论文题目：基于路由器的访问控制.pdfVIP

论文题目：基于路由器的访问控制

基于路由器的访问控制

1.引言

一般大型的骨干网络会配备专业的防火墙等网络防护设备，以阻断外部的非法

访问和恶意攻击。对于一般小规模的办公网络用户而言，路由器在网络体系结构中

起着非常重要的作用，它不仅能够转发来自不同网络的数据包而且具有访问控制功

能。

2.关键字：访问控制，路由器，ACL

3.摘要

对于许多网管员来说，设置路由器的访问控制列表是一件经常性的工作，可以

说，路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机

制，它能控制和过滤通过路由器的不同接口去往不同方向的信息流。利用访问控制

列表可以在路由器上配置访问规则隔离内网和外网，阻止存在安全风险的外网用户

对内部敏感数据的访问，实现防火墙的功能，从而简单高效地实现对内网的保护。

4.访问控制列表的简介

访问控制列表(AccessControlList)是应用到路由器接口的指令列表，用来控

制进出的数据包；它是一组由允许和拒绝语句组成的有序的集合，根据网络巾每个

数据包所包含的信息和内容，决定是否允许该信息包通过指定的接口。

访问控制列表具有的功能：

（1）实现数据包过滤，限制用户访问某些外部网段、端口、应用服务器，或者

限制外部数据包访问内部网络的某些网段、端口、应用服务器等。

（2）在接口上控制报文传输。

（3）控制虚拟终端连接(VTY)的访问

5.访问控制列表的基本配置

访问控制列表分为标准访问控制列表和扩展访问控制列表。

5.1标准访问控制列表

标准ACL根据源地址进行匹配，路由器检查分组的源地址，并与标准访问控制

列表进行比较和匹配，然后决定丢弃或转发。

（1）用数字或者名字来标识访问控制列表，其完整语法如下：

Router(config)#access-listaccess-list-number

Router(config)#ipaccess-liststandardname

（2）定义标准访问控制列表的访问规则，其具体语法如下：

Router(config)#access-listaccess-list-number{deny|permit}

source[source-wildcard]log]

5.2扩展访问控制列表

扩展ACL可以基于分组的源地址、目标地址、协议类型、端口地址和应用来决

定访问是被允许或者拒绝。扩展ACL也需要以名字或数字来标识访问规则。其完整

语法如下：

Router(config)#access-listaccess-list-number[dynamic

dynamic-name[timeoutminutes]]{deny|permit}protocolsourcesource-wild

destinationdestination-wild[precedenceprecedence][tostos][log|

log-input][ime-rangetime-range-name][fragments]

因为扩展ACL提供了更大的弹性和控制范围，在实际中它比标准ACL使用的更

多。

6.访问控制列表的实现与具体应用

6.1控制网络流量

网络传输过程中存在相当多和实际应用无关的通信流量，大大影响了网络性能。

通过标准访问控制列表的配置，可以允许或者拒绝某一网络的所有主机的通信，从

而实现对网络流量的控制，网络通信质量明显得以改善。

（1）允许10．0．0．0／8流量通过

Access——list1permit10．0．0．00．255．255．255

（2）拒绝10．0．0．0／8流量通过

Access——list2deny10．0．0．00．0．0．255

6.2病毒过滤

大多病毒传播和攻击都通过传输层的某一端口进行的，所以可以通过扩展的访

问控制列表对这些端口进行禁用，有效地阻止了病毒的传染和破坏。例如冲击波病

毒是通过tcp135、udp135、tcp445、udp445、udp593、tcp593等这些端口进行

破坏的。通过建立以下一个扩展的访问控制列