基于ACL的校园网络安全策略Word文件下载.doc
《基于ACL的校园网络安全策略Word文件下载.doc》由会员分享,可在线阅读,更多相关《基于ACL的校园网络安全策略Word文件下载.doc(16页珍藏版)》请在冰点文库上搜索。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
在这里,只介绍IP协议的ACL。
ACL的作用
1.ACL可以限制网络流量、提高网络性能。
2.ACL提供对通信流量的控制手段。
3.ACL是提供网络安全访问的基本手段。
4.ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
2.1访问控制列表的分类
目前有两种主要的ACL:
标准ACL和扩展ACL。
标准ACL只检查数据包的源地址;
扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
·
IP标准访问控制列表编号:
1~99或1300~1999
IP扩展访问控制列表编号:
100~199或2000~2699
2.2访问控制列表的匹配顺序
ACL的执行顺序是从上往下执行,CiscoIOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。
一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。
在写ACL时,一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句
图2ACL的匹配顺序
2.3访问控制列表的创建
标准ACL命令的详细语法
1.创建ACL定义
例如:
Router(config)#access-list1permit10.0.0.00.255.255.255
2.应用于接口
Router(config-if)#ipaccess-group1out
扩展ACL命令的详细语法
1.创建ACL定义
accell-list101permithost10.1.6.6anyeqtelnet
2.应用于接口
Router(config-if)#ipaccess-group101out
下面更详细的介绍扩展ACL的各个参数:
Router(config)#access-listaccess-list-number
{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]
表1扩展ACL参数描述
参数
参数描述
access-list-number
访问控制列表表号
permit|deny
如果满足条件,允许或拒绝后面指定特定地址的通信流量
protocol
用来指定协议类型,如IP、TCP、UDP、ICMP等
Sourceanddestination
分别用来标识源地址和目的地址
source-mask
通配符掩码,跟源地址相对应
destination-mask
通配符掩码,跟目的地址相对应
operator
lt,gt,eq,neq(小于,大于,等于,不等于)
operand
一个端口号
established
如果数据包使用一个已建立连接,便可允许TCP信息通过
表2常见端口号
端口号(PortNumber)
20
文件传输协议(FTP)数据
21
文件传输协议(FTP)程序
23
远程登录(Telnet)
25
简单邮件传输协议(SMTP)
69
普通文件传送协议(TFTP)
80
超文本传输协议(HTTP)
53
域名服务系统(DNS)
标准ACL与扩展ACL的比较:
图3标准ACL与扩展ACL的比较
2.4通配符掩码
通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示“不检查(忽略)相应的位”。
IP地址掩码的作用:
区分网络为和主机位,使用的是与运算。
0和任何数相乘都得0,1和任何数相乘都得任何数。
通配符掩码:
把需要准确匹配的位设为0,其他位为1,进行或运算。
1或任何数都得1,0或任何数都得任何数。
特殊的通配符掩码:
1.Any
0.0.0.0255.255.255.255
2.Host
172.16.30.280.0.0.0
Host172.16.30.28
2.5正确放置ACL
ACL通过制定的规则过滤数据包,并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的。
但是网络能否有效地减少不必要的通信流量,同时达到保护内部网络的目的,将ACL放置在哪个位置也十分关键。
假设存在着一个简单的运行在TCP/IP协议的网络环境,分成4个网络,设置一个ACL拒绝从网络1到网络4的访问。
根据减少不必要通信流量的准则,应该把ACL放置于被拒绝的网络,即网络1处,在本例中是图中的路由器A上。
但如果按这个准则设置ACL后会发现,不仅是网络1与网络4不能连通,网络1与网络2和3也都不能连通。
回忆标准ACL的特性就能知道,标准ACL只检查数据包的中的源地址部分,在本例子中,凡是发现源地址为网络1网段的数据包都会被丢弃,造成了网络1不能与其他网络联通的现象。
由此可知,根据这个准则放置的ACL不能达到目的,只有将ACL放置在目的网络,在本例子中即是网络4中的路由器D上,才能达到禁止网络1访问网络4的目的。
由此可以得出一个结论,标准访问控制列表应尽量放置在靠近目的端口的位置。
在本例子中,如果使用扩展ACL来达到同样的要求,则完全可以把ACL放置在网络1的路由器A上。
这是因为扩展访问控制列表不仅检查数据包中的源地址,还会检查数据包中的目的地址、源端口、目的端口等参数。
放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段,则会丢弃这个数据包,而检查出数据包的目的地址是指向网络2和3的网段,则会让这个数据包通过。
既满足了减少网络通信流量的要求,又达到了阻挡某些网络访问的目的。
由此,可以得出一个结论,扩展访问控制列表应尽量放置在靠近源端口的位置。
图4正确设置ACL
编辑原则:
标准ACL要尽量靠近目的端
扩展ACL要尽量靠近源端
3访问控制列表的配置
3.1访问控制列表配置
3.1.1配置标准访问控制列表
以下是标准访问列表的常用配置命令。
跳过简单的路由器和PC的IP地址设置
1.配置路由器R1的标准访问控制列表
R1(config)#access-list1deny172.16.1.00.0.0.255
R1(config)#access-list1permitany
R1(config)#access-list2permit172.16.3.10.0.0.255
2.常用实验调试命令
在PC1网络所在的主机上ping2.2.2.2,应该通,在PC2网络所在的主机上ping2.2.2.2,应该不通,在主机PC3上Telnet2.2.2.2,应该成功。
……
Outgoingaccesslistisnotset
Inboundaccesslistis1
……
以上输出表明在接口S2/0的入方向应用了访问控制列表1。
3.1.2配置扩展访问控制列表
相比基本访问控制列表,扩展访问控制列表更加复杂,不仅需要读取数据包的源地址,还有目的地址、源端口和目的端口。
图5用扩展ACL检查数据包
扩展访问控制列表的常见配置命令。
1.配置路由器R1
R1(config)#access-list100permittcp172.16.1.00.0.0.255host2.2.2.2eqwww
2.常用调试命令
分别在访问路由器R2的Telnet和WWW服务,然后查看访问控制列表100:
R1#showipaccess-lists100
ExtendedIPaccesslist100
permittcp172.16.1.00.0.0.255host2.2.2.2eqwww
……
3.1.3配置命名访问控制列表
命名ACL是IOS11.2以后支持的新特性。
命名ACL允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL,命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。
它提供的两个主要优点是:
①解决ACL的号码不足问题;
②可以自由的删除ACL中的一条语句,而不必删除整个ACL。
命名ACL的主要不足之处在于无法实现在任意位置加入新的ACL条目。
语法为:
Router(config)#
ipaccess-list{standard|extended}name
名字字符串要唯一
Router(config{std-|ext-}nacl)#
{permit|deny}{ipaccesslisttestconditions}
{permit|deny}{ipaccesslisttestconditions}
no{permit|deny}{ipaccesslisttestconditions}
允许或拒绝陈述前没有表号
可以用“NO”命令去除特定的陈述
Router(config-if)#ipaccess-groupname{in|out}
在接口上激活命名ACL
ipaccess-listextendserver-protect
permittcp10.1.0.00.0.0.255host10.1.2.21eq1521
intvlan2
ipaccess-groupserver-protect
命名ACL还有一个很好的优点就是可以为每个ACL取一个有意义的名字,便于日后的管理和维护。
最后是命名ACL常用配置命令。
1在路由器R1上配置命名的标准ACL
R1(config)#ipaccess-liststandardstand
R1(config-std-nacl)#deny172.16.1.00.0.0.255
R1(config-std-nacl)#permitany
创建名为stand的标准命名访问控制列表
2在路由器R1上查看命名访问控制列表
R1#showipaccess-lists
StandardIPaccesslist1
deny172.16.1.00.0.0.255
permitany(110match(es))
3在路由器R1配置命名的扩展ACL
R1(config)#ipaccess-listextendedext1
R1(config-ext-nacl)#permittcp172.16.1.00.0.0.255host2.2.2.2eqwww
创建名为ext1的命名扩展访问控制列表
4在路由器R1和R3上查看命名访问控制列表
R1#showaccess-lists
ExtendedIPaccesslistext1
3.1.4删除访问控制列表
删除ACL的方法十分简单,只需在ACL表号前加“NO”就可以了,例如:
R2(config)#noaccess-list1
输入这个命令后,ACL表号为1和2的ACL内所有的条目都会被删除。
标准和扩展的ACL只能删除整个ACL条目,不能删除个别条目。
命名ACL与标准和扩展ACL不同,它可以删除个别的控制条目。
例如:
nopermittcp10.0.0.00.0.255.255host10.1.2.21eq1521
在“permittcp10.0.0.00.0.255.255host10.1.2.21eq1521”前加“no”
即可删除这条ACL语句条目,之后可以重新写入新的条目
3.2基于时间段的访问控制列表配置
使用标准访问控制列表和扩展访问控制列表就可以应付大部分过滤网络数据包的要求了。
不过在实际的使用中总会有人提出一些较为苛刻的要求,这是就还需要掌握一些关于ACL的高级技巧。
基于时间的访问控制类别就属于高级技巧之一。
基于时间的访问控制列表的用途:
可能一些单位或者公司会遇到这样的情况,要求上班时间不能使用QQ或者浏览某些网站,或者不能在上班时间使用某些应用,只有在下班或者周末才可以。
对于这种情况,仅仅通过发布通知不能彻底杜绝员工非法使用的问题,这时基于时间的访问控制列表就应运而生了。
基于时间的访问控制列表的格式;
基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。
这里主要解释下定义时间段,具体格式如下:
time-range时间段格式
absolutestart[小时:
分钟][日月年][end][小时:
分钟][日月年]
time-rangesofter
absolutestart0:
001may2005end12:
001june2005
意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。
还可以定义工作日和周末,具体要使用periodic命令。
将在下面的配置实例中详细介绍。
基于时间的ACL配置常用命令
R1(config)#time-rangetime//定义时间范围
R1(config-time-range)#periodicweekdays8:
00to18:
00
R1(config)#access-list111permittcphost172.16.3.1host2.2.2.2eqtelnettime-rangetime
常用实验调试命令
①用“clockset”命令将系统时间调整到周一至周五的8:
00-18:
00范围内,然后在Telnet路由器R1,此时可以成功,然后查看访问控制列表111:
R1#showaccess-lists
ExtendedIPaccesslist111
10permittcphost172.16.3.1host2.2.2.2eqtelnettime-rangetime(active)
②用“clockset”命令将系统时间调整到8:
00范围之外,然后Telnet路由器R1,此时不可以成功,然后查看访问控制列表111:
10permittcphost172.16.3.1host2.2.2.2eqtelnettime-rangetime(inactive)
③showtime-range:
该命令用来查看定义的时间范围。
R1#showtime-range
time-rangeentry:
time(inactive)
periodicweekdays8:
usedin:
IPACLentry
以上输出表示在3条ACL中调用了该time-range。
3.3访问控制列表的显示和调试
在特权模式下,
使用“showaccess-lists”可以显示路由器上设置的所有ACL条目;
使用“showaccess-listaclnumber”则可以显示特定ACL号的ACL条目;
使用“showtime-range”命令可以用来查看定义的时间范围;
使用“clearaccess-listcounters”命令可以将访问控制列表的计数器清零。
4校园网ACL配置实例
校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园园区内部的Intranet系统,对外通过路由设备接入广域网。
包过滤技术和代理服务技术是当今最广泛采用的网络安全技术,也就是我们通常称的防火墙技术。
防火墙可以根据网络安全的规则设置允许经过授权的数据包进出内部网络,同时将非法数据包挡在防火墙内外,最大限度地阻止黑客攻击。
包过滤技术以访问控制列表的形式出现,一个设计良好的校园网络访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
本实验通过模拟校园网环境,配置校园网路由器中的ACL,达到模拟校园ACL配置的目的。
通过模拟环境的实验,还可以模拟各种网络攻击,模拟特定目的端口数据包的发送,检验配置的ACL命令的可行性。
4.1搭建配置环境
校园网拓扑图如图6所示
图6校园网拓扑图
表3校园网的VLAN及IP地址规划
VLAN号
VLAN名称
IP网段
默认网关
说明
VLAN1
-
192.168.0.0/24
192.168.0.254
管理VLAN
VLAN10
JWC
192.168.1.0/24
192.168.1.254
教务处VLAN
VLAN20
XSSS
192.168.2.0/24
192.168.2.254
学生宿舍VLAN
VLAN30
CWC
192.168.3.0/24
192.168.3.254
财务处VLAN
VLAN40
JGSS
192.168.4.0/24
192.168.4.254
教工宿舍VLAN
VLAN50
ZWX
192.168.5.0/24
192.168.5.254
中文系VLAN
VLAN60
WYX
192.168.6.0/24
192.168.6.254
外语系VLAN
VLAN70
JSJX
192.168.7.0/24
192.168.7.254
计算机系VLAN
VLAN100
FWQQ
192.168.100.0
192.168.100.254
服务器群VLAN
具体的VLAN设置方法及网络联通设置在这里不在冗述,重点放在ACL的设置上。
4.2校园网ACL实际用例
首先是设置校园网内部三层交换机上的ACL。
规定只有在财务处VLAN30内的主机可以访问财务处VLAN30,其他的教学单位部门可以互访;
学生宿舍和教工宿舍VLAN可以互访,并且可以访问除了财务处和教务处外的其他教学单位。
所有VLAN都可以访问服务器群VLAN。
财务处ACL设置
MultilayerSwitch1(config)#ipaccess-listextendedCWC
MultilayerSwitch1(config-ext-nacl)#permittcp192.168.3.00.0.0.255any
教工宿舍ACL设置与学生宿舍ACL设置同理
在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。
接下来是对连接外网的路由器添加ACL。
屏蔽简单网络管理协议(SNMP)
利用这个协议,远程主机可以监视、控制网络上的其他网络设备。
它有两种服务类型:
SNMP和SNMPTRAP。
R1(config)#ipaccess-listextendednet
R1(config-ext-nacl)#denyudpanyanyeq161
对外屏蔽远程登录协议Telnet
R1(config-ext-nacl)#denytcpanyanyeq23
对外屏蔽其他不安全的协议和服务
这样的协议主要有SUNOS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。
R1(config-ext-nacl)#denytcpanyanyrange512514
防止DoS攻击
DoS攻击(
升级会员 