1、 . . . 畢 業(yè) 論 文（設(shè)計(jì)）論文（設(shè)計(jì)）題目：基于ACL的校園網(wǎng)絡(luò)安全策略系 別：專 業(yè)：學(xué) 號：姓 名：指導(dǎo)教師：時(shí) 間：畢 業(yè) 論 文（設(shè) 計(jì)） 開 題 報(bào) 告系別:計(jì)算機(jī)與信息科學(xué)系 專業(yè):計(jì)算機(jī)科學(xué)與技術(shù)學(xué) 號姓 名何國明論文（設(shè)計(jì)）題目基于ACL的校園網(wǎng)絡(luò)安全策略命題來源教師命題 學(xué)生自主命題 教師課題選題意義(不少于300字): 本選題的目的是配置以ACL為核心、安全可靠的校園網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的普與也越來越平民化，網(wǎng)絡(luò)的安全問題也越來越引起人們的重視，在現(xiàn)實(shí)生活中我們每天都在面對各種各樣的病毒，木馬，非法入侵，基于這些現(xiàn)狀我們必須有一套安全可靠的防護(hù)措施。高校

2、校園網(wǎng)的安全是一個(gè)龐大的系統(tǒng)工程，需要全方位防。防不僅是被動(dòng)的，更要主動(dòng)進(jìn)行，只有這樣，才能取得主動(dòng)權(quán)，使網(wǎng)絡(luò)避免有意無意的攻擊。ACL即訪問控制列表，它是工作在OSI參考模型三層以上設(shè)備，通過對數(shù)據(jù)包中的第三、四層中的信息按照給定的規(guī)則進(jìn)行分析，判斷是否轉(zhuǎn)發(fā)該數(shù)據(jù)包。基于ACL的網(wǎng)絡(luò)病毒的過濾技術(shù)在一定程度上可以比較好的保護(hù)局域網(wǎng)用戶免遭外界病毒的干擾，是一種比較好的中小型局域網(wǎng)網(wǎng)絡(luò)安全控制技術(shù)。研究綜述(前人的研究現(xiàn)狀與進(jìn)展情況，不少于600字):ACL的全稱是控制訪問列表：Acces Conttol List,控制訪問起源于20世紀(jì)60年代，是一種重要的信息安全技術(shù)。所謂訪問控制，就是通

3、過某種途徑顯示地準(zhǔn)許或限制訪問能力與圍，從而限制對關(guān)鍵資源的訪問，防止非法用戶入侵或者合法用戶的不慎操作造成破壞。網(wǎng)絡(luò)中常說的ACL是CISCO IOS所提供的一種訪問控制技術(shù)，初期僅在路由器上支持，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)如2950之類也開始開始提供ACL的支持。只不過支持的特性不是那么完善而已。在其他廠商的路由器或多層交換機(jī)上也提供類似的技術(shù)，不過名稱和配置方法都可能有細(xì)微的差別。CISCO路由器中有兩種常用的控制訪問列表，一種是標(biāo)準(zhǔn)訪問列表，另一種是擴(kuò)展訪問列表。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和用戶需求的變化，從IOS 12.0開始，CISCO路由器新增加了一種基于時(shí)間的訪

4、問控制。ACL的介紹，主要包括以下幾點(diǎn)：（1） ACL使用包過濾技術(shù)，在路由器上讀取第三層與第四層中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)選定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制目的。（2） ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，組織非法用戶對資源節(jié)點(diǎn)的訪問，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。（3） 在實(shí)施ACL的過程中，應(yīng)當(dāng)遵循如下兩個(gè)基本原則。 最小特權(quán)原則：只給受控對象完成任務(wù)必須的最小權(quán)限。 最靠近受控對象原則：所有的網(wǎng)絡(luò)層訪問權(quán)限控制盡可能離受控對象最近。 （4）ACL過濾的依據(jù)是第三層和第四層中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具

5、體的人，無法識別到應(yīng)用部的權(quán)限級別等。因此，要達(dá)到end to end 的權(quán)限控制目的，需要和系統(tǒng)級與應(yīng)用級的訪問控制權(quán)限結(jié)合使用。研究的目標(biāo)和主要容（不少于400字）本選題基于ACL為主，同時(shí)搭配NAT和虛擬局域網(wǎng)技術(shù)，其中采用虛擬局域網(wǎng)技術(shù)和建立ACL列表控制保障整個(gè)校園網(wǎng)絡(luò)的安全運(yùn)行，NAT在合理減少合法地址需求的同時(shí)還可以隱藏部真實(shí)的網(wǎng)絡(luò)地址，減低黑客入侵的成功率,使校園網(wǎng)運(yùn)作在一個(gè)安全穩(wěn)定的環(huán)境下。本選題研究容如下：(1) ACL的發(fā)展，現(xiàn)狀和將來，詳細(xì)介紹ACL的概念，原理，工作流程，分類和局限性。(2) 詳細(xì)說明ACL的匹配順序，創(chuàng)建出一個(gè)控制訪問列表的簡單示例，并詳細(xì)說明控制訪

6、問列表的配置任務(wù)和放置控制訪問列表的正確位置。（3）配置各種類型的訪問控制列表，比如基本訪問控制列表，高級訪問控制列表，基于接口的訪問控制列表，基于以太網(wǎng)MAC地址的訪問控制列表并完成刪除控制列表的操作。（4）完成時(shí)間段的控制訪問列表配置，訪問控制列表的顯示和調(diào)試。（5）簡述校園網(wǎng)的特點(diǎn)與其所面臨的安全問題與解決辦法。（6）搭建配置校園網(wǎng)的環(huán)境，配置校園網(wǎng)的控制訪問列表實(shí)例。（7）對配置好控制訪問列表的校園網(wǎng)的安全性能進(jìn)行測試。擬采用的研究方法a）查找并閱讀相關(guān)資料，了解基本的容,利用需求分析文檔，對整個(gè)控制訪問策略有個(gè)基本的架構(gòu)。b）搜尋實(shí)驗(yàn)用的文件文檔集和研究過程中用到的各種工具軟件。c）

7、根據(jù)已有的資料并搜尋到的各種軟件工具進(jìn)行分析、設(shè)計(jì)。d）采用DynamipsGUI、gns3、Cisco Packet Tracer 5.3等工具完成整個(gè)策略的編寫與測試。研究工作的進(jìn)度安排2010年11月24號11月29號與指導(dǎo)老師溝通交流，完成畢業(yè)論文選題。2010年12月12號12月19號搜集資料，查閱文獻(xiàn)，完成開題報(bào)告。l2010年12月20號2011年1月1日 完成文獻(xiàn)綜述2011年1月2號1月15號 定出基于ACL技術(shù)的校園網(wǎng)絡(luò)安全的需求分析文檔2011年1月16號1月30號 整理相關(guān)資料并完成概要和詳細(xì)設(shè)計(jì)2011年2月1號3月30號 進(jìn)行校園局域網(wǎng)的相關(guān)配置和必要性測試l201

8、1年4月1號4月15號 后期的聯(lián)機(jī)調(diào)試和測試l2011年4月16號4月30號 總結(jié)畢業(yè)設(shè)計(jì)的整個(gè)過程，完成畢業(yè)設(shè)計(jì)論文初稿2011年5月1號5月30號 修改畢業(yè)論文定稿，打印裝訂，參加答辯參考文獻(xiàn)目錄（作者、書名或論文題目、或刊號、出版年月日或出版期號）1 郭自龍.訪問控制列表在網(wǎng)絡(luò)管理中的應(yīng)用.M.：清華大學(xué)，20042 周星，震等.網(wǎng)絡(luò)層訪問控制列表的應(yīng)用J.大學(xué)學(xué)報(bào)，2004，20（5）：56-583 付國瑜，黃賢英，剛.帶入侵檢測系統(tǒng)的網(wǎng)絡(luò)安全研究J.工學(xué)院學(xué)報(bào)，2005，25（8）：26-304 仇國陽.路由器的“防火”功能研究J.大學(xué)學(xué)報(bào)（工科版），2004，36（6）：45-49

9、5 斯桃枝，馳甫.路由與交換技術(shù)M.:大學(xué)，20086 希仁. 計(jì)算機(jī)網(wǎng)絡(luò) 第五版M.:電子工程，20087 蘭少華，余旺，呂建勇.TCP/IP網(wǎng)絡(luò)與協(xié)議M.:清華大學(xué)，20098 甘剛.網(wǎng)絡(luò)設(shè)備配置與管理M.:清華大學(xué)，20079（美）Cisco System公司 Cisco Networking Academy Program 著，清華大學(xué)，大學(xué)，郵電大學(xué)，華南理工大學(xué)思科網(wǎng)絡(luò)學(xué)院譯思科網(wǎng)絡(luò)技術(shù)學(xué)院教程（第一、二學(xué)期）（第三版）M：人民郵電，2006指導(dǎo)教師意見該生的選題基于ACL為主，建立ACL列表控制和保障整個(gè)校園網(wǎng)的安全運(yùn)行，使校園網(wǎng)運(yùn)作在一個(gè)安全穩(wěn)定的環(huán)境下，技術(shù)上比較新穎，難度適

10、中，也有實(shí)用價(jià)值，工作量符合要求，同意開題。 簽名： 年 月 日教研室主任意見同意指導(dǎo)教師意見，同意開題。 簽名： 年 月 日17 / 24目 錄摘要1關(guān)鍵詞1前言11 基本功能、原理與局限性12 訪問控制列表概述22.1 訪問控制列表的分類32.2 訪問控制列表的匹配順序32.3 訪問控制列表的創(chuàng)建32.4 通配符掩碼52.5 正確放置ACL63 訪問控制列表的配置63.1 訪問控制列表配置73.1.1 配置標(biāo)準(zhǔn)訪問控制列表73.1.2 配置擴(kuò)展訪問控制列表73.1.3配置命名訪問控制列表83.1.4 刪除訪問控制列表93.2基于時(shí)間段的訪問控制列表配置103.3 訪問控制列表的顯示和調(diào)試1

11、14 校園網(wǎng)ACL配置實(shí)例114.1 搭建配置環(huán)境124.2 校園網(wǎng)ACL實(shí)際用例135 小結(jié)16參考文獻(xiàn)：16Abstract16Keywords16致17基于ACL的校園網(wǎng)絡(luò)安全策略計(jì)算機(jī)科學(xué)與技術(shù)專業(yè) 指導(dǎo)老師 摘要隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的普與也越來越平民化，在人們的學(xué)習(xí)和生活的方方面面，網(wǎng)絡(luò)無孔不入，給人們的學(xué)習(xí)和生活帶來了極大的便利，但隨之而來的網(wǎng)絡(luò)安全問題也越來越引起人們的重視。高校校園網(wǎng)的安全是一個(gè)龐大的系統(tǒng)工程，需要全方位的防。防不僅是被動(dòng)的，更要主動(dòng)進(jìn)行。本文基于ACL為主，建立ACL列表控制和保障整個(gè)校園網(wǎng)的安全運(yùn)行，使校園網(wǎng)運(yùn)作在一個(gè)安全穩(wěn)定的環(huán)境下。關(guān)鍵詞ACL；校園

12、網(wǎng)；網(wǎng)絡(luò)安全策略；訪問控制列表前言自從產(chǎn)生了網(wǎng)絡(luò)，隨之而來的就是網(wǎng)絡(luò)的安全問題。任何連接上網(wǎng)絡(luò)的企業(yè)、單位、個(gè)人都要時(shí)刻注意自己的網(wǎng)絡(luò)安全問題。既要防止未經(jīng)授權(quán)的非法數(shù)據(jù)從外部侵入部Intranet，也要防止部各主機(jī)之間的相互攻擊,一旦網(wǎng)絡(luò)癱瘓或者信息被竊取，將會(huì)帶來巨大的損失。路由器作為Intranet和Internet的網(wǎng)間互連設(shè)備，是保證網(wǎng)絡(luò)安全的第一關(guān),而在路由器上設(shè)置控制訪問列表（ACL）可以很好的解決這些網(wǎng)絡(luò)安全問題。訪問控制列表適用于所有的路由協(xié)議，通過靈活地增加訪問控制列表，ACL可以當(dāng)作一種網(wǎng)絡(luò)控制的有力工具。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流量的作用，還

13、可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。1 基本功能、原理與局限性基本原理：入站數(shù)據(jù)包進(jìn)入路由器，路由器首先判斷數(shù)據(jù)包是否從可路由的源地址而來，否的話放入數(shù)據(jù)包垃圾桶中，是的話進(jìn)入下一步；路由器判斷是否能在路由選擇表找到入口，不能找到的話放入數(shù)據(jù)垃圾桶中，能找到的話進(jìn)入下一步。接下來選擇路由器接口，進(jìn)入接口后使用ACL。ACL使用包過濾技術(shù)，在路由器上讀取第三層與第四層中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。 其中標(biāo)準(zhǔn)控制列表只讀取數(shù)據(jù)包中的源地址信息，而擴(kuò)展訪問控制列表則還會(huì)讀取數(shù)據(jù)包中的目的

14、地址、源端口、目的端口和協(xié)議類型等信息。ACL判斷數(shù)據(jù)包是否符合所定義的規(guī)則，符合要求的數(shù)據(jù)包允許其到達(dá)目的地址進(jìn)入網(wǎng)絡(luò)部，不符合規(guī)則的則丟棄，同時(shí)通知數(shù)據(jù)包發(fā)送端，數(shù)據(jù)包未能成功通過路由器。通過ACL，可以簡單的將不符合規(guī)則要求的危險(xiǎn)數(shù)據(jù)包拒之門外，使其不能進(jìn)入部網(wǎng)絡(luò)。圖1 ACL工作原理功能：網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對資源節(jié)點(diǎn)的訪問，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。局限性：由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層中

15、的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用部的權(quán)限級別等。因此，要達(dá)到end to end的權(quán)限控制目的，需要和系統(tǒng)級與應(yīng)用級的訪問權(quán)限控制結(jié)合使用。2 訪問控制列表概述 訪問控制列表（Acess Control List,ACL）是管理者加入的一系列控制數(shù)據(jù)包在路由器中輸入、輸出的規(guī)則訪問控制列表是路由器接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。在這里，只介紹IP協(xié)議的ACL。 ACL的作用1. ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。2. ACL提供對通信流量的控制手段。 3. ACL是提

16、供網(wǎng)絡(luò)安全訪問的基本手段。 4. ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。2.1 訪問控制列表的分類目前有兩種主要的ACL：標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址；擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時(shí)還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。·IP標(biāo)準(zhǔn)訪問控制列表編號：199或13001999·IP擴(kuò)展訪問控制列表編號：100199或200026992.2 訪問控制列表的匹配順序ACL的執(zhí)行順序是從上往下執(zhí)行，Cisco IOS按照各描述語句在ACL中的順序，根據(jù)各描述語句的判斷條件，對數(shù)據(jù)包進(jìn)行檢查。一旦找到了

17、某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語句。在寫ACL時(shí)，一定要遵循最為精確匹配的ACL語句一定要卸載最前面的原則，只有這樣才能保證不會(huì)出現(xiàn)無用的ACL語句圖2 ACL的匹配順序2.3 訪問控制列表的創(chuàng)建·標(biāo)準(zhǔn)ACL命令的詳細(xì)語法1 創(chuàng)建ACL定義例如：Router(config)#access-list 1 permit 552應(yīng)用于接口例如：Router(config-if)#ip access-group 1 out·擴(kuò)展ACL命令的詳細(xì)語法1. 創(chuàng)建ACL定義例如：accell-list101 permit

18、host any eq telnet2. 應(yīng)用于接口例如：Router(config-if)#ip access-group 101 out·下面更詳細(xì)的介紹擴(kuò)展ACL的各個(gè)參數(shù)：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator portdestination destination-wildcard operator port established log表1 擴(kuò)展ACL參數(shù)描述參數(shù)參數(shù)描述access-lis

19、t-number訪問控制列表表號permit|deny如果滿足條件，允許或拒絕后面指定特定地址的通信流量protocol用來指定協(xié)議類型，如IP、TCP、UDP、ICMP等Sourceand destination分別用來標(biāo)識源地址和目的地址source-mask通配符掩碼，跟源地址相對應(yīng)destination-mask通配符掩碼，跟目的地址相對應(yīng)operator lt,gt,eq,neq(小于，大于，等于，不等于) operand一個(gè)端口號established如果數(shù)據(jù)包使用一個(gè)已建立連接，便可允許TCP信息通過表2 常見端口號端口號(Port Number) 20文件傳輸協(xié)議（F

20、TP）數(shù)據(jù)21文件傳輸協(xié)議（FTP）程序23遠(yuǎn)程登錄（Telnet）25簡單傳輸協(xié)議（SMTP）69普通文件傳送協(xié)議（TFTP）80超文本傳輸協(xié)議( )53域名服務(wù)系統(tǒng)（DNS）·標(biāo)準(zhǔn)ACL與擴(kuò)展ACL的比較：圖3 標(biāo)準(zhǔn)ACL與擴(kuò)展ACL的比較2.4 通配符掩碼通配符掩碼是一個(gè)32位的數(shù)字字符串，0表示“檢查相應(yīng)的位”，1表示“不檢查（忽略）相應(yīng)的位”。·IP地址掩碼的作用：區(qū)分網(wǎng)絡(luò)為和主機(jī)位，使用的是與運(yùn)算。0和任何數(shù)相乘都得0，1和任何數(shù)相乘都得任何數(shù)。·通配符掩碼：把需要準(zhǔn)確匹配的位設(shè)為0，其他位為1，進(jìn)行或運(yùn)算。1或任何數(shù)都得1，0或任何數(shù)都得任何數(shù)。特殊

21、的通配符掩碼：1.Any 552.Host8 Host 82.5 正確放置ACLACL通過制定的規(guī)則過濾數(shù)據(jù)包，并且丟棄不希望抵達(dá)目的地址的不安全數(shù)據(jù)包來達(dá)到控制通信流量的目的。但是網(wǎng)絡(luò)能否有效地減少不必要的通信流量，同時(shí)達(dá)到保護(hù)部網(wǎng)絡(luò)的目的，將ACL放置在哪個(gè)位置也十分關(guān)鍵。假設(shè)存在著一個(gè)簡單的運(yùn)行在TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境，分成4個(gè)網(wǎng)絡(luò)，設(shè)置一個(gè)ACL拒絕從網(wǎng)絡(luò)1到網(wǎng)絡(luò)4的訪問。根據(jù)減少不必要通信流量的準(zhǔn)則，應(yīng)該把ACL放置于被拒絕的網(wǎng)絡(luò)，即網(wǎng)絡(luò)1處，在本例中是圖中的路由器A上。但如果按這個(gè)

22、準(zhǔn)則設(shè)置ACL后會(huì)發(fā)現(xiàn)，不僅是網(wǎng)絡(luò)1與網(wǎng)絡(luò)4不能連通，網(wǎng)絡(luò)1與網(wǎng)絡(luò)2和3也都不能連通?；貞洏?biāo)準(zhǔn)ACL的特性就能知道，標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的中的源地址部分，在本例子中，凡是發(fā)現(xiàn)源地址為網(wǎng)絡(luò)1網(wǎng)段的數(shù)據(jù)包都會(huì)被丟棄，造成了網(wǎng)絡(luò)1不能與其他網(wǎng)絡(luò)聯(lián)通的現(xiàn)象。由此可知，根據(jù)這個(gè)準(zhǔn)則放置的ACL不能達(dá)到目的，只有將ACL放置在目的網(wǎng)絡(luò)，在本例子中即是網(wǎng)絡(luò)4中的路由器D上，才能達(dá)到禁止網(wǎng)絡(luò)1訪問網(wǎng)絡(luò)4的目的。由此可以得出一個(gè)結(jié)論，標(biāo)準(zhǔn)訪問控制列表應(yīng)盡量放置在靠近目的端口的位置。在本例子中，如果使用擴(kuò)展ACL來達(dá)到同樣的要求，則完全可以把ACL放置在網(wǎng)絡(luò)1的路由器A上。這是因?yàn)閿U(kuò)展訪問控制列表不僅檢查數(shù)據(jù)包

23、中的源地址，還會(huì)檢查數(shù)據(jù)包中的目的地址、源端口、目的端口等參數(shù)。放置在路由器A中的訪問控制列表只要檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡(luò)4的網(wǎng)段，則會(huì)丟棄這個(gè)數(shù)據(jù)包，而檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡(luò)2和3的網(wǎng)段，則會(huì)讓這個(gè)數(shù)據(jù)包通過。既滿足了減少網(wǎng)絡(luò)通信流量的要求，又達(dá)到了阻擋某些網(wǎng)絡(luò)訪問的目的。由此，可以得出一個(gè)結(jié)論，擴(kuò)展訪問控制列表應(yīng)盡量放置在靠近源端口的位置。圖4 正確設(shè)置ACL·編輯原則：·標(biāo)準(zhǔn)ACL要盡量靠近目的端·擴(kuò)展ACL要盡量靠近源端3 訪問控制列表的配置3.1 訪問控制列表配置3.1.1 配置標(biāo)準(zhǔn)訪問控制列表以下是標(biāo)準(zhǔn)訪問列表的常用配置命令。跳過簡單

24、的路由器和PC的IP地址設(shè)置1.配置路由器R1的標(biāo)準(zhǔn)訪問控制列表R1(config)#access-list 1 deny 55R1(config)#access-list 1 permit anyR1(config)#access-list 2 permit 552.常用實(shí)驗(yàn)調(diào)試命令在PC1網(wǎng)絡(luò)所在的主機(jī)上ping ，應(yīng)該通，在PC2網(wǎng)絡(luò)所在的主機(jī)上ping ,應(yīng)該不通，在主機(jī)PC3上Telnet ,應(yīng)該成功。Outgoing access list is not set Inbo

25、und access list is 1以上輸出表明在接口S2/0的入方向應(yīng)用了訪問控制列表1。3.1.2 配置擴(kuò)展訪問控制列表相比基本訪問控制列表，擴(kuò)展訪問控制列表更加復(fù)雜，不僅需要讀取數(shù)據(jù)包的源地址，還有目的地址、源端口和目的端口。圖5 用擴(kuò)展ACL檢查數(shù)據(jù)包擴(kuò)展訪問控制列表的常見配置命令。1.配置路由器R1R1(config)#access-list 100 permit tcp 55 host eq 2.常用調(diào)試命令分別在訪問路由器R2的Telnet和WWW服務(wù)，然后查看訪問控制列表100：R1#show ip access-list

26、s 100Extended IP access list 100 permit tcp 55 host eq 3.1.3配置命名訪問控制列表命名ACL是IOS11.2以后支持的新特性。命名ACL允許在標(biāo)準(zhǔn)ACL和擴(kuò)展ACL中使用字符串代替前面所使用的數(shù)字來表示ACL，命名ACL還可以被用來從某一特定的ACL中刪除個(gè)別的控制條目，這樣可以讓網(wǎng)絡(luò)管理員方便地修改ACL。它提供的兩個(gè)主要優(yōu)點(diǎn)是：解決ACL的不足問題；可以自由的刪除ACL中的一條語句，而不必刪除整個(gè)ACL。命名ACL的主要不足之處在于無法實(shí)現(xiàn)在任意位置加入新的ACL條目。語法為：Ro

27、uter(config)#ip access-list standard | extended name·名字字符串要唯一Router(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions ·允許或拒絕述前沒有表號·可以用“NO”命令去除特定的述Router(config-if)# ip acce

28、ss-group name in | out ·在接口上激活命名ACL例如：ip access-list extend server- protectpermit tcp 55 host 1 eq 1521int vlan 2ip access-group server- protect命名ACL還有一個(gè)很好的優(yōu)點(diǎn)就是可以為每個(gè)ACL取一個(gè)有意義的名字，便于日后的管理和維護(hù)。最后是命名ACL常用配置命令。1 在路由器R1上配置命名的標(biāo)準(zhǔn)ACLR1(config)#ip access-list standard standR1(confi

29、g-std-nacl)#deny 55R1(config-std-nacl)#permit any創(chuàng)建名為stand的標(biāo)準(zhǔn)命名訪問控制列表2 在路由器R1上查看命名訪問控制列表R1#show ip access-lists Standard IP access list 1 deny 55 permit any (110 match(es)3 在路由器R1配置命名的擴(kuò)展ACL R1(config)#ip access-list extended ext1R1(config-ext-nacl)#permit tcp 172.

30、16.1.0 55 host eq 創(chuàng)建名為ext1的命名擴(kuò)展訪問控制列表4 在路由器R1和R3上查看命名訪問控制列表R1#show access-lists Extended IP access list ext1 permit tcp 55 host eq 3.1.4 刪除訪問控制列表刪除ACL的方法十分簡單，只需在ACL表號前加“NO”就可以了，例如：R2(config)#no access-list 1輸入這個(gè)命令后，ACL表號為1和2的ACL所有的條目都會(huì)被刪除。標(biāo)準(zhǔn)和擴(kuò)展的ACL只能刪除整個(gè)ACL條目

31、，不能刪除個(gè)別條目。命名ACL與標(biāo)準(zhǔn)和擴(kuò)展ACL不同，它可以刪除個(gè)別的控制條目。例如:no permit tcp 55 host 1 eq 1521在“permit tcp 55 host 1 eq 1521”前加“no”即可刪除這條ACL語句條目，之后可以重新寫入新的條目3.2基于時(shí)間段的訪問控制列表配置使用標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表就可以應(yīng)付大部分過濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。不過在實(shí)際的使用中總會(huì)有人提出一些較為苛刻的要求，這是就還需要掌握一些關(guān)于ACL的高級技巧?；跁r(shí)間的訪問控制

32、類別就屬于高級技巧之一。·基于時(shí)間的訪問控制列表的用途：可能一些單位或者公司會(huì)遇到這樣的情況，要求上班時(shí)間不能使用 或者瀏覽某些，或者不能在上班時(shí)間使用某些應(yīng)用，只有在下班或者周末才可以。對于這種情況，僅僅通過發(fā)布通知不能徹底杜絕員工非法使用的問題，這時(shí)基于時(shí)間的訪問控制列表就應(yīng)運(yùn)而生了。·基于時(shí)間的訪問控制列表的格式;基于時(shí)間的訪問控制列表由兩部分組成，第一部分是定義時(shí)間段，第二部分是用擴(kuò)展訪問控制列表定義規(guī)則。這里主要解釋下定義時(shí)間段，具體格式如下：time-range 時(shí)間段格式absolute start 小時(shí)：分鐘 日 月 年 end 小時(shí)：分鐘 日 月 年例如：

33、time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定義了一個(gè)時(shí)間段，名稱為softer，并且設(shè)置了這個(gè)時(shí)間段的起始時(shí)間為2005年5月1日零點(diǎn)，結(jié)束時(shí)間為2005年6月1日中午12點(diǎn)。還可以定義工作日和周末，具體要使用periodic命令。將在下面的配置實(shí)例中詳細(xì)介紹?；跁r(shí)間的ACL配置常用命令R1(config)#time-range time /定義時(shí)間圍R1(config-time-range)#periodic weekdays 8:00 to 18:00R1(config)#access-

34、list 111 permit tcp host host eq telnet time-range time常用實(shí)驗(yàn)調(diào)試命令 用“clock set”命令將系統(tǒng)時(shí)間調(diào)整到周一至周五的8：00-18：00圍，然后在Telnet路由器R1，此時(shí)可以成功，然后查看訪問控制列表111：R1#show access-listsExtended IP access list 111 10 permit tcp host host eq telnet time-range time (active) 用“clock set”命令將

35、系統(tǒng)時(shí)間調(diào)整到8：00-18：00圍之外，然后Telnet路由器R1，此時(shí)不可以成功，然后查看訪問控制列表111：R1#show access-listsExtended IP access list 111 10 permit tcp host host eq telnet time-range time (inactive) show time-range：該命令用來查看定義的時(shí)間圍。R1#show time-rangetime-range entry: time (inactive) periodic weekdays 8:00 to 18:00 u

36、sed in: IP ACL entry以上輸出表示在3條ACL中調(diào)用了該time-range。3.3 訪問控制列表的顯示和調(diào)試在特權(quán)模式下，使用“show access-lists”可以顯示路由器上設(shè)置的所有ACL條目；使用“show access-list acl number”則可以顯示特定ACL號的ACL條目；使用“show time-range”命令可以用來查看定義的時(shí)間圍；使用“clear access-list counters”命令可以將訪問控制列表的計(jì)數(shù)器清零。4 校園網(wǎng)ACL配置實(shí)例校園網(wǎng)建設(shè)的目標(biāo)簡而言之是將校園各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成

37、校園園區(qū)部的Intranet系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。包過濾技術(shù)和代理服務(wù)技術(shù)是當(dāng)今最廣泛采用的網(wǎng)絡(luò)安全技術(shù)，也就是我們通常稱的防火墻技術(shù)。防火墻可以根據(jù)網(wǎng)絡(luò)安全的規(guī)則設(shè)置允許經(jīng)過授權(quán)的數(shù)據(jù)包進(jìn)出部網(wǎng)絡(luò)，同時(shí)將非法數(shù)據(jù)包擋在防火墻外，最大限度地阻止黑客攻擊。包過濾技術(shù)以訪問控制列表的形式出現(xiàn)，一個(gè)設(shè)計(jì)良好的校園網(wǎng)絡(luò)訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流量的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。本實(shí)驗(yàn)通過模擬校園網(wǎng)環(huán)境，配置校園網(wǎng)路由器中的ACL，達(dá)到模擬校園ACL配置的目的。通過模擬環(huán)境的實(shí)驗(yàn)，還可以模擬各種網(wǎng)絡(luò)攻擊，模擬特定目的端口數(shù)據(jù)包

38、的發(fā)送，檢驗(yàn)配置的ACL命令的可行性。4.1 搭建配置環(huán)境校園網(wǎng)拓?fù)鋱D如圖6所示圖6 校園網(wǎng)拓?fù)鋱D表3 校園網(wǎng)的VLAN與IP地址規(guī)劃VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN1-/2454管理VLANVLAN 10JWC/2454教務(wù)處VLANVLAN 20XSSS/2454學(xué)生宿舍VLANVLAN 30CWC/2454財(cái)務(wù)處VLANVLAN 40JGSS/2454教

39、工宿舍VLANVLAN 50ZWX/2454中文系VLANVLAN 60WYX/2454外語系VLANVLAN 70JSJX/2454計(jì)算機(jī)系VLANVLAN 100FW 54服務(wù)器群VLAN具體的VLAN設(shè)置方法與網(wǎng)絡(luò)聯(lián)通設(shè)置在這里不在冗述，重點(diǎn)放在ACL的設(shè)置上。4.2 校園網(wǎng)ACL實(shí)際用例首先是設(shè)置校園網(wǎng)部三層交換機(jī)上的ACL。規(guī)定只有在財(cái)務(wù)處VLAN 30的主機(jī)可以訪問財(cái)務(wù)處VLAN 30，其他的教學(xué)單位

40、部門可以互訪；學(xué)生宿舍和教工宿舍VLAN可以互訪，并且可以訪問除了財(cái)務(wù)處和教務(wù)處外的其他教學(xué)單位。所有VLAN都可以訪問服務(wù)器群VLAN。·財(cái)務(wù)處ACL設(shè)置Multilayer Switch1(config)#ip access-list extended CWCMultilayer Switch1(config-ext-nacl)#permit tcp 55 any ·教工宿舍ACL設(shè)置與學(xué)生宿舍ACL設(shè)置同理在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。接下來是對連接外網(wǎng)的路由器添加ACL。·屏蔽簡單網(wǎng)絡(luò)

41、管理協(xié)議（SNMP）利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其他網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。R1(config)#ip access-list extended netR1(config-ext-nacl)#deny udp any any eq 161·對外屏蔽遠(yuǎn)程登錄協(xié)議TelnetR1(config-ext-nacl)#deny tcp any any eq 23·對外屏蔽其他不安全的協(xié)議和服務(wù)這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口512、513、5

42、14，遠(yuǎn)程過程調(diào)用（SUNRPC）端口111。R1(config-ext-nacl)#deny tcp any any range 512 514·防止DoS攻擊DoS攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。R1(config-ext-nacl)#deny udp any any eq 7R1(config)#int f0/0R1(config-if)#no ip directed-broadcast最后一行的設(shè)置禁止子網(wǎng)廣播·

43、保護(hù)路由器安全作為網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應(yīng)只允許來自服務(wù)器群的IP地址使用Telnet訪問并配置路由器，部其他部分的主機(jī)都不能用Telnet訪問和配置路由器。R1(config)#access-list 1 permit 55R1(config)#line vty 0 4R1(config-line)#access-class 1 inR1(config-line)#password ciscoR1(config-line)#enable password c

44、isco·系統(tǒng)測試當(dāng)校園網(wǎng)環(huán)境建成后，應(yīng)對校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測試和評估。大致包含以下測試：對一樣VLAN通信進(jìn)行測試、對不同VLAN的通信進(jìn)行測試、對部網(wǎng)的ACL進(jìn)行測試、對廣域網(wǎng)接入路由器上的ACL進(jìn)行測試。·測試一樣VLAN通信添加一臺財(cái)務(wù)處VLAN30的主機(jī)，與VLAN30的用PING命令測試聯(lián)通性。PC>ping 11Pinging 11 with 32 bytes of data:Reply from 11: bytes=32 time=47ms TTL=128成功聯(lián)通·

45、;測試不同VLAN間通信1.使用VLAN30的主機(jī)與學(xué)生宿舍VLAN20用PING命令測試聯(lián)通性PC>ping 68Pinging 68 with 32 bytes of data:Request timed out.連接失敗，證明ACL設(shè)置成功。2.使用學(xué)生宿舍主機(jī)PING教務(wù)處主機(jī)PC>ping 68Pinging 68 with 32 bytes of data:Request timed out.連接失敗，證明ACL設(shè)置成功。·測試路由器ACL1.部網(wǎng)絡(luò)使用服務(wù)器群Telnet路由器PC>telnet 54Trying 54 .OpenUser Access VerificationPassword:Telnet成功使用其他VLAN主機(jī)Telnet路由器PC>telnet 54Trying 54 .% Connection refused by remote host