浅析通过路由器ACL功能加固局域网安全的措施.docVIP

浅析通过路由器ACL功能加固局域网安全的措施 　　摘 要：随着IT技术的飞速发展和深入应用。计算网络在人们生活中扮演者越来越不可或缺的角色。不管是企业还是政府、学校、商业领域网络都成为产品代言的依托。正因为网络的重要性、普通性及开放性使得网络容易受到外界的攻击。因此网络安全问题成为困扰各行各业的主要技术问题。虽然面对当前的网络社会和法制社会我国出台一套相应安全的网络法制体系。只是从人为因素上规范网络的使用。但致命的问题还在于技术。所以本文从网络安全中局域网安全区分析如何通过现有的网络硬件比如路由器的ACL功能去如何加固局域网的安全。 中国论文网 /4/view-7235041.htm 　　关键词：路由器；ACL功能；局域网；安全措施 　　1 ACL概述 　　ACL是Access？Control？List（访问控制列表）的英文缩写。在介绍标准访问控制列表之前我们应该明白路由器是工作在OSI七层参考模型的网际层，而网际层是基于IP地址协议的数据传输。标准访问控制列表是一种基于包过滤的流控制技术，在路由器中被采用，它可以有效的在三层上控制网络用户对网络资源的访问，既可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理。通过实施标准访问控制列表，可以有效的部署企业网络出网策略，也可以用来控制对局域网内部资源的访问能力，保障资源安全性，但会增加路由器开销，也会增加管理的复杂度和难度，是否采用标准访问控制列表技术，是管理效益与网络安全之间的一个权衡。初期仅在路由器上支持标准访问控制列表，近些年来已经扩展到三层交换机，部分二层交换机如2950之类也开始提供标准访问控制列表的支持。 　　2 ACL工作原理 　　ACL（Access Control List，访问控制列表），是应用在路由器接口上的指令列表，这张表中包含了匹配关系、条件和查询语句，这些指令通过路由器哪些数据包分组可以接收，哪些数据包分组需要拒绝。访问控制列表又可分为（标准访问控制列表）和（扩展访问控制列表）。其中标准访问控制列表是基于源地址做为判断依据。扩展标准访问控制列表是基于源地址、目标地址、源端口、目标端口等做为判断依据。不论是标准访问控制列表还是扩展标准访问控制列表，标准访问控制列表只是一个框架结构，其目的是为了对某种访问进行控制，使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 　　3 ACL实际应用案例解析 　　问题：假设我们在构建大学校园网的时候，只允许行政人员上班时间只能访问互联网上的WEB，FTP和电子邮件等常用服务。拒绝BT、电驴、在线电影、网络游戏甚至QQ、MSN等与工作无关的数据，如图1 　　问题分析：只允许行政人员上班时间只能访问互联网上的WEB，FTP和电子邮件等常用服务。可以用三层交换机 ACL 实现在交换机上划分VLAN，案列中具体划分为VLAN1、2、3、4。 　　目的是为了实现VLAN间通信，端口VLAN分配：0/1-4：VLAN 1； 0/5：VLAN 2常用的服务如下：Web ： TCP 80（HTTP）、443（HTTPS）；FTP ： TCP 20（FTP-Data）、21（FTP-Connect）；E-Mail ： TCP 25（SMTP）、110（POP3）、143（IMAP4）；DNS ：UDP 53、TCP 53；Telnet ：TCP 23；MSN Messenger：TCP 1863；Ping （ICMP type 8），…… 　　因此我们就可以创建一张访问控制列表，在访问控制列表中开放相应的服务，禁止不相关服务就可以实现，具体如下： 　　ip access-list extended port_permit（创建访问控制列表） 　　permit tcp any any eq 20 　　permit tcp any any eq 21 　　permit tcp any any eq 23 　　permit tcp any any eq 25 　　permit tcp any any eq 53 　　permit udp any any eq 53 　　permit tcp any any eq 80 　　permit tcp any any eq 110 　　permit tcp any any eq 143 　　permit tcp any any eq 443 　　permit tcp any any eq 1863 　　permit icmp any any 8 　　deny ip any any （隐含拒绝所有，可不用配置） 　　将访问控制列