基于ACL的边界路由策略的应用研究.docVIP

基于ACL的边界路由策略的应用研究 摘　要:通过某科研所对边界路由策略需求的分析,针对ACL的基本功能实现和其在禁ping,封端口,封ip段等边界路由中使用的安全策略进行了分析与研究。 关键词:ACL;路由策略 　　本文在对acl功能和原理研究的基础上,对其在某科研所的边界路由器上的策略进行分析与研究。 1　ACL ACL AccessControlLis,t ACL 又名访问控制列表。ACL是路由器和接口的指令列表,用来控制端口进 出的数据包。ACL可以过滤网络中的数据流量,是控制访问的一种网络技术手段。它可用于指定信息点之 间进行通信,内部外部网络之间进行通信,可通过安全策略来阻止非授权用户的访问,达到对访问进行控制 的目的,以保证内部网洛的安全性。以H3C设备为例,ACL基本命令如下: ①创建基本ACL并进入基本ACL视图 aclnumberacl-number[nameacl-name][match-order auto|config ] ②定义规则,可创建多条规则 rule[rule-id] deny|permit [fragment | logging|source sour-addr sour-wildcard|any |time-rangetime- name | vpn-instancevpn-instance-name] 2　某科研所基本情况 为不透漏某科研所的真实ip和便于进行本工程的科学研究,对实际问题进行了简化和虚拟。这里假定 科研所使用的外部ip地址为: 202. 1. 1. 1,内部架设的服务器ip地址为: 192. 168. 1. 1,其他科研所使用的外 ip地址为: 202. 1. 1. 2,合作企业的外ip地址为202. 1. 1. 3。 把实际问题工程化为:可以允许192. 168. 1. 0网段的ip数据包访问外部网络; 192. 168. 1. 1与202. 1. 1. 1内外网地址进行转换,并允许202. 1. 1. 2和202. 1. 1. 3访问内部服务器192. 168. 1. 1。 网络交互拓扑如图所示: 3　ACL基本功能实现 3·1　配置ACL主要内容 [router]aclnumber3000[router-acl-adv-3000] rule 0 permit source 192. 168. 1. 0 0. 255. 255. 255 [router-acl-adv-3000] rule 1 permit ip [router]aclnumber3001 [router-acl-adv-3001] rule 0 permit source 202. 1. 1. 2 255. 255. 255. 255 [router-acl-adv-3001] rule 1 permit source 202. 1. 1. 3 255. 255. 255. 255 [router-acl-adv-3001] rule 2 deny ip 3·2　ACL在防火墙和地址转换中的应用 [router] firewall enable [router]firewall defaultdeny [router-Serial1/0] firewall packet-filter3001 inbound [router-Serial1/0] natoutbound 3000 [router-Serial1/0] nat server protocol tcp global202. 1. 1. 1 ftp inside 192. 168. 1. 1 ftp 4　ACL安全策略应用 4·1　禁ping 黑客入侵时,大多使用Ping命令来检测主机,如果Ping不通,就可以一定程度的保护网络的信息,防止 黑客的攻击。 [router-acl-adv-3000] rule deny icmp source any destination any 4·2　封端口 封端口常用于通过限制某款软件的通信信道使用的端口号而起到阻止使用该款软件的作用,或者用于 防止病毒的攻击和传播。 防止Blaster蠕虫病毒是防止tcp的4444号端口和udp协议的69号端口。 [router-acl-adv-3001] rule 10 deny tcp source any destination any destination-port eq 4444 [router-acl-adv-3001] rule 11 deny udp source any destination any destination-port eq 69 用于控制振荡波的扫描和攻击是封tcp协议中的445号端口、5554端口、9995端口、99