ACL配置技术.doc

阅读以下关于访问控制列表ACL的技术说明，结合网络拓扑图回答问题1～6。（15分） 【说明】 某电子商务公司为适应市场的发展组建了一个企业网，其网络拓扑结构如图3-6所示。该网络逻辑结构上分成核心层和接入层，核心层使用了一台三层交换机。网管员按照各部门的职能将公司内部网络分成了8个VLAN，分别是公司网络设备及网管机VLAN1（/24）、内网服务器VLAN2（/24）、非军事区DMZ VLAN3（/24）、财务部VLAN4（/24）、市场部VLAN5（/24）、研发部VLAN6（/24）、接待室VLAN（/24）。每个网段的缺省网关地址由从高位向下分配，其他节点地址均从低位向上分配；例如，接待室VLAN中每一台客户机的网关地址为54，客户机1的IP地址为，客户机2的IP地址为。 【问题1】（2分） 通常路由器都支持两种类型的访问控制列表：基本访问控制列表和扩展访问控制列表。请用120字以内的文字说明这两种访问列表之间的区别。 【问题2】（2分） 该商务公司有多台游戏服务器用于提供各种在线游戏，保护这些服务器内部数据的安全性是公司网管员第一工作要责。该公司还有一台专门为用户提供在线购买游戏币服务的Web服务器（以下简称为游戏币Web服务器），用户可使用游戏币购买各种游戏装备。从访问控制列表技术角度考虑，应将这些游戏服务器和游戏币Web服务器部署在网络拓扑的哪些位置？ 【问题3】（2分） 访问控制表是实现安全管理的重要手段。如果在三层交换机的VLAN1接口上进行如下ACL配置，那么这些配置语句将完成哪些安全任务？ access-list 11 permit host 6 access-list 11 deny any int vlan 1 ip access-group 11 out 【问题4】（2分） 请将以下访问规则控制列表中（1）、（2）空缺处填写完整，以完成不允许市场部所有主机访问外部IP地址段为/24的WEB服务器的配置。 access-list 102 （1） tcp （2） 55 eq 80 【问题5】（3分） 在三层交换机的内网服务器VLAN2接口上，要求完成以下安全规则： 允许公司研发部全体员工通过FTP方式访问放置资源代码的服务器（IP地址为），而其他内部员工及外网所有主机均不能以FTP方式访问该服务器。 请写出相应的访问控制列表的命令行。 【问题6】（4分） 在IP访问控制列表的语法中，关键字option有一个常用的“log”选项，主要用于对那些能够匹配访问表中的permit和deny语句的报文进行日志记录；另一个常用的选项是“established”，只对TCP协议有效且只在一个方向上来响应由另一端发起的会话。要在三层交换机上实现内网服务器免受来自市场部网段病毒攻击的任务，结合option选项，写出相应的访问控制列表ACL命令行。 ??? 要点解析 【问题1】（2分）：这是一道要求在熟悉访问控制列表ACL的基本原理、功能及分类的基础上，将两种类型的访问控制列表的不同之处进行综述的试题。访问控制列表ACL的基本原理可以归纳如下：在路由器、防火墙或三层交换机等具有数据包控制能力的设备上，读取TCP/IP第3层分组头的源IP地址、目的IP地址或第4层报文头中源端口、目的端口等信息，再根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。它一方面可以保护资源节点，阻止非法用户对资源节点的访问；另一方面可以限制特定用户所具有的访问权限。 通常路由器都支持两种类型的访问控制列表：基本访问控制列表和扩展访问控制列表。其中，基本访问表仅控制基于网络地址的信息流，且只允许过滤源IP地址；而扩展访问表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源IP地址、目的IP地址和上层应用数据。 【问题2】（2分）：这是一道要求考虑具体应用服务，结合访问控制列表ACL的优缺点进行网络设备部置的综合的试题。 考虑到访问控制列表ACL技术是使用包过滤技术来实现的，它对第3层分组头的源IP地址、目的IP地址或第4层报文头中源端口、目的端口等信息的处理过程会增加网络的传输延迟，降低网络通信的实时性。因此提供在线购买游戏币服务的Web服务器应部署在该公司防火墙之外。采用这种部署方案的另外两点理由是，①将它部署在内网服务器VLAN或防火墙的DMZ VLAN时，虽然通过防火墙的网络地址转换NAT技术或ACL技术，以及在三层交换机上进行ACL控制，它可以得到较好的安全保护，但IP数据包的处理延迟增加，通信的实时性降低，可能会导致Web服务器提供的服务不易被用户使用。②如将它部署在该公司防火墙之外，便于用户实时使用Web服务器，同时公司内网也可以得到较好的保护。这种部署方案的缺点是Web服务器的安全保护特性较弱。其解决方法之一是通过操作系统