基于ACL的校园网络安全策略.docVIP

. .. 基于ACL的校园网络安全策略 [摘要]随着网络的高速发展，网络的普及也越来越平民化，在人们的学习和生活的方方面面，网络无孔不入，给人们的学习和生活带来了极大的便利，但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程，需要全方位的防范。防范不仅是被动的，更要主动进行。本文基于ACL为主，建立ACL列表控制和保障整个校园网的安全运行，使校园网运作在一个安全稳定的环境下。 [关键词]ACL；校园网；网络安全策略；访问控制列表 前言 自从产生了网络，随之而来的就是网络的安全问题。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的非法数据从外部侵入内部Intranet，也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取，将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备，是保证网络安全的第一关,而在路由器上设置控制访问列表（ACL）可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议，通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以起到控制网络流量、流量的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。 1 基本功能、原理与局限性 基本原理：入站数据包进入路由器内，路由器首先判断数据包是否从可路由的源地址而来，否的话放入数据包垃圾桶中，是的话进入下一步；路由器判断是否能在路由选择表内找到入口，不能找到的话放入数据垃圾桶中，能找到的话进入下一步。接下来选择路由器接口，进入接口后使用ACL。ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息，而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则，符合要求的数据包允许其到达目的地址进入网络内部，不符合规则的则丢弃，同时通知数据包发送端，数据包未能成功通过路由器。通过ACL，可以简单的将不符合规则要求的危险数据包拒之门外，使其不能进入内部网络。 图1 ACL工作原理 功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 2 访问控制列表概述 访问控制列表（Acess Control List,ACL）是管理者加入的一系列控制数据包在路由器中输入、输出的规则 访问控制列表是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。 在这里，只介绍IP协议的ACL。 ACL的作用 ACL可以限制网络流量、提高网络性能。 ACL提供对通信流量的控制手段。 ACL是提供网络安全访问的基本手段。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 2.1 访问控制列表的分类 目前有两种主要的ACL：标准ACL和扩展ACL。标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。 ·IP标准访问控制列表编号：1～99或1300～1999 ·IP扩展访问控制列表编号：100～199或2000～2699 2.2 访问控制列表的匹配顺序 ACL的执行顺序是从上往下执行，Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。 在写ACL时，一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则，只有这样才能保证不会出现无用的ACL语句 图2 ACL的匹配顺序 2.3 访问控制列表的创建 ·标准ACL命令的详细语法 创建ACL定义 例如：Router(config)#access-list 1 permit 55 2．应用于接口 例如：Router(config-if)#ip access-group 1 out ·扩展ACL命令的详细语法 创建ACL定