ACL在校园中的应用 毕业论文 定稿.doc
《ACL在校园中的应用 毕业论文 定稿.doc》由会员分享,可在线阅读,更多相关《ACL在校园中的应用 毕业论文 定稿.doc(29页珍藏版)》请在三一文库上搜索。
1、 编号 毕业论文题 目ACL在校园网中的应用学生姓名学 号系 部专 业班 级指导教师顾问教师二O一一年十月摘 要摘 要随着网络技术的飞速发展,校园网络的规模不断扩大,网络在为学校提供现代化教育技术和教育资源共享的平台, 为学生和老师之间提供更多的交流渠道, 丰富了校园文化, 但网络互联也导致了部门之间数据保密性降低,影响了部门安全, 因此, 校园网络建设需考虑部门之间的访问控制和网络设备的安全。如管理人员可登陆网络设备或访问其他部门并可自由访问互联网; 对学生或其他部门访问互联网的时间、内部相互访问的控制。因此,笔者提出采用访问控制列表(Access Control List,ACL)访问控制
2、策略, 以满足校园网络安全的要求。ACL(Access Control Lists访问控制列表)是应用于路由器和交换机接口的指令列表,用来控制端口进出的数据包。是CISCO IOS提供的访问技术,初期只近支持在路由器上使用,近期已扩展到三层,二层交换机。ACL就是一系列由源地址,目的地址,端口号等决定的允许和拒绝条件集合。通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制。关键词: ACL 控制 策略 校园网 网络安全I目 录目 录摘 要I第一章论述11.1课题研究背景11.1.1研究背景11.1.2 课题研究的意义1第二章ACL原理概述22.
3、1概述22.1.1 ACL的基本原理22.1.2ACL的主要功能22.1.3ACL的分类32.1.4扩展ACL的命令格式32.1.5 ACL的匹配顺序62.1.6通配符72.1.7 ACL 3P原则72.1.8 正确放置ACL82.1.9 ACL 的特性9第三章 ACL的配置113.1. 配置标准ACL113.2 扩展ACL的配置113.3 扩展ACL的配置实例123.4 ACL配置原则12第四章ACL 在校园网中的应用144.1 论述144.2 ACL 在校园网中的应用144.3 ACL的设计16第五章 总结22致 谢23参考文献24III参考文献第一章论述1.1课题研究背景1.1.1研究背
4、景随着IP网络的飞速发展,网络QOS(Qaulity of Service,服务质量)和网络安全越来越被ISP重视。对数据流实现较精确的识别和控制,成为服务质量提高的有一个基本要求。在通信设备中,如果能根据报文的封装信息的特征配置过滤规则,并对经过报文的封装信息进行识别,就可以较精确的识别出具有相同特征的一条或一组数据流。针对此规则在配置一个数据流量控制方案,网络设备就可以较精确的对某条流实行控制了。ACL(access Control List)就这样应运而生了。它实现了报文的过滤和控制功能。本文研究的内容就是:ACL怎样在校园网中发挥作用的。1.1.2 课题研究的意义研究ACL,可以限制网
5、络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。23第二章ACL原理概述2.1概述TCP/IP 协议中数据包具有数据包由IP 报头、TCP/UDP 报头、数据组成,IP 报头中包含上层的协议端口号、源地址、目的地址,TCP
6、/UDP 报头包含源端号、目的端口,设备信息。ACL(访问控制列表)利用这些信息来定义规则,通过一组由多条deny(拒绝)和permit(允许)语句组成的条件列表,对数据包进行比较、分类,然后根据条件实施过滤。如果满足条件,则执行给定的操作;如果不满足条件,则不做任何操作继续测试下一条语句。2.1.1 ACL的基本原理 ACL使用包过滤技术,在路由器上读取第二层,第三层及第四层包头中的信息源地址,目的地址,源端口和目的端口等。根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。在网络中,ACL不但可以让网管员用来制定网络策略,对个别用户或特定数据流进行控制;也可以用来加强网络的安全屏蔽作
7、用。从简单的Ping of Death攻击、TCP Syn攻击,到更多样化更复杂的黑客攻击,ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力,网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。需要指出的是,与速率限制相同,网络设备不仅应该能够执行完整的ACL功能,包括进站和出站,同时也必须强调硬件的处理能力。这样,用户在启动ACL的同时,才不会影响到二层或三层交换设备线速转发数据包的能力。非法接入、报文窃取、IP地址欺骗、拒绝服务攻击等来自网络层和应用层的攻击常常会耗尽网络资源,让用户网管人员疲于应对。针对这些问题,二、三层的访问控制、防
8、火墙技术、入侵检测、身份验证、数据加密、防病毒都提供了有效的解决途径。而在保障网络边际安全方面,访问控制列表(Access Control List,ACL)可以说是最先与安全威胁最行交火的生力军。 ACL是对通过网络接口进入网络内部的数据包进行控制的机制,分为标准ACL和扩展ACL(Extended ACL)两种。标准ACL只对数据包的源地址进行检查,扩展ACL对数据包中的源地址、目的地址、协议以及端口号进行检查。作为一种应用在路由器接口的指令列表,ACL已经在一些核心路由交换机和边缘交换机上得到应用,从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等二层技术,实现对网络的各层面的有效控
9、制。2.1.2ACL的主要功能ACL实现网络流量限制及提高网络性能;ACL提供对通信流量的控制手段;ACL提供网络安全访问的基本安全级别;ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。2.1.3ACL的分类图1-1ACL的处理过程一是标准ACL是基于源地址的数据包过滤,采用比较源地址的方法来允许/拒绝报文通过.当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时。可以使用标准ACL来实现这一目标,检查路由的数据包的源地址,从而允许或拒绝基于网络或子网或主机的IP地址的所有通信流量通过路由器的出口。标准ACL的格
10、式:ACCESS-LIST access-list-number DENY/PERMITsource address source wildcard /ANY其中access-list-number是标准的IP ACL号码,范围在1-99.ACL号相同的所有的ACL可以形成一个组DENY/PERMIT指出该访问控制列表是允许还是拒绝数据包,最后可以选择主机体部分。二是扩展ACL是基于目标地址,源地址和网络协议及其端口的数据包过滤,采用比较源和目的地址,源和目的端口,协议的方法来允许/拒绝报文通过。扩展ACL既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型,端口号等,更具
11、有灵活性和可扩充性。即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。2.1.4扩展ACL的命令格式ACCESS-LIST access-list-number DENY/PERMITProtocolsource address source wildcard source portdestination address destination wildcard destination port其中ACCESS-LIST是扩展acl 的号码,范围在100-199或2000-2699(扩展的范围) DENY/PERMIT指出该访问控制列表是允许还是拒绝数据包. Prot
12、ocol关键字指明要过滤使用什么协议的数据包,如TCP UDP ICMP IP等等。source address source wildcard是源地址和通配符,source port是源端口,destination address destinationwildcard是目的地址和通配符,destination port是目的端口。和标准IP访问控制列表一样, 定义好扩展IP 访问控制列表语句后,也要将IP访问控制列表应用到具体接口上。而基于时间的ACL先定义一个时间范围,然后在原来的各种访问表的基础上应用它, 在原来的标准IP和扩展IP中加入有效的时间范围来更合理有效的控制网络。基于时间的
13、ACL的命令格式:Time rang time rang- name absolutestar time date end time date periodic days of the week hh:mm to days of the week hh:mmTime rang用来定义时间范围的命令:time rang- name时间范围名称,用来标识时间范围,便于在后面的访问列表中引用。absolute用来指定绝对时间范围,后面紧跟star和end两个关键字,star和end后面的时间以24小时制hh:mm(小时,分钟)表示,日期按照日/月/年来表示。periodic主要是以星期为参数来定义时
14、间范围的一个命令。一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。自反访问控制列表:这些访问控制列表依据上层会话信息过滤IP包,并且它们统称允许出口流量通过,而对入口流量进行限制。你无法使用编号的或是标准的IP访问列表或是任何其他协议的访问控制列表来定义自反访问控制列表。自反访问控制列表可随同其他标准或是静态的扩展访问列表一起使用,但是它们只能用扩展的命名IP访问控制列表定义。图1-2ACL的工作原理下面以应用在外出接口方向的ACL为例说明ACL的工作流程:首先数据包进入路由器的接口,根据目的地址查找路由表,找到转发接口(如果路由表中没有相应的路由条目,路由器会
15、直接丢弃此数据包,并给源主机发送目的不可达消息)。确定外出接口后需要检查是否在外出接口上配置了ACL,如果没有配置ACL,路由器将做与外出接口数据链路层协议相同的2层封装,并转发数据。如果在外出接口上配置了ACL,则要根据ACL制定的原则对数据包进行判断,如果匹配了某一条ACL的判断语句并且这条语句的关键字果是permit,转发数据包。如果在外出接口上配置了ACL,则要根据ACL制定的原则对数据包进行判断,如果匹配了某一条ACL的判断语句并且这条语句的关键字果是permit,转发数据包。2.1.5 ACL的匹配顺序图2-1ACL的匹配顺序ACL的规则总结:按照由上到下的顺序执行,找到第一个匹配
16、后既执行相应的操作(然后跳出ACL)每条ACL的末尾隐含一条deny any 的规则,ACL可应用于某个具体的IP接口的出方向或入方向,ACL可应用于系统的某种特定的服务(如针对设备的TELNET);在引用ACL之前,要首先创建好ACL,对于一个协议,一个接口的一个方向上同一时间内只能设置一个ACL。ACL配置步骤1: 设置判断标准语句(一个ACL可由多个语句组成)Router(config)# access-list access-list-number permit/deny (test condition)2: 将ACL应用到接口上 In router(config-if)# acces
17、s-list access-list-numberin/out 在全局配置模式下使用语句access-list access-list-number permit | deny test conditions 配置ACL,其中: access-list-number 是ACL编号,如果使用同一个是ACL编号配置不同的语句,这些语句属于同一个ACL permit | deny 是关键字,必选项 test conditions 为匹配条件。在接口配置模式下使用语句ip access-group access-list-number in | out 将配置好的ACL应用在接口上,其中:access
18、-list-number是ACL编号,用以引用一个已经配置好的ACLin | out必选项,指定ACL应用在接口的哪个方向0 代表对应位必须与前面的地址相应位一致(匹配)1 代表对应位可以是任意值(忽略)2.1.6通配符通配符和访问列表一起用来指定一台主机、一个网络、一个网络或几个网络内的某个范围。通配符和主机或网络地址一起使用来告诉路由器要过滤的有效地址范围。要指定一台主机,地址应当如下:172.16.30.5 0.0.0.0 4个零代表每个八位位组地址。无论何时出现零,都意味着地址中的八位位组必须精确匹配。使用255,可指定一个八位位组可以是任何值。ACL:Acess Control Li
19、st,即访问控制列表。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。2.1.7 ACL 3P原则记住 3P 原则,您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL: 每
20、种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。 每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。 ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL 协议数 (3) 乘以方向数 (2),再乘以端口数 (2)。2.1.8 正确放置ACLACL通过过滤数
21、据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。 假设在的一个运行TCP/IP协议的网络环境中,网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问,即禁止从网络1到网络2的访问。 根据减少不必要通信流量的通行准则,网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处,即RouterA上。如果网管员使用标准ACL来进行网络流量限制,因为标准ACL只能检查源IP地址,所以实际执行情况为:凡是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网络1到网络2、网络
22、3和网络4的访问都将被禁止。由此可见,这个ACL控制方法不能达到网管员的目的。同理,将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上(E0接口),网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。 网管员如果使用扩展ACL来进行上述控制,则完全可以把ACL放在RouterA上,因为扩展ACL能控制源地址(网络1),也能控制目的地址(网络2),这样从网络1到网络2访问的数据包在RouterA上就被丢弃,不会传到RouterB、RouterC和RouterD上,从而减少不必要的网络流量。因此,我们可以得出另
23、一个结论:扩展ACL要尽量靠近源端。ACL的主要的命令命令描述access-list 定义访问控制列表参数ip access-group 指派一个访问控制列表到一个接口ip access-list extended 定义一个扩展访问控制列表Remark 注释一个访问控制列表show ip access-list 显示已配置的访问控制列表。基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ACL在校园中的应用 毕业论文 定稿 ACL 校园 中的 应用
链接地址:https://www.31doc.com/p-3900875.html