ACL过滤规则在防网络病毒上应用.docVIP

ACL过滤规则在防网络病毒上应用 　　[摘 要]本文从计算机网络病毒的出现、基本特征以及发展现状的角度出发,比较深入的研究了相关网络安全技术,深入分析了当前几种严重影响网络性能的网络病毒,结合ACL的工作原理,制定了相应的访问控制规则列表,并且通过模拟实验,对ACL的可行性进行了相应的测试。 　　[关键词]访问控制列表 网络安全 路由器 防火墙 　　 　　作者简介:范秋生(1972-),男,湖北浠水人,黄冈职业技术学院计算机系教师,副教授,主要从事计算机应用技术专业课教学与科研工作。 　　 　　引言 　　 　　ACL即访问控制列表,它是工作在OSI参考模型三层以上设备,通过对数据包中的第三、四层中的包头信息按照给定的规则进行分析,判断是否转发该数据包。基于ACL的网络病毒的过滤技术在一定程度上可以比较好的保护局域网用户免遭外界病毒的干扰,是一种比较好的中小型局域网网络安全控制技术。 　　 　　一、什么是ACL 　　 　　ACL即访问控制列表,使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 　　ACL的分类 　　(一)标准IP访问控制列表 　　当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 　　(二)扩展IP访问控制列表 　　扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。 　　 　　二、基于ACL的网络病毒过滤的研究 　　 　　计算机病毒的分类 　　病毒制造者初衷从开个玩笑或一个恶作剧到用于特殊目的,病毒种类让我们眼花缭乱,但是,我们可以对它们进行如下的分类: 　　按照传染方式可分为从引导型病毒,文件型病毒,以及混合型病毒。 　　按连接方式分为:源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。 　　源码病毒较为少见,亦难以编写。因为它要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。 　　由此可见,计算机病毒的种类虽多,但对病毒代码进行分析、比较可看出,它们的主要结构是类似的,有其共同特点。整个病毒代码虽短小但也包含三部分:引导部分,传染部分,表现部分。 　　引导部分的作用是将病毒主体加载到内存,为传染部分做准备:如驻留内存、修改中断、修改高端内存、保存原中断向量等操作。 　　传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式,传染条件上各有不同。 　　表现部分是病毒间差异最大的部分,前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的,如以时钟、计数器作为触发条件或用键盘输入特定字符来触发。 　　 　　三、基于网络病毒过滤的ACL规则的制定与测试 　　 　　(一)制定基于网络病毒过滤的ACL规则 　　经过对ACL学习的深入和对以上几种危害比较严重的病毒分析,我建立的ACL规则库如下: 　　ACLnumber101 　　Ruledeny icmp source any destination any 　　//禁止ping命令的执行 　　Ruledeny udp source any destination any destination-port eq 69 　　Ruledeny tcp source any destination any destination-port eq 4444 　　//以上两条规则用于控制Blaster蠕虫的传播 　　Ruledeny tcp source any destination any destination-port eq 135 　　Ruledeny udp source any destination any destination-port eq 135 　　Ruledeny udp source any destination any destination-port eq netbios-ns 　　Ruledeny udp source any destination any destination-port eq netbios-dgm 　　Ruledeny