地是不能主动访问源,外部网络的响应流量可以进入,由外部网络始发的流量如果没有明确的允许,是禁止进入的。自反ACL可以基于上层信息过滤IP流量。可以使用自反ACL实现流量的单向穿越。自反ACL只能通过命名扩展ACL来定义。Configuring Reflexive ACL 配
17、置自反ACL的步骤如下:(1)定义命名扩展ACL:BitsCN(config)#ip access-list extended name(2)定义自反ACL:BitsCN(config-ext-nacl)#permit protocol any any reflect name timeout seconds(3)嵌套自反ACL:BitsCN(config-ext-nacl)#evaluate name(4)应用自反ACL:BitsCN(config-if)#ip access-group name in|out(5)全局定义自反ACL的超时时间。可选:BitsCN(config)#ip re
18、flexive-list timeout seconds2 企业园区内部网络的分析传统意义上的网络安全考虑的是防范外部网络对内网的攻击行为,即来自于英特网的攻击行为。外网安全威胁模型假设内部网络都是安全可信的,威胁都来自于外部,其途径主要通过内外网络边界出口,只要将网络边界处的安全控制措施做好,即可确保整个网络的安全。传统防火墙、入侵检测、防病毒网关和VPN设备都是基于这种思路来设计的。 事实上,内部网络并非完全安全可信。内部网络包含大量的终端、服务器和网络设备,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,威胁既可能来自外网,也可能来自内网的任何一个节点上,实现一个可管理、可控制
19、和可信任的内网已成为维护企业网络系统正常运行,充分发挥信息网络效益的必然要求。2.1 企业园区网络拓扑图2-1 企业部门划分图图2-2 企业ACL功能2.2 企业内部的IP划分情况表2-1 企业各部门IP划分部门Ip网段MAC地址人事部192.168.1.0255.255.255.0网站设计部192.168.2.0255.255.255.0软件开发部192.168.3.0255.255.255.0财务部192.168.4.0255.255.255.0管理服务器192.168.5.0255.255.255.03 企业园区内部网络的安全分析目前,对企业内部园区网络的常见安全问题有以下几点: 1)在
20、企业管理中需要避免各个部门之间网络的相互影响,限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。 2)防止内网已有病毒在网络上的扩散传播,控制并减少病毒侵害的范围。 3)防止未经授权的非法终端设备接入网络,对网络中的设备进行管理。 4 ACL的具体应用4.1 路由器和交换机在企业的路由器中设置ACL可以提高安全性。在网络传输中限制传输的类型,提高性能,减少网络漏洞,能防止内部的攻击,如各种木马程序和蠕虫病毒的攻击。通过对病毒进行分析,了解病毒主要是通过TCP的135、136、137、138、445、4444埠,UDP的69、135、136、445埠来发动攻击的。路由器作为内部
21、计算机的跨网访问的通道,可以将这些埠限制掉,便可以防止病毒通过路由器从外网进入,也可以防止内部的病毒通过路由器向外传染病毒,同时在中心交换机上划分的VLAN也可以防止病毒在子网之间的传播。Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 135Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 136Router(config)#access-list 101 deny tcp host 1
22、92.168.4.3 host 192.168.6.2 eq 137Router(config)#access-list 101 permit ip any anyRouter(config)#int e0/0Router(config-if)#ip access-group 101 in4.2 财务部由于财务部的数据库服务器上面的数据是比较机密的,不是任何人都可以访问上面的数据,这时就要用到访问控制列表ACL,在列表中规定哪些主机可以访问财务部数据库服务器,并且此列表外的主机要想访问财务部服务器时,就会被路由器过滤掉Router(config)#access-list 101 deny ip
23、 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255Router(config)#access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255Router(config)#access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255Router(config)#access-list 101 permit ip any any禁止人事部、软件开发部、网站设计部访问财务部。4.3 软件开发部由于软件开发部需要编写大
24、量程序,大部分时间用于编程,但有时候需要上网搜索数据。所以利用基于时间的ACL来限制上网的时间。只允许软件开发部192.168.3.0网段的员工在周一到周五下午三点到五点访问服务器192.168.5.13上的FTP资源,其它工作时间不能下载该FTP资源。路由器配置命令:Router#show clockRouter#clock setRouter(config)#time-range worktime /定义时间段名称为worktimeRouter(config-time-rang)#absolute start 15:00 end 17:00Router(config-time-rang)#
25、 periodic weekdays monday to firday periodic weekend 15:00 to 17:00 /定义具体时间范围为每周一到周五的三点到五点。Router(config-time-rang)#periodic weekdays monday to firday /是定义工作日。Router(config)#access-list 101 deny tcp any 192.168.5.13 0.0.0.0 eq ftp timerange aaa/禁止在时间段aaa范围内访问192.168.5.13的FTP服务。Router(config)#access-
26、list 101 permit ip any any /容许其它时间段和其它条件下的正常访问。int E1/进入E1埠。Router(config-if)# ip access-group 101 out /输出方向。基于时间的ACL比较适合于时间段的管理,通过上面的设置,192.168.3.0的用户就只能在周一到周五下午三点到五点访问服务器的FTP资源,其它时间均不能访问4.4 网站设计部负责企业的主要工作,为客户设计其要求的网站。在这里,员工是不允许上网的,但是其又需要不断地与客户交流。所以,部门内必须设置特定的主机,与客户进行远程交流。这里利用ACL在主交换机上设置一台特定主机能过访问外
27、网并能过telnet。Router(config)#access-list 1 permit host 192.168.2.2 Router(config)#access-list 1 deny any int s0/0 Router(config)#ip access-group 1 out line vty 0 4 Router(config)#access-list 1 in4.5 人事部人事部主要负责人事招聘,需要经常上网了解网上人力资源,了解各种人才对企业的需求。所以,在工作期间,可能会有人上QQ、玩游戏、下载檔等,造成企业流量浪费。所以,限制他们一些其它类型的数据流量,而有Emai
28、l的数据流量被允许,这样就可以限制该企业内部对外部网络的访问,只允许员工接收外部邮件,访问一些固定的网址(1)用ACL来禁止QQ,QQ登陆使用时8000埠(TCP/UDP)Router(config)#access-list 101 deny udp any any eq 8000禁止QQ流量;Router(config)#access-list 101 permit udpany any/允许过滤后所有UDP流量;Router(config)#accesslist 101 permit tcp any any /允许过滤后所有TCP流量;Router(config)#access-list
29、101 permit ip any any /允许过滤后所有IP流量。Router(config)#Int e0/0Router(config)#Ip access-group 101 in(2)利用ACL限制BT下载Router(config)#access-list 101 deny tcp any any rang 6881 6890Router(config)#access-list 101 deny tcp any rang 6881 6890 anyRouter(config)#access-liat 101 permit ip any any4.6 管理服务器主要用来管理和限制各
30、个部门之间的访问权限,便于管理者管理和及时了解企业数据信息。通过在管理服务器上设置ACL,管理者可以访问所有的部门,自由访问Internet,而其它部门则没有权限访问管理服务器。Router(config)#access-list 101 permit ip 192.168.5.0 0.0.0.255 anyRouter(config)#access-list 101 deny any这样,企业管理者可访问所有部门并能自由上网,所有部门不能够访问该企业的管理服务器等功能。5 小结本文主要介绍了ACL的工作原理,列举出了几种ACL在网络当中的具体应用,这在一定程度上可以帮助网络管理人员更加灵活、
31、方便的应对网络控制及网络安全中所出现的问题。访问控制列表时网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。在具体的网络应用中实现了防止内部的病毒通过路由器向外传染病毒,在各个VLAN间也可以防止病毒在子网间的传播。管理服务器的管理者可以访问所有部门,自由访问Internet,而其它部门则没有权限访问管理服务器。这样企业管理者就可以对所有部门进行访问和管理并能自由上网。实现了禁止人事部、软件开发部、网站设计部访问财务部。对一些部门在规定的一些时间内不能上网或娱乐等采用基于时间的ACL进行了限制。参考文献1 原峰山,陈立德. 网络管理与安全. 清华大学出版社2 诸晔.用
32、ACL实现系统的安全访问控制J.计算机应用与软件.2005.22(3):111-1143 范萍,李罕伟.基于ACL 的网络层访问权限控制技术研究J.华东交通大学学报.2004.21(4):89-924 网络安全性设计 Merike kaeo,CCIE #1287 着 人民邮电出版社 100-1055 郭自龙.访问控制列表在网络管理中的应用.M.北京:清华大学出版社,20046 Saadat Malik .网络安全原理与实践指南 M.北京:人民邮电出版社,1982.20-297 Jihnson. 思科网络技术学院教程. M .北京:人民出版社,2009.50-61.8唐子蛟,李红蝉基于ACL的网
33、络安全管理的应用研究J四川理工学院学报(自然科学版),2009,22(1):48519范萍,李罕伟基于ACL的网络层访问权限控制技术研究J华东交通大学学报,2004,21(4):899210陈卫荣Ciseo路由器访问控制列表配置实现第一道网络安全屏障J武麦学院学报,2008,27(5):印一64致 谢通过这一阶段的努力,我的毕业论文企业园区内部网络ACLS的基本应用终于完成了,这也意味着我三年的大学生活即将结束。在大学阶段,我在学习上和思想上都受益非浅,这除了自身的努力外,与各位老师、同学和朋友的关心、支持和鼓励是分不开的。在本论文的写作过程中,我的讲师陈阳老师倾注了大量的心血,从写作提纲到初稿定稿,一遍又一遍地指出每稿中的具体问题,严格把关,循循善诱,在此我表示衷心感谢。同时我还要感谢在我学习期间给我极大关心和支持的各位老师以及关心我的同学和朋友。写作毕业论文是一次再系统学习的过程,毕业论文的完成,同样也意味着新的学习生活的开始。再次感谢帮助过我的老师,同学们。感谢你们对我无私的帮助,使我顺利完成了三年的学业。
