利用访问控制列表提供网络安全及实例.pdfVIP

利用访问控制列表提高网络安全及实例 禹龙 田生伟 （新疆大学网络中心，新疆 乌鲁木齐 830046 ） 摘要：本文以 cisco 路由器为例，结合实际网络结构，详细介绍了如何利用访问控制列表来 提高网络安全性能。 关键词：网络安全 包过滤 access-list Strengthening the security of network by using access control list and instance Yulong (network of center of Xinjiang University ,Xinjiang Urumqr 830046) Abstract: With cisco router and according the material network structure , how to strengthen the security of network by using access control list is discussed in detail. Keywords : security of network packet filtering access-list 1．引言 网络安全问题一般包括网络系统安全和数据安全。网络系统安全是防止网络系统遭 到未经授权的非法访问、存取或破坏；数据安全主要是防止重要、敏感数据被窃取等。 网络安全的防护手段多种多样，例如，密码技术、安全协议、防火墙、安全WEB 服务器等等。但是，单纯依靠防御是不够的，我们必须重视网络的整体安全。实际上， 每一种设备对网络的安全管理方面都有一定的作用，完全可以结合整个网络的拓扑结构 和网络设备的特性制定多层次、全方位的安全解决方案，通过网络路由过滤、虚拟子网 的划分、服务器实时监控、口令和访问权限的限制等多项技术，最大可能的保障网络安 全。 2 ．通过路由器提高网络安全性 路由器工作在 tcp/ip 模型的第三层（即网络层），是Intranet 和 Internet 的连接处， 是信息出入的必经之路，对网络的安全具有举足轻重的作用。而现在大多商业路由器都提供 了基于协议、IP 等标准的包过滤的能力，能有效地防止外部用户对局域网的安全访问，同 时可以限制网络流量，也可以限制局域网内的用户或设备使用网络资源。下面我们以 Cisco 路由器为例，讨论如何利用路由器来提高网络的安全性。 2.1 数据包过滤 简而言之，基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫作 包过滤（packet filtering ）。包过滤路由器可以通过检查数据流中每个数据包的源地址、目的 地址、所有的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。当然， 利用路由器实现的数据包过滤安全机制不需要增加任何额外的费用。 Cisco 路由器是通过访问列表 access-list 命令来完成包过滤规则的设置，故包过滤 器又被称为访问控制列表（Access Control List ）。它将访问列表定义为应用于Internet 地址 的一系列允许和拒绝条件的组合。 2.2 访问列表的基本概念 Cisco 访问列表缺省进行静态分组过滤，其提供了标准访问列表和扩展访问列表。标 准访问列表的语法如下：access-list [1-99] permit|deny {address } {wildcard-mask} 扩展访问列 表 的 语 法 如 下 ： access-list [100-199] permit|deny {protocol} {source} {source-mask} {destination} {destination-mask} {operator} {port } est (short for establish if applicable) 其中，protocol 为协议，如 TCP、IP、UDP 、ICMP 等；因为 IP 封装 TCP、UDP 和 ICMP 包， 所以它可以用来与其中任一种协议匹配。Operator 有效操作符为： It(小于) ，gt(大于) ，