毕业设计ACL研究.docx
《毕业设计ACL研究.docx》由会员分享,可在线阅读,更多相关《毕业设计ACL研究.docx(29页珍藏版)》请在冰点文库上搜索。
毕业设计ACL研究
基于路由器的网络安全研究和实现
【摘要】在这篇论文中,介绍了计算机的网络安全与防火墙的技术,主要讨论防火墙的概念和分类,详细说明了防火墙技术中的包过滤功能。
还介绍了AAA配置技术、OSPF配置技术和ACL访问控制列表。
详细介绍与讲解了通过ACL访问控制列表来实现了一个基本的软件防火墙。
最后描述对互联网的简单防火墙技术的发展趋势。
【关键词】网络安全,防火墙,包过滤,ACL
Researchandimplementationofnetworksecuritybasedonrouter
【Abstract】Inthispaper,thecomputernetworksecurityandthetechniquesoffirewallsweremainlydiscussed,Focusesontheconceptofafirewall,adetaileddescriptionofthepacketfilteringinthefirewalltechnology.ItalsointroducedtheconfigurationTechnologyofAAAOSPFandAccessControlListtec,IntroducedandexplainedindetailtoachieveabasicsoftwarefirewallbyACL.FinallydescribedthetrendofdevelopmentofthefirewallstechniquesinInternetbriefly.
【KeyWords】networksecurity,firewalls,Packetfiltering,ACL
图目录
表目录
第1章绪论
1.1选题的背景和意义
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,因此网络安全成为日益迫切的需求之一;路由器作为内部网络与外部网络之间通讯的关键,完全有必要提供充分而又可靠的安全保护功能。
本课题的目的就是设计一种基于路由器的网络安全解决方案,从安全性、处理速度等方面对其进行可用性评估。
1.1.1国内外的研究现状
现今网络中大多都使用TCP/IP协议,但是因此TCP/IP协议本身存在缺陷,从而导致了网络的不安全。
虽然TCP/IP协议具有许多特点,如支持多种应用协议、互联能力强、网络技术独立、等等;但是由于TCP/IP协议在定制时,并没有考虑到安全方面的主要因素,因此协议中还是有很多的安全问题存在。
主要有:
1.TCP/IP协议数据流在使用FTP、Http和Telnet传输时,用户的账号以及口令非常容易被窃听、修改和伪造。
2.作为网络节点的唯一标识,源地址是通过利用IP地址对TCP/IP协议进行欺骗,因为IP地址不是完全固定的;因此,攻击者可以通过直接修改节点的IP地址冒充某个可信节点的%-地址来进行攻击。
3.为了测试目的设置一个选项IPSourerouting,源路由一般情况下选择欺骗IP数据包;从而使攻击者可以利用这一选项,直接指明出一条路由方式来进行伪装、欺骗,然后进行不正当方式的连接。
1.1.2发展趋势
网络安全不只是一个单纯的技术间题,同时也是一个非常关键的管理问题。
对计算机系统的安全事件进行收集、记录、分析、判断,然后采取对应的安全措施来进行处理的一个过程被称为安全审计。
其基本的功能分别为:
对用户、操作命令、文件操作等审计对象进行选择;对文件系统完整性进行定期的检测;设置选择逐出系统;保护数据的安全及审计日志等。
成立专门负责计算机网络信息安全的行政管理机构,从而审查和订制计算机网络的信息安全措施。
确认安全措施实施的方针、政策以及原则;具体组织、协调、监督、检查信息安全措施的执行。
来自计算机网络信息系统内部的危害当中,很多是人为造成的对信息安全的危害。
由于思想上的松懈和安全意识偏弱,从而给了攻击者可乘之机。
因此,加强单位人员的思想教育,培养单位人员的责任感也是保护网络安全不可或缺的一个重要环节。
计算机网络安全发展至今,俨然已成为了一个横跨通信技术、网络技术、安全技术、计算机技术、密码学等等多种门科技术的综合性学科。
因此计算机网络安全的发展在向高端技术发展的同时会朝着全方位化、纵深化、专业化的方向发展,随着各种新兴技术的不断发展和出现,网络安全将会由单一的技术向各种技术融合的方向发展。
基于路由器的大多数主要安全技术通常都是相辅相成的,为了系统安全性的提高,必须通过各种安全机制协调工作。
当今,由于信息化的高速发展,加强路由器安全机制和安全协议,改进新的算法研究将会成为保证网络安全的高效性的唯一选择。
1.2研究的基本内容
随着Internet的飞速发展,全国每个中小型企业和事业单位都在建设局域网并连入了互联网,所以信息网络安全就必须同时跟上发展的脚步,成为我们最需要着重关心的问题之一。
我们可以采取在普通路由器中添加安全模块,从技术上加强路由器的安全性;或者借助管理手段,从管理上加强对路由器的安全性等多种手段来保证基于路由器的网络环境下的安全性。
网络安全与防火墙关系密不可分,网络防火墙的构建需要明确安全策略,安全而又全面的分析和业务的需求分析将决定一个组织全局的安全策略,因此我们需要仔细并且正确的设置网络安全策略,从而使这个计算机网络防火墙发挥它最大的作用。
其中,明确定义哪些数据包允许或禁止通过并使用网络服务,以及这些服务的详细使用规则,同时网络防火墙安全策略中的每一条规定都应该在实际应用时得到实现;这些都属于网络防火墙的安全策略。
本文就着重介绍与说明在路由器下通过访问控制列表(ACL)方法实现安全策略,构建出一个小型、简易、安全有合理的计算机网络的防火墙体系结构,从而实现具体的网络防火墙功能,并对其实现和具体应用进行详细的叙述。
第2章配置基本网络环境
2.1配置基本网络环境
(1)按照表2.1所示内容,正确填写计算机(PA、PB、PC、PD……)及路由器(RA、RB、RC、RD)的网络连接参数
表2.1设备配置信息
设备名称
配置参数
设备名称
配置参数
路由器(RA)
S0
IP地址:
192.1.1.1
子网掩码:
255.255.255.0
路由器(RB)
S0
IP地址:
192.1.1.2
子网掩码:
255.255.255.0
S1
IP地址:
193.1.1.1
子网掩码:
255.255.255.0
S1
IP地址:
194.1.1.2
子网掩码:
255.255.255.0
Eth0
IP地址:
202.0.0.1
子网掩码:
255.255.255.0
Eth0
IP地址:
202.0.1.1
子网掩码:
255.255.255.0
路由器(RC)
S0
IP地址:
194.1.1.1
子网掩码:
255.255.255.0
路由器(RD)
S0
IP地址:
193.1.1.2
子网掩码:
255.255.255.0
S1
IP地址:
195.1.1.1
子网掩码:
255.255.255.0
S1
IP地址:
195.1.1.2
子网掩码:
255.255.255.0
Eth0
IP地址:
202.0.2.1
子网掩码:
255.255.255.0
Eth0
IP地址:
202.0.3.1
子网掩码:
255.255.255.0
计算机(PC-A)
IP地址:
202.0.0.2
子网掩码:
255.255.255.0
默认网关:
202.0.0.1
计算机(PC-B)
IP地址:
202.0.0.3
子网掩码:
255.255.255.0
默认网关:
202.0.0.1
计算机(PC-C)
IP地址:
202.0.1.2
子网掩码:
255.255.255.0
默认网关:
202.0.1.1
计算机(PC-D)
IP地址:
202.0.1.3
子网掩码:
255.255.255.0
默认网关:
202.0.1.1
计算机(PC-E)
IP地址:
202.0.2.2
子网掩码:
255.255.255.0
默认网关:
202.0.2.1
计算机(PC-F)
IP地址:
202.0.2.3
子网掩码:
255.255.255.0
默认网关:
202.0.2.1
计算机(PC-G)
IP地址:
202.0.3.2
子网掩码:
255.255.255.0
默认网关:
202.0.3.1
计算机(PC-H)
IP地址:
202.0.3.3
子网掩码:
255.255.255.0
默认网关:
202.0.3.1
2.1.1构建小型模拟局域网
设备连接如图2.1所示构建出一个小型模拟局域网(由路由器、交换机、PC组成)。
图2.1设备配置图
第3章AAA配置
3.1AAA简介
3.1.1什么是AAA
用来对认证、授权和计费这三种安全功能进行配置的一个框架,被称为:
Authentication,AuthorizationandAccounting,即认证、授权和计费,一般情况下缩写为AAA即可,简称:
“三A认证”;它是对网络安全进行管理的认证方式之一,对所有类型LOGIN用户进行本地认证、授权、计费。
在这里,网络安全主要指的是访问控制,其中包括了:
(1)规定了哪些用户可以访问指定网络服务器
(2)具有访问权限的用户组分别可以得到哪些服务,可以做些什么
(3)对正在使用该网络资源的用户组进行计费功能
AAA可完成下列服务:
(1)认证:
判断认证用户是否可以获得访问权限
(2)授权:
被授权的用户组可以使用哪些服务。
(3)计费:
记录用户组使用网络资源的具体情况。
3.2简单基本的AAA配置
3.2.1组网需求
对所有类型login用户进行本地认证,但不要求计费。
3.2.2配置步骤
#使能AAA
[Router]aaa-enable
#配置Login用户
[Router]local-userftpservice-typeftppasswordsimpleftp
[Router]local-useradminservice-typeadministratorsshpasswordcipheradmin
[Router]local-useroperatorservice-typeoperatorsshpasswordsimpleoperator
[Router]local-userguestservice-typeguestsshpasswordsimpleguest
#配置对login用户进行认证
[Router]aaaauthentication-schemelogindefaultlocal
[Router]login-methodauthentication-modecondefault
[Router]login-methodauthentication-modeasyncdefault
[Router]login-methodauthentication-modehwttydefault
[Router]login-methodauthentication-modepaddefault
[Router]login-methodauthentication-modetelnetdefault
[Router]login-methodauthentication-modesshdefault
#配置对FTP用户进行认证
[Router]login-methodauthentication-modeftpdefault
#配置对login用户不计费
[Router]undologin-methodaccounting-modelogincon
[Router]undologin-methodaccounting-modeloginasync
[Router]undologin-methodaccounting-modeloginhwtty
[Router]undologin-methodaccounting-modeloginpad
[Router]undologin-methodaccounting-modelogintelnet
[Router]undologin-methodaccounting-modeloginssh
四台路由器均要进行相同的AAA配置,指令相同,不作重复。
第4章OSPF配置
4.1OSPF简介
由IETF组织研发的一个基于链路状态下的自治系统内部路由协议被称为:
开放最短路由优先协议(OpenShortestPathFirst),简称OSPF,目前普遍使用的是版本2(RFC1583)。
4.1.1OSPF的主要特性
1.适应范围——支持最多几千台路由器的各种大、中、小规模的网络。
2.快速收敛——在网络的拓扑结构发生变化后立即发送并更新报文并在自治系统中达到同步。
3.无自环——用最短路径树算法计算路由,保证了不会生成自环路由。
4.区域划分——为了减少占用带宽,自治系统的网络被划分成的区域传送的路由信息被抽象。
5.等值路由——到同一目的地址的多条等值路由。
6.路由分级——当同时使用不同等级的路由时,按区域内路由、区域间路由、第一类外部路由和第二类外部路由这个优先顺序分级。
7.支持验证——支持基于接口的报文验证,保障了路由计算的安全性、稳定性。
8.组播发送——在有组播发送能力的链路层上,基于组播地址进行接收、发送报文。
在达到了广播作用的同时又最大程度地减少了对其它网络设备的干扰。
4.1.2OSPF协议路由计算的过程
OSPF协议路由的计算过程可简单描述如下:
1.描述整个自治系统拓扑结构的链路状态数据库(简称LSDB)是由每一台支持OSPF协议的路由器维护着;他们都会根据周围的网络拓扑结构来生成链路状态并且发布LinkStateAdvertising(LSA),然后再将LSA发送给网络中其它路由器。
这样,每台路由器都将会收到来自其它路由器的LSA,然后将所有的LSA放在一起组成了一个相对完整的链路状态数据库。
2.对路由器周围网络拓扑结构的具体描述被称为LSA,而对整个网络的拓扑结构的一种描述则被成为LSDB。
自然而然,自治系统内的各个路由器都将得到完全相同的网络拓扑图是因为路由器会将LSDB转换成一张带有权值的真实反映整个网络拓扑结构的有向图。
3.使用SPF算法的每台路由器都会计算出一棵到自治系统中各个节点的路由的树,这是一棵以自己为根的最短路径树,这棵树给出了通过广播外部路由的路由器来记录关于整个自治系统的额外信息。
另外,为了建立多个邻接(Adjacent)关系,使处于广播网和NBMA网中的每台路由器都可以将存储在本地的路由信息广播到整个自治系统中去,则会出现多次传递任意一台路由器的路由变化的情况,因而浪费了宝贵的带宽资源。
为了解决这个难题,OSPF因此定义了“指定路由器”(DesignatedRouter),简称为DR;为了大大减少各路由器之间邻居关系的数量,DR接收所有路由器发送出来的路由信息,然后再由它将该网络的链路状态广播出去。
OSPF支持IP子网和外部路由信息的标记接收,它支持基于接口的报文验证以保证路由计算的安全性;并使用IP组播方式发送和接收报文。
4.2OSPF的配置
必须先启动OSPF、使能OSPF网络后,才能在各项配置任务中配置其它与协议相关的功能特性,而OSPF是否使能将不会影响在接口下配置的与协议相关的参数。
关闭OSPF的同时原来在接口下配置的与协议相关的参数也同时失效。
4.2.1配置步骤
1.配置路由器RA
[RA]interfaceS0
[RA-Serial0]ipaddress192.1.1.1255.255.255.0
[RA-Serial0]interfaceS1
[RA-Serial1]ipaddress193.1.1.1255.255.255.0
[RA-Serial1]interfaceeth0
[RA-Ethernet0]ipaddress202.0.0.1255.255.255.0
[RA-Ethernet0]quit
[RA]ospfenable
[RA-ospf]interfaces0
[RA-Serial0]ospfenablearea0
[RA-Serial0]interfaces1
[RA-Serial1]ospfenablearea0
[RA-Serial1]quit
[RA]interfacee0
[RA-Ethernet0]ospfenablearea0
2.配置路由器RB
[RB]interfaceS0
[RB-Serial0]ipaddress192.1.1.2255.255.255.0
[RB-Serial0]interfaceS1
[RB-Serial1]ipaddress194.1.1.2255.255.255.0
[RB-Serial1]quit
[RB]ospfenable
[RB-ospf]interfaces0
[RB-Serial0]ospfenablearea0
[RB-Serial0]interfaces1
[RB-Serial1]ospfenablearea0
[RB-Serial1]quit
[RB]interfaceeth0
[RB-Ethernet0]ipaddress202.0.1.1255.255.255.0
[RB-Ethernet0]ospfenablearea0
[RB-Ethernet0]quit
3.配置路由器RC
[RC]interfaceS0
[RC-Serial0]ipaddress194.1.1.1255.255.255.0
[RC-Serial0]interfaceS1
[RC-Serial1]ipaddress195.1.1.1255.255.255.0
[RC-Serial1]quit
[RC]ospfenable
[RC-ospf]interfaces0
[RC-Serial0]ospfenablearea0
[RC-Serial0]interfaces1
[RC-Serial1]ospfenablearea0
[RC-Serial1]quit
[RC]interfaceeth0
[RC-Ethernet0]ipaddress202.0.2.1255.255.255.0
[RC-Ethernet0]ospfenablearea0
[RC-Ethernet0]quit
4.配置路由器RD
[RD]interfaceS0
[RD-Serial0]ipaddress193.1.1.2255.255.255.0
[RD-Serial0]interfaceS1
[RD-Serial1]ipaddress195.1.1.2255.255.255.0
[RD-Serial1]interfaceeth0
[RD-Ethernet0]ipaddress202.0.3.1255.255.255.0
[RD-Ethernet0]quit
[RD]ospfenable
[RD-ospf]interfaces0
[RD-Serial0]ospfenablearea0
[RD-Serial0]interfaces1
[RD-Serial1]ospfenablearea0
[RD-Serial1]interfacee0
[RD-Ethernet0]ospfenablearea0
[RD-Ethernet0]quit
如此配置完成后,所有的端口都可以相互PING通。
如图2.1构建的小型局域网就完成了。
第5章防火墙
5.1防火墙简介
5.1.1什么是防火墙
防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,拒绝非法用户访问网络并保障合法用户正常工作,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃。
为了阻止未经认证或者XX的用户访问保护内部网络或数据,防止来自外网的恶意攻击,一般将防火墙设置在外部网和内部网的连接处。
也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离开来,从而达到即使该访问是来自局域网内部,也必须经过防火墙的过滤的效果。
防火墙可通过监测、限制、更改跨越防火墙的数据流来保护内部网络的安全性,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。
现在的许多防火墙同时甚至还可以对用户进行身份鉴别,对信息进行安全加密处理等等。
5.1.2防火墙的分类
防火墙一般被分为网络层防火墙和应用层防火墙两种类型。
网络层防火墙主要是用来获取协议号、源地址、目的地址和目的端口等等数据包的包头信息;或者选择直接获取包头的一段数据。
而选择对整个信息流进行系统的分析则是应用层防火墙。
常见的防火墙有以下几类:
1.应用网关(ApplicationGateway):
检验通过此网关的所有数据包中的位于应用层的数据。
比如FTP网关,连接中传输的所有FTP数据包都必须经过此FTP网关。
2.包过滤(PacketFilter):
是指对每个数据包都将会完全按照用户所定义的规则来比较进入的数据包的源地址、目的地址是否符合所定义的规则。
如用户规定禁止端口是25或者大于等于1024的数据包通过,则只要端口符合该条件,该数据包便被禁止通过此防火墙。
3.代理(Proxy):
通常情况下指的是地址代理。
它的机制是将网内主机的IP地址和端口替换为路由器或者服务器的IP地址和端口。
让所有的外部网络主机与内部网络之间的相互访问都必须通过使用代理服务器来实现。
这样,就可以控制外部网络中的主机对内部网络中具有重要资源的机器的访问。
5.2包过滤
一般情况下,包过滤是指对路由器需要转发的数据包,先获取包头信息中所承载的上层IP协议中的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,比较后的结果对数据包进行转发或者丢弃。
因此只要用户所配置的规则比较符合实际的应用,那么在这一层就可以过滤掉许多带有安全隐患的未知数据包。
包过滤(对IP数据包)所选取用来判断的元素如下图所示(图中IP所承载的上层协议为TCP)。
图5.1包过滤示意图
5.2.1包过滤可实现的功能
1.不让任何人从外界使用Telnet登录。
2.让每个人经由SMTP(SimpleMessageTransferProtocol,简单邮件传输协议)向我们发送电子邮件。
3.使得某台机器可以通过NNTP(NetworkNewsTransferProtocol,网络新闻传输协议)向我们发送新闻,而其它机器都不具备此项服务等等。
5.2.2网络设备的包过滤的特性
1.基于访问控制列表(ACL):
访问控制列表的运用面很广,它不仅仅可以应用在包过滤中,还可应用在如地址转换和IPSec等其它需要对数据流进行分类的特性中的应
升级会员 