课题一---局域网.docVIP

PAGE PAGE 1 课题一 局域网的访问控制之ACL标准访问控制列表 1.1课题概述 1.1.1课题内容 假设你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部PC1可以对财务部门PC3进行访问。 图 课题设计要求图 1.1.2 课题要求、目标 课题要求：销售部门PC2不能对财务部门PC3进行访问，但经理部PC1可以对财务部门PC3进行访问。需要预先规划好每个网络的IP地址，以及每个路由器中每个接口需要配置的信息，并对照要求配置。 课题目标：验要求学生掌握访问控制列表的配置，理解ACL的执行过程；能够根据ACL设计安全的网络。 1.2 理论基础 1.2.1 访问控制列表ACL介绍 ACL技术在 路由器中被广泛采用，它是一种基于 包过滤的流控制技术。 标准访问控制列表通过把源地址、目的地址及 端口号作为 数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。 访问控制列表分类： 号码式 命名式 标准号码式访问控制列表 标准命名访问控制列表 扩展号码式访问控制列表 扩展命名访问控制列表 表 访问控制列表的分类 标准访问控制列表利用源IP地址来做过滤决定，配置简单，但应用场合有限，不能够进行复杂条件的过滤；而扩展访问控制列表则可以利用多个条件来做过滤：源IP地址、目标IP地址、网络层的协议字段和传输层的端口号。标准号码式访问控制列表的表号范围为1~99，而扩展号码式访问控制列表的表号范围为100~199。 1.2.2 访问控制列表ACL设置规则 ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 1.2.3访问控制列表中的协议 访问控制列表的协议： 表协议控制访问列表 从图中可以看出Telnet、FTP、SMTP协议依赖于TCP协议，而TCP协议又依赖于IP协议。因此，如果我们在访问控制列表中只禁止FTP报文通过路由器，那么，其他的报文，如Telnet、SMTP的报文仍然可以通过路由器。下面的扩展访问控制列表就是只禁止依赖于TCP协议的FTP报文通过路由器，其他报文都可以通过路由器。如果没有后面的ep、ftp，所以依赖于TCP协议的报文都不能通过路由器，那么Telnet、SMTP和FTP的报文也就不能通过路由器。 1.2.4访问控制列表中的端口号 端口分为硬件领域的端口和软件领域的端口。硬件领域的端口又称接口，如计算机的COM口、USB口、路由器的局域网口等；软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议接口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。访问控制列表中的端口号指的是软件领域的端口编号。按端口号可分为3大类： 公认端口（WellKnown ports）。编号从0到1023，它们紧密绑定（binding）于一些服务，明确表明了某种服务的协议。例如：21端口总是FTP通讯，80端口总是HTTP通讯。 （2）注册端口（Registered ports）。编号从1024到49151，它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。以下是计算机端口的介绍以及防止被黑客攻击的简要办法。 3）动态/私有端口（Dynamic and/or private ports）。从49152到65535。理论上，不应为服务分配这些端口。实际上，计算机通常从1024起分配动态端口。 1.2.5路由工作原理 传统地，路由器工作于OSI七层协议中的第三层，其主要任务是接收来自一个网络接口的数据包，根据其中所含的目的地址，决定转发到下一个目的地址。因此，路由器首先得在转发路由表中查找它的目的地址，若找到了目的地址，就在数据包的帧格前添加下一个MAC地址，同时IP数据包头的TTL（Time To Live）域也开始减数，并重新计算校验和。当数据包被送