1、 南 阳 理 工 学 院 本科生毕业设计 (论文 ) 学院 (系 ): 软件学院 专 业: 网络工程 学 生: 指导教师: 完成日期 2012 年 04 月 南阳理工学院本科生毕业设计(论文) 基于 ACL 的校园网络安全策略的设计与实现 Based on Design and Implementation of th e campus network security policy in ACL 总 计:毕业设计 (论文 ) 21 页 表 格: 3 个 图 片: 6 个 基于 ACL 的校园网络安全策略的设计与实现 南 阳 理 工 学 院 本 科 毕 业 设 计 (论文 ) 基于 ACL 的
2、校园网络安全策略的设计与实现 Based on Design and Implementation of th e campus network security policy in ACL 学 院 (系 ): 软件学院 专 业 : 网络工程 学 生 姓 名 : 学 号 : 指导教师 (职称 ): 讲师 评 阅 教 师 : 完 成 日 期 : 2012 年 04 月 14日 南阳理工学院 Nanyang Institute of Technology 基于 ACL 的校园网络安全策略的设计与实现 基于 ACL 的校园网络安全策略的设计与实现 网络工程 摘 要 随着网络的高速发展,网络的普及也越
3、来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程,需要全方位的防范。防范不仅是被动的,更要主动进行。 ACL(访问控制列表)是网络安全防范和保护的主要策略,网络管理员通常首选 ACL 策略来完成对所管理网络的安全配置。由此可见 ACL 在网络中的重要性。 本文通过在校园网中配置 ACL 实现对网络安全策略的应用 ,论文首先论述了 ACL 的发展 和应用 ,详细介绍 ACL 的概念、作用、工作流程、 分类和局限性,然后介绍了各种类型的访问控制列表的具体配置,最后搭建配置
4、校园网的环境,具体配置校园网的控制访问列表,实现校园网运作在一个安全稳定的环境中。 摘 要 ACL;校园网;网络安全策略 基于 ACL 的校园网络安全策略的设计与实现 Based on Design and Implementation of th e campus network security policy in ACL Net Engineering Major Abstract: With the rapid development of the network, the popularity of the network more and more civilians pervas
5、ive in peoples learning and all aspects of life, the network has brought great convenience to peoples learning and life, but the accompanying networkthe security issue has drawn increasing attention. Campus Network security is a huge project, a full range of prevention. Prevention is not only passiv
6、e, but also to take the initiative. ACL (Access Control List) is the main strategy of prevention and protection of network security, network administrators often preferred the ACL policy to complete the security configuration on the management network. This shows the importance of ACL in the network
7、. This article through in the campus network configuration ACL to achieve in the application of network security policy, this paper first discusses the development and application of the ACL, detailed introduces the concept, function, ACL working process, and the classification and limitations, and
8、then introduces various types of access control list of the specific configuration, build environment of campus network last configuration, and the specific configuration of the campus network access control list, realize campus network operating in a safe and stable environment Key words: ACL; Camp
9、us Network; Network Security Policy 基于 ACL 的校园网络安全策略的设计与实现 目 录 1. ACL 的发展和应用 . 1 1.1 ACL 发展 . 1 1.2 ACL 的应用 . 1 2. ACL 的概述 . 2 2.1 ACL 的定义 . 2 2.2 ACL 的作用 . 2 2.3 ACL 基本原理 . 2 2.4 ACL 的工作过程 . 3 2.5 ACL 的分类 . 4 2.6 ACL 的局限性 . 4 2.7 ACL 的匹配顺序 . 4 2.8 通配符掩码 . 5 2.9 正确放置 ACL . 5 3. ACL 的各种应用配置 . 6 3.1 标
10、准 ACL 的配置 . 6 3.2 扩展 ACL 的配置 . 7 3.3 命名 ACL . 8 3.4 基于时间段的 ACL 配置 . 9 3.5 ACL 的显示调试和删除 . 10 4. 校园网 ACL 应用实例 .11 4.1 搭建配置环境 . 12 4.2 ACL 在院系机构的应用 . 12 4.3 ACL 在教学机房中作用 . 14 4.3.1 屏蔽特定端口防范病毒与攻击 . 14 4.3.2 通过 ACL 限制上网行为 . 15 4.4 ACL 对校园网 P2P 流量的控制 . 16 4.4.1 P2P 工作原理 . 16 4.4.2 抓包位置的部署 . 16 4.4.3 索引服务器
11、地址收集 . 16 4.4.4 ACL 的组成 . 16 4.4.5 创建 ACL 策略 . 16 结束语 . 17 基于 ACL 的校园网络安全策略的设计与实现 参考文献 . 18 附录 . 19 致谢 . 21 基于 ACL 的校园网络安全策略的设计与实现 1 1. ACL 的 发展 和 应用 1.1 ACL 发展 ACL( Access Control List)的全称是控制访问列表,控制访问起源于 20 世纪 60年代,是一种重要的信息安全技术。所谓访问控制,就是通过某种途径显示地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中
12、常说的 ACL 是 CISCO IOS 所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如 2950 之类也开始开始提供 ACL 的支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似 的技术,不过名称和配置方法都可能有细微的差别。CISCO 路由器中有两种常用的控制访问列表,一种是标准访问列表,另一种是扩展访问列表。 标准 ACL 可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如 IP)的所有通信流量。扩展 ACL 比标准 ACL提供了更广泛的控制范围。例如,网
13、络管理员如果希望做到 “允许外来的 Web 通信流量通过,拒绝外来的 FTP 和 Telnet 等通信流量 ”,那么,他可以使用扩展 ACL 来达到目的,标准 ACL 不能控制这么精确。在标准与扩展访问控制列表中均要使 用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时,要求路由器的 IOS 在 11.2 以上的版本,并且不能以同一名字命名多个 ACL,不同类型的 ACL 也不能使用相同的名字。 随着网络的发展和用户要求的变化,从 IOS
14、12.0 开始,思科( CISCO)路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控 制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。 1.2 ACL 的应用 ACL( Access Control List,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。 通过在路由器以及交换机上配置相
15、关规则即可实现对数据包的过滤,而不需要添加额外的防火墙等过滤设备既能够实现对数据 包的过滤。由于 实现方式简单,效果明显,并且成本低廉, 适合校园网、小型企业等节约网络成本的网络中用于数据包的控制 1。同时其他网络技术结合 ACL 配置也能够实现相应的功能,例如NAT、 IPSEC、路由策略、 QOS 等 ,由此可见 ACL 的重要性。 基于 ACL 的校园网络安全策略的设计与实现 2 2. ACL 的概述 2.1 ACL 的定义 访问控制列表( Access Control List, ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。 ACL 适用于所有的被路由协议,如
16、IP、 IPX、 AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架 结构,其目的是为了对某种访问进行控制。 2.2 ACL 的作用 访问控制列表( Access Control List, ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则 。 ACL 可以限制网络流量、提高网络性能。 ACL 可以根据数据包的协议,指定数据包的优先级。 ACL 可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 ACL 是提供网络安全访问的 基本手段 , ACL 允许主机 A访问网络,而拒绝主机 B访问。 ACL 适用于所有的被路由协议,如 IP
17、、 IPX、 AppleTalk 等 。 ACL 是路由器 接口的指令列表,用来控制端口进出的数据包, ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许 E-mail 通信流量被路由,拒绝所有的 Telnet 通信流量。 2.3 ACL 基本原理 网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。 ACL 的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 ACL 中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝 ACL 是 C
18、ISCO IOS 中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码 丢弃 DENY.所以在写 ACL 时,一定要注意先后顺序。 可以发现,在 ACL 的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置。 当入站数据包进入路由器内时,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表基于 ACL 的校园网络安全策略的设计与实现 3 内找到入口,不能找到的话 放入数据垃圾桶中,能找到的话进入
19、下一步。接下来选择路由器接口,进入接口后使用 ACL。 ACL 使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的 2。 其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。 ACL 判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包 未能成功通过路由器。通过 ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。 具体
20、过程如下图所示 : 图 2 1 2.4 ACL 的 工作过程 无论在路由器上有无 ACL,接到数据包的处理方法都是一样的:当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息 包括 AD, METRIC 及对应的出接口 。 这时,我们假定该数据是可路由的,并且已 经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入 ACL,如果没有 ACL 的话,则直接从该口送出。如果该接口编入了 ACL,那么就比较麻烦 3。第一种情况 路由器将按照从上到下的顺序依次把该数据和 ACL 进行匹配,从上往下,逐条执行,当发现其中某条 ACL匹配,则根据该 ACL 指定的操作对数据进行相应处理(允许或拒绝),并停止继续查询匹配;当查到 ACL 的最末尾,依然未找到匹配,则调用 ACL 最末尾的一条隐含语句 deny any 来将该数据包丢弃。