畢業(yè)設(shè)計（論文）題目ACL在校園網(wǎng)中的應(yīng)用學(xué)生姓名專業(yè)班級學(xué)號系別計算機系指導(dǎo)教師(職稱)完成時間年月日ACL在校園網(wǎng)中的應(yīng)用摘要隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,校園網(wǎng)絡(luò)的規(guī)模不斷擴大，網(wǎng)絡(luò)在為學(xué)校提供現(xiàn)代化教育技術(shù)和教育資源共享的平臺，為學(xué)生和老師之間提供更多的交流渠道，豐富了校園文化，但網(wǎng)絡(luò)互聯(lián)也導(dǎo)致了部門之間數(shù)據(jù)保密性降低，影響了部門安全，因此，校園網(wǎng)絡(luò)建設(shè)需考慮部門之間的訪問控制和網(wǎng)絡(luò)設(shè)備的安全。如管理人員可登陸網(wǎng)絡(luò)設(shè)備或訪問其他部門并可自由訪問互聯(lián)網(wǎng)；對學(xué)生或其他部門訪問互聯(lián)網(wǎng)的時間、內(nèi)部相互訪問的控制。因此，筆者提出采用訪問控制列表(AccessControlList,ACL)訪問控制策略，以滿足校園網(wǎng)絡(luò)安全的要求。ACL（AccessControlLists訪問控制列表）是應(yīng)用于路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。是CISCOIOS提供的訪問技術(shù)，初期只支持在路由器上使用，近期已擴展到三層，二層交換機。ACL就是一系列由源地址，目的地址，端口號等決定的允許和拒絕條件集合。通過匹配報文中的信息與訪問控制列表參數(shù)可以過濾發(fā)進和發(fā)出的信息包的請求，實現(xiàn)對路由器和網(wǎng)絡(luò)的安全控制。關(guān)鍵詞ACL/控制/策略/校園網(wǎng)/網(wǎng)絡(luò)安全目錄1研究背景 12基本功能、原理與局限性 13ACL原理概述 23.1概述 23.2ACL的基本原理 23.3ACL的主要功能 33.4ACL3P原則 43.5使用ACL的指導(dǎo)原則 44訪問控制列表概述 44.1訪問控制列表的分類 44.1.1標準ACL 44.1.2擴展ACL 44.1.3復(fù)雜ACL 54.2訪問控制列表的匹配順序 64.3訪問控制列表的創(chuàng)建 74.4通配符掩碼 84.5常見端口號 104.6正確放置ACL 105訪問控制列表的配置 115.1標準訪問控制列表配置 115.2擴展訪問控制列表配置 135.3復(fù)雜ACL的配置 145.3.1動態(tài)ACL的配置 145.3.2自反ACL配置 155.3.3基于時間的ACL 166校園網(wǎng)ACL配置實例 176.1搭建配置環(huán)境 186.2校園網(wǎng)ACL實際用例 197排除常見ACL錯誤 22總結(jié) 25致謝 26參考文獻 271研究背景自從產(chǎn)生了網(wǎng)絡(luò)，隨之而來的就是網(wǎng)絡(luò)的安全問題。隨著IP網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)QOS（QualityofService，服務(wù)質(zhì)量）和網(wǎng)絡(luò)安全越來越被ISP重視。任何連接上網(wǎng)絡(luò)的企業(yè)、單位、個人都要時刻注意自己的網(wǎng)絡(luò)安全問題。既要防止未經(jīng)授權(quán)的非法數(shù)據(jù)從外部侵入內(nèi)部Intranet，也要防止內(nèi)部各主機之間的相互攻擊,一旦網(wǎng)絡(luò)癱瘓或者信息被竊取，將會帶來巨大的損失。路由器作為Intranet和Internet的網(wǎng)間互連設(shè)備，是保證網(wǎng)絡(luò)安全的第一關(guān),而在路由器上設(shè)置訪問控制列表（ACL）可以很好的解決這些網(wǎng)絡(luò)安全問題。訪問控制列表適用于所有的路由協(xié)議，通過靈活地增加訪問控制列表，ACL可以當作一種網(wǎng)絡(luò)控制的有力工具。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。對數(shù)據(jù)流實現(xiàn)較精確的識別和控制，成為服務(wù)質(zhì)量提高的又一個基本要求。在通信設(shè)備中，如果能根據(jù)報文的封裝信息的特征配置過濾規(guī)則，并對經(jīng)過報文的封裝信息進行識別，就可以較精確的識別出具有相同特征的一條或一組數(shù)據(jù)流。針對此規(guī)則在配置一個數(shù)據(jù)流量控制方案，網(wǎng)絡(luò)設(shè)備就可以較精確的對某條流量實行控制了。ACL(accessControlList)就這樣應(yīng)運而生了。它實現(xiàn)了報文的過濾和控制功能。本文研究的內(nèi)容就是：ACL怎樣在校園網(wǎng)中發(fā)揮作用的。2基本功能、原理與局限性基本原理：入站數(shù)據(jù)包進入路由器內(nèi)，路由器首先判斷數(shù)據(jù)包是否從可路由的源地址而來，否的話放入數(shù)據(jù)包垃圾桶中，是的話進入下一步；路由器判斷是否能在路由選擇表內(nèi)找到入口，不能找到的話放入數(shù)據(jù)垃圾桶中，能找到的話進入下一步。接下來選擇路由器接口，進入接口后使用ACL。ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。其中標準控制列表只讀取數(shù)據(jù)包中的源地址信息，而擴展訪問控制列表則還會讀取數(shù)據(jù)包中的目的地址、源端口、目的端口和協(xié)議類型等信息。ACL判斷數(shù)據(jù)包是否符合所定義的規(guī)則，符合要求的數(shù)據(jù)包允許其到達目的地址進入網(wǎng)絡(luò)內(nèi)部，不符合規(guī)則的則丟棄，同時通知數(shù)據(jù)包發(fā)送端，數(shù)據(jù)包未能成功通過路由器。通過ACL，可以簡單的將不符合規(guī)則要求的危險數(shù)據(jù)包拒之門外，使其不能進入內(nèi)部網(wǎng)絡(luò)。圖2-1ACL工作原理功能：網(wǎng)絡(luò)中的節(jié)點資源節(jié)點和用戶節(jié)點兩大類，其中資源節(jié)點提供服務(wù)或數(shù)據(jù)，用戶節(jié)點訪問資源節(jié)點所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護資源節(jié)點，阻止非法用戶對資源節(jié)點的訪問，另一方面限制特定的用戶節(jié)點所能具備的訪問權(quán)限。局限性：由于ACL是使用包過濾技術(shù)來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達到endtoend的權(quán)限控制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。3ACL原理概述3.1概述TCP/IP協(xié)議中數(shù)據(jù)包由IP報頭、TCP/UDP報頭、數(shù)據(jù)組成，IP報頭中包含上層的協(xié)議端口號、源地址、目的地址，TCP/UDP報頭包含源端號、目的端口，設(shè)備信息。ACL（訪問控制列表）利用這些信息來定義規(guī)則，通過一組由多條deny（拒絕）和permit（允許）語句組成的條件列表，對數(shù)據(jù)包進行比較、分類，然后根據(jù)條件實施過濾。如果滿足條件，則執(zhí)行給定的操作；如果不滿足條件，則不做任何操作繼續(xù)測試下一條語句。3.2ACL的基本原理ACL使用包過濾技術(shù)，在路由器上讀取第二層，第三層及第四層包頭中的信息源地址，目的地址，源端口和目的端口等。根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。在網(wǎng)絡(luò)中，ACL不但可以讓網(wǎng)管員用來制定網(wǎng)絡(luò)策略，對個別用戶或特定數(shù)據(jù)流進行控制；也可以用來加強網(wǎng)絡(luò)的安全屏蔽作用。從簡單的PingofDeath攻擊、TCPSyn攻擊，到更多樣化更復(fù)雜的黑客攻擊，ACL都可以起到一定的屏蔽作用。如果從邊緣、二層到三層交換機都具備支持標準ACL及擴展ACL的能力，網(wǎng)絡(luò)設(shè)備就可以將安全屏蔽及策略執(zhí)行能力延伸到網(wǎng)絡(luò)的邊緣。需要指出的是，與速率限制相同，網(wǎng)絡(luò)設(shè)備不僅應(yīng)該能夠執(zhí)行完整的ACL功能，包括進站和出站，同時也必須強調(diào)硬件的處理能力。這樣，用戶在啟動ACL的同時，才不會影響到二層或三層交換設(shè)備線速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力。非法接入、報文竊取、IP地址欺騙、拒絕服務(wù)攻擊等來自網(wǎng)絡(luò)層和應(yīng)用層的攻擊常常會耗盡網(wǎng)絡(luò)資源，讓用戶網(wǎng)管人員難于應(yīng)對。針對這些問題，二、三層的訪問控制、防火墻技術(shù)、入侵檢測、身份驗證、數(shù)據(jù)加密、防病毒都提供了有效的解決途徑。而在保障網(wǎng)絡(luò)邊際安全方面，訪問控制列表（AccessControlList，ACL）可以說是最先與安全威脅進行交火的主力軍。ACL是對通過網(wǎng)絡(luò)接口進入網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)包進行控制的機制，分為標準ACL和擴展ACL（ExtendedACL）兩種。標準ACL只對數(shù)據(jù)包的源地址進行檢查，擴展ACL對數(shù)據(jù)包中的源地址、目的地址、協(xié)議以及端口號進行檢查。作為一種應(yīng)用在路由器接口的指令列表，ACL已經(jīng)在一些核心路由交換機和邊緣交換機上得到應(yīng)用，從原來的網(wǎng)絡(luò)層技術(shù)擴展為端口限速、端口過濾、端口綁定等二層技術(shù)，實現(xiàn)對網(wǎng)絡(luò)的各層面的有效控制。3.3ACL的主要功能1、ACL實現(xiàn)網(wǎng)絡(luò)流量限制及提高網(wǎng)絡(luò)性能例如，如果公司策略不允許在網(wǎng)絡(luò)中傳輸視頻數(shù)據(jù)流，就應(yīng)該配置并應(yīng)用阻止視頻數(shù)據(jù)流的ACL。這將顯著降低網(wǎng)絡(luò)負載并提高網(wǎng)絡(luò)性能。2、ACL提供對通信流量的控制手段ACL可限制路由選擇更新的傳輸。如果網(wǎng)絡(luò)狀況不需要更新，便可節(jié)約帶寬。3、ACL提供網(wǎng)絡(luò)安全訪問的基本安全級別ACL可允許某臺主機訪問部分網(wǎng)絡(luò)，同時阻止另一臺主機訪問該區(qū)域。4、ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，ACL可允許電子郵件數(shù)據(jù)流，但阻止所有Telnet數(shù)據(jù)流。5、控制客戶端可訪問網(wǎng)絡(luò)的哪些區(qū)域。6、允許或拒絕主機訪問網(wǎng)絡(luò)服務(wù)。ACL可允許或拒絕用戶訪問特定文件類型，如FTP或HTTP。3.4ACL3P原則記住3P原則，您便記住了在路由器上應(yīng)用ACL的一般規(guī)則。您可以為每種協(xié)議(perprotocol)、每個方向(perdirection)、每個接口(perinterface)配置一個ACL。每種協(xié)議一個ACL：要控制接口上的流量，必須為接口上啟用的每種協(xié)議定義相應(yīng)的ACL。每個方向一個ACL：一個ACL只能控制接口上一個方向的流量。要控制入站流量和出站流量，必須分別定義兩個ACL。每個接口一個ACL：一個ACL只能控制一個接口（例如快速以太網(wǎng)0/0）上的流量。ACL的編寫可能相當復(fù)雜而且極具挑戰(zhàn)性，每個接口上都可以針對多種協(xié)議和各個方向進行定義。3.5使用ACL的指導(dǎo)原則(1)在位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（如Internet）之間的防火墻路由器中使用ACL。(2)在位于網(wǎng)絡(luò)兩部分之間的路由器中使用ACL，以控制數(shù)據(jù)流進出內(nèi)部網(wǎng)絡(luò)的特定部分。(3)在位于網(wǎng)絡(luò)邊緣的邊界路由器中配置ACL，這樣可在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間或網(wǎng)絡(luò)中受控度較低的區(qū)域和敏感區(qū)域之間提供基本緩沖。(4)在邊界路由器接口中，為配置的每種網(wǎng)絡(luò)協(xié)議配置ACL，可在接口上配置ACL以過濾入站數(shù)據(jù)流、出站數(shù)據(jù)流或兩者。4訪問控制列表概述4.1訪問控制列表的分類4.1.1標準ACL標準ACL是基于源地址的數(shù)據(jù)包過濾,采用比較源地址的方法來允許/拒絕報文通過.當我們要想阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者想要拒絕某一協(xié)議簇的所有通信流量時。可以使用標準ACL來實現(xiàn)這一目標，檢查路由的數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)或子網(wǎng)或主機的IP地址的所有通信流量通過路由器的出口。IP標準訪問控制列表編號：1～99或1300～1999。4.1.2擴展ACL擴展ACL是基于目標地址、源地址和網(wǎng)絡(luò)協(xié)議及其端口的數(shù)據(jù)包過濾，采用比較源和目的地址,源和目的端口協(xié)議的方法來允許/拒絕報文通過。擴展ACL即檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，還檢查數(shù)據(jù)包的特定協(xié)議類型，端口號等，更具有靈活性和可擴充性。即可以對同一地址允許使用某些協(xié)議通信流量通過，而拒絕使用其他協(xié)議的流量通過。IP擴展訪問控制列表編號：100～199或2000～26994.1.3復(fù)雜ACL在標準ACL和擴展ACL的基礎(chǔ)上構(gòu)建復(fù)雜ACL，從而實現(xiàn)更多功能。圖4-1的表格總結(jié)了復(fù)雜ACL的三種類型.圖4-1復(fù)雜ACL類型1、動態(tài)ACL動態(tài)ACL只可用于IP數(shù)據(jù)流。動態(tài)ACL依賴于Telnet連接、身份驗證（本地或遠程）和擴展ACL。要配置動態(tài)ACL，首先需要使用一個擴展ACL禁止數(shù)據(jù)流穿越路由器。數(shù)據(jù)流將被擴展ACL攔截，直到用戶使用Telnet連接到路由器并通過身份驗證。隨后，Telnet連接將斷開，而一個單條目動態(tài)ACL將添加到現(xiàn)有的擴展ACL中。該條目允許數(shù)據(jù)流在特定時段內(nèi)通行，還可設(shè)置空閑超時值和絕對超時值。動態(tài)ACL的優(yōu)點(1)使用詢問機制對每個用戶進行身份驗證(2)簡化大型網(wǎng)際網(wǎng)絡(luò)的管理(3)在許多情況下，可以減少與ACL有關(guān)的路由器處理工作(4)降低黑客闖入網(wǎng)絡(luò)的機會(5)通過防火墻動態(tài)創(chuàng)建用戶訪問，而不會影響其它所配置的安全限制何時使用動態(tài)ACL(1)您希望特定遠程用戶或用戶組可以通過Internet從遠程主機訪問您網(wǎng)絡(luò)中的主機.(2)您希望本地網(wǎng)絡(luò)中的主機子網(wǎng)能夠訪問受防火墻保護的遠程網(wǎng)絡(luò)上的主機2、自反ACL此類ACL使路由器能動態(tài)管理會話流量.路由器檢查出站流量，當發(fā)現(xiàn)新的連接時，便會在臨時ACL中添加條目以允許應(yīng)答流量進入.自反ACL僅包含臨時條目.自反ACL還可用于不含ACK或RST位的UDP和ICMP.自反ACL僅可在擴展命名IPACL中定義.自反ACL具有以下優(yōu)點：（1）幫助保護您的網(wǎng)絡(luò)免遭網(wǎng)絡(luò)黑客攻擊，并可內(nèi)嵌在防火墻防護中。（2）提供一定級別的安全性，防御欺騙攻擊和某些DoS攻擊。自反ACL方式較難以欺騙，因為允許通過的數(shù)據(jù)包需要滿足更多的過濾條件。（3）此類ACL使用簡單。與基本ACL相比，它可對進入網(wǎng)絡(luò)的數(shù)據(jù)包實施更強的控制.3、基于時間的ACL基于時間的ACL功能類似于擴展ACL，但它允許根據(jù)時間執(zhí)行訪問控制.基于時間的ACL具有許多優(yōu)點，例如:（1）在允許或拒絕資源訪問方面為網(wǎng)絡(luò)管理員提供了更多的控制權(quán).（2）允許網(wǎng)絡(luò)管理員控制日志消息。ACL條目可在每天定時記錄流量，而不是一直記錄流量。因此，管理員無需分析高峰時段產(chǎn)生的大量日志就可輕松地拒絕訪問.4.2訪問控制列表的匹配順序ACL的執(zhí)行順序是從上往下執(zhí)行，CiscoIOS按照各描述語句在ACL中的順序，根據(jù)各描述語句的判斷條件，對數(shù)據(jù)包進行檢查。一旦找到了某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語句。在寫ACL時，一定要遵循最為精確匹配的ACL語句一定要卸載最前面的原則，只有這樣才能保證不會出現(xiàn)無用的ACL語句圖4-2ACL的匹配順序4.3訪問控制列表的創(chuàng)建·標準ACL命令的詳細語法Router(config)#access-listaccess-list-number{permit|deny}denypermitremarksource[source-wildcard][log]·下面更詳細的介紹標準ACL的各個參數(shù)：access-list-number 訪問控制列表編號permit|deny 如果滿足條件，允許或拒絕后面指定特定地址的通信流量remark 在IP訪問列表中添加注釋，以提高列表的可讀性Source 用來標識源地址Source-wildcard 應(yīng)用于source的通配符位創(chuàng)建ACL定義例如：Router(config)#access-list1permit552．應(yīng)用于接口例如：Router(config-if)#ipaccess-group1out·擴展ACL命令的詳細語法Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]·下面更詳細的介紹擴展ACL的各個參數(shù)：access-list-number訪問控制列表號permit|deny如果滿足條件，允許或拒絕后面指定特定地址的通信流量protocol用來指定協(xié)議類型，如IP、TCP、UDP、ICMP等Sourceanddestination分別用來標識源地址和目的地址source-mask通配符掩碼，跟源地址相對應(yīng)destination-mask通配符掩碼，跟目的地址相對應(yīng)operatorlt,gt,eq,neq(小于，大于，等于，不等于)operand 一個端口號established如果數(shù)據(jù)包使用一個已建立連接，便可允許TCP信息通過創(chuàng)建ACL定義例如：accell-list101permithostanyeqtelnet應(yīng)用于接口例如：Router(config-if)#ipaccess-group101out·標準ACL與擴展ACL的比較：圖4-3標準ACL與擴展ACL的比較4.4通配符掩碼通配符掩碼是一個32位的數(shù)字字符串，0表示“檢查相應(yīng)的位”，1表示“不檢查（忽略）相應(yīng)的位”。圖4-4通配符作用·IP地址掩碼的作用：區(qū)分網(wǎng)絡(luò)位和主機位，使用的是與運算。0和任何數(shù)相乘都得0，1和任何數(shù)相乘都得任何數(shù)。·通配符掩碼：把需要準確匹配的位設(shè)為0，其他位為1，進行或運算。1或任何數(shù)都得1，0或任何數(shù)都得任何數(shù)。特殊的通配符掩碼：1.Any552.Host8Host8通配符掩碼舉例：假設(shè)一個B類地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡(luò)～網(wǎng)絡(luò)的數(shù)據(jù)報訪問。首先，檢查前面兩個字節(jié)(171.30)，通配掩碼中的前兩個字節(jié)位全為0。由于沒有興趣檢查主機地址，通配掩碼的最后一個字節(jié)位全為1。通配掩碼的第三個字節(jié)應(yīng)該是15(00001111)。與之相應(yīng)的通配掩碼是55，將匹配子網(wǎng)到的IP地址。4.5常見端口號端口號(PortNumber)20 文件傳輸協(xié)議（FTP）數(shù)據(jù)21 文件傳輸協(xié)議（FTP）程序23 遠程登錄（Telnet）25 簡單郵件傳輸協(xié)議（SMTP）69 普通文件傳送協(xié)議（TFTP）80 超文本傳輸協(xié)議(HTTP)53 域名服務(wù)系統(tǒng)（DNS）4.6正確放置ACLACL通過制定的規(guī)則過濾數(shù)據(jù)包，并且丟棄不希望抵達目的地址的不安全數(shù)據(jù)包來達到控制通信流量的目的。但是網(wǎng)絡(luò)能否有效地減少不必要的通信流量，同時達到保護內(nèi)部網(wǎng)絡(luò)的目的，將ACL放置在哪個位置也十分關(guān)鍵。假設(shè)存在著一個簡單的運行在TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境，分成4個網(wǎng)絡(luò)，設(shè)置一個ACL拒絕從網(wǎng)絡(luò)1到網(wǎng)絡(luò)4的訪問。根據(jù)減少不必要通信流量的準則，應(yīng)該把ACL放置于被拒絕的網(wǎng)絡(luò)，即網(wǎng)絡(luò)1處，在本例中是圖中的路由器A上。但如果按這個準則設(shè)置ACL后會發(fā)現(xiàn)，不僅是網(wǎng)絡(luò)1與網(wǎng)絡(luò)4不能連通，網(wǎng)絡(luò)1與網(wǎng)絡(luò)2和3也都不能連通?；貞洏藴蔄CL的特性就能知道，標準ACL只檢查數(shù)據(jù)包的中的源地址部分，在本例子中，凡是發(fā)現(xiàn)源地址為網(wǎng)絡(luò)1網(wǎng)段的數(shù)據(jù)包都會被丟棄，造成了網(wǎng)絡(luò)1不能與其他網(wǎng)絡(luò)聯(lián)通的現(xiàn)象。由此可知，根據(jù)這個準則放置的ACL不能達到目的，只有將ACL放置在目的網(wǎng)絡(luò)，在本例子中即是網(wǎng)絡(luò)4中的路由器D上，才能達到禁止網(wǎng)絡(luò)1訪問網(wǎng)絡(luò)4的目的。由此可以得出一個結(jié)論，標準訪問控制列表應(yīng)盡量放置在靠近目的端口的位置。在本例子中，如果使用擴展ACL來達到同樣的要求，則完全可以把ACL放置在網(wǎng)絡(luò)1的路由器A上。這是因為擴展訪問控制列表不僅檢查數(shù)據(jù)包中的源地址，還會檢查數(shù)據(jù)包中的目的地址、源端口、目的端口等參數(shù)。放置在路由器A中的訪問控制列表只要檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡(luò)4的網(wǎng)段，則會丟棄這個數(shù)據(jù)包，而檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡(luò)2和3的網(wǎng)段，則會讓這個數(shù)據(jù)包通過。既滿足了減少網(wǎng)絡(luò)通信流量的要求，又達到了阻擋某些網(wǎng)絡(luò)訪問的目的。由此，可以得出一個結(jié)論，擴展訪問控制列表應(yīng)盡量放置在靠近源端口的位置。圖4-5正確設(shè)置ACL·編輯原則：·標準ACL要盡量靠近目的端·擴展ACL要盡量靠近源端5訪問控制列表的配置5.1標準訪問控制列表配置實例1如圖5-1銷售部不可以訪問財務(wù)部，但可以訪問外網(wǎng)和市場部。市場部需要訪問財務(wù)部。圖5-1分析：由于路由器的接口在沒有ACL的時候默認轉(zhuǎn)發(fā)所有數(shù)據(jù)，所以在以上的要訪問的要求中不需要單獨設(shè)置ACL，只需要禁止不訪問的內(nèi)容即可。并且按照離目的較近的原則安排在E1端口?；九渲茫篖ab_A#configtLab_A(config)#access-list10deny55Lab_A(config)#access-list10permitanyLab_A(config)#inte1Lab_A(config-if)#ipaccess-group實例2如圖5-2阻止Account用戶訪問HumanResources，允許其它用戶訪問HumanResources。圖5-2基本配置：Lab_B#configtLab_B(config)#access-list10deny281Lab_B(config)#access-list10permitanyLab_B(config)#interfaceEthernet0Lab_B(config-if)#ipaccess-group10out實例3如圖5-3阻止圖中4個LAN訪問外網(wǎng)的ACL。圖5-3基本配置：Router(config)#access-list1deny55Router(config)#access-list1deny55Router(config)#access-list1deny55Router(config)#access-list1deny55Router(config)#access-list1permitanyRouter(config)#interfaceserial0Router(config-if)#ipaccess-group1out5.2擴展訪問控制列表配置實例1如圖5-4銷售部和市場部不可以訪問財務(wù)部的上的FTP和Telnet服務(wù)，但可以訪問財務(wù)部的該服務(wù)器上的其它服務(wù)和其它主機。圖5-4基本配置：Lab_A(config)#access-list110denytcpanyhosteq21Lab_A(config)#access-list110denytcpanyhosteq23Lab_A(config)#access-list110permitipanyanyLab_A(config)#inte1Lab_A(config-if)#ipaccess-group110out實例2如圖5-5阻止其它主機遠程登錄訪問E1和E2端口的網(wǎng)絡(luò)和TFTP操作。圖5-5基本配置：Router(config)#access-list110denytcpany55eq23Router(config)#access-list110denytcpany55eq23Router(config)#access-list110denyudpany55eq69Router(config)#access-list110denyudpany55eq69Router(config)#access-list110permitipanyanyRouter(config)#interfaceEthernet1Router(config-if)#ipaccess-group110outRouter(config-if)#interfaceEthernet2Router(config-if)#ipaccess-group110out5.3復(fù)雜ACL的配置5.3.1動態(tài)ACL的配置動態(tài)ACL示例.看下圖5-6圖5-6基本配置：5.3.2自反ACL配置自反ACL示例.看下圖5-7圖5-7基本配置：5.3.3基于時間的ACL基于時間的ACL示例.看下圖5-8Step1.定義實施ACL的時間范圍，并為其指定名稱（本例中為EVERYOTHERDAY）.Step2.對該ACL應(yīng)用此時間范圍.Step3.對該接口應(yīng)用ACL.圖5-8基本配置：6校園網(wǎng)ACL配置實例校園網(wǎng)建設(shè)的目標簡而言之是將校園內(nèi)各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成校園園區(qū)內(nèi)部的Intranet系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。包過濾技術(shù)和代理服務(wù)技術(shù)是當今最廣泛采用的網(wǎng)絡(luò)安全技術(shù)，也就是我們通常稱的防火墻技術(shù)。防火墻可以根據(jù)網(wǎng)絡(luò)安全的規(guī)則設(shè)置允許經(jīng)過授權(quán)的數(shù)據(jù)包進出內(nèi)部網(wǎng)絡(luò)，同時將非法數(shù)據(jù)包擋在防火墻內(nèi)外，最大限度地阻止黑客攻擊。包過濾技術(shù)以訪問控制列表的形式出現(xiàn)，一個設(shè)計良好的校園網(wǎng)絡(luò)訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流量的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。本實驗通過模擬校園網(wǎng)環(huán)境，配置校園網(wǎng)路由器中的ACL，達到模擬校園ACL配置的目的。通過模擬環(huán)境的實驗，還可以模擬各種網(wǎng)絡(luò)攻擊，模擬特定目的端口數(shù)據(jù)包的發(fā)送，檢驗配置的ACL命令的可行性。6.1搭建配置環(huán)境校園網(wǎng)拓撲圖如圖6-1所示圖6-1校園網(wǎng)拓撲圖表6-1校園網(wǎng)的VLAN及IP地址規(guī)劃VLAN號VLAN名稱IP網(wǎng)段默認網(wǎng)關(guān)說明VLAN1-/2454管理VLANVLAN10JWC/2454教務(wù)處VLANVLAN20XSSS/2454學(xué)生宿舍VLANAN30CWC/2454財務(wù)處VLANVLAN40JGSS/2454教工宿舍VLANVLAN50ZWX/2454中文系VLANVLAN60WYX/2454外語系VLANVLAN70JSJX/2454計算機系VLANVLAN100FWQQ54服務(wù)器群VLAN具體的VLAN設(shè)置方法及網(wǎng)絡(luò)聯(lián)通設(shè)置在這里不在陳述，重點放在ACL的設(shè)置上。6.2校園網(wǎng)ACL實際用例首先是設(shè)置校園網(wǎng)內(nèi)部三層交換機上的ACL。規(guī)定只有在財務(wù)處VLAN30內(nèi)的主機可以訪問財務(wù)處VLAN30，其他的教學(xué)單位部門可以互訪；學(xué)生宿舍和教工宿舍VLAN可以互訪，并且可以訪問除了財務(wù)處和教務(wù)處外的其他教學(xué)單位。所有VLAN都可以訪問服務(wù)器群VLAN?！へ攧?wù)處ACL設(shè)置MultilayerSwitch1(config)#ipaccess-listextendedCWCMultilayerSwitch1(config-ext-nacl)#permittcp55any·教工宿舍ACL設(shè)置與學(xué)生宿舍ACL設(shè)置同理在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。接下來是對連接外網(wǎng)的路由器添加ACL?！て帘魏唵尉W(wǎng)絡(luò)管理協(xié)議（SNMP）利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡(luò)上的其他網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。R1(config)#ipaccess-listextendednetR1(config-ext-nacl)#denyudpanyanyeq161……·對外屏蔽遠程登錄協(xié)議TelnetR1(config-ext-nacl)#denytcpanyanyeq23·對外屏蔽其他不安全的協(xié)議和服務(wù)這樣的協(xié)議主要有SUNOS的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調(diào)用（SUNRPC）端口111。R1(config-ext-nacl)#denytcpanyanyrange512514……·防止DoS攻擊DoS攻擊（DenialofServiceAttack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進程停止，嚴重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。R1(config-ext-nacl)#denyudpanyanyeq7……R1(config)#intf0/0R1(config-if)#noipdirected-broadcast最后一行的設(shè)置禁止子網(wǎng)內(nèi)廣播·保護路由器安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應(yīng)只允許來自服務(wù)器群的IP地址使用Telnet訪問并配置路由器，內(nèi)部其他部分的主機都不能用Telnet訪問和配置路由器。R1(config)#access-list1permit55R1(config)#linevty04R1(config-line)#access-class1inR1(config-line)#passwordciscoR1(config-line)#enablepasswordcisco·系統(tǒng)測試當校園網(wǎng)環(huán)境建成后，應(yīng)對校園網(wǎng)的整體運行情況做一下細致的測試和評估。大致包含以下測試：對相同VLAN內(nèi)通信進行測試、對不同VLAN內(nèi)的通信進行測試、對內(nèi)部網(wǎng)的ACL進行測試、對廣域網(wǎng)接入路由器上的ACL進行測試?！y試相同VLAN內(nèi)通信添加一臺財務(wù)處VLAN30的主機，與VLAN30的用PING命令測試聯(lián)通性。PC>ping11Pinging11with32bytesofdata:Replyfrom11:bytes=32time=47msTTL=128成功聯(lián)通·測試不同VLAN間通信1.使用VLAN30內(nèi)的主機與學(xué)生宿舍VLAN20用PING命令測試聯(lián)通性PC>ping68Pinging68with32bytesofdata:Requesttimedout.連接失敗，證明ACL設(shè)置成功。2.使用學(xué)生宿舍內(nèi)主機PING教務(wù)處主機PC>ping68Pinging68with32bytesofdata:Requesttimedout.連接失敗，證明ACL設(shè)置成功?！y試路由器ACL1.內(nèi)部網(wǎng)絡(luò)使用服務(wù)器群Telnet路由器PC>telnet54Trying54...OpenUserAccessVerificationPassword:Telnet成功使用其他VLAN主機Telnet路由器PC>telnet54Trying54...%ConnectionrefusedbyremotehostTelnet失敗，路由器ACL設(shè)置成功。2.外部網(wǎng)絡(luò)添加一臺路由器，與校園網(wǎng)路由器的S2/0口相連，發(fā)送SNMP,Telnet等應(yīng)用包。ExtendedIPaccesslistnetdenyudpanyanyeqsnmp(3match(es))de