ACL技术在网络安全管理中的应用.doc

acl技术在网络安全管理中的应用摘要: 本文阐述了acl(access control list)基本原理、分类及简单配置方法, 并结合实际案例进行了分析和配置, 说明如何在校园网中使用acl进行网络层访问权限控制, 提高网络整体性能和安全性。关键词: 访问控制列表; 虚拟子网; 网络安全1 引言随着网络技术的飞速发展,校园网络的规模不断扩大,网络在为学校提供现代化教育技术和教育资源共享的平台, 为学生和老师之间提供了更多的交流渠道, 丰富了校园文化, 但网络互联也导致了部门之间数据保密性降低,影响部门安全, 因此, 校园网络建设需考虑部门之间的访问控制和网络设备的安全。如管理人员可登陆网络设备或访问其他部门并可自由访问互联网; 对学生或其他部门访问互联网的时间、内部相互访问加以控制。笔者提出一种采用访问控制列表(access control list,acl)的访问控制策略, 以满足校园网络安全的要求。2 acl 简介acl(access control list)简称访问控制列表，是实现包过滤的一种访问控制技术, 初期仅在路由器上支持, 近些年来已经扩展到三层交换机, 部分最新的二层交换机也开始提供acl的支持, 只不过支持的特性不是那么完善, 在其它厂商的路由器或多层交换机上也提供类似的技术, 不过名称和配置方式都可能有细微的差别, 本文所有的配置实例均基于华为产品的acl进行编写。2.1 acl 基本原理acl 基本原理是: acl使用包过滤, 在路由器上读取第二层、第三层及第四层包头中的信息源地址、目的地址、源端口、目的端口等, 根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的，图1显示了ip数据包的组成。ip报头tcp报头数据协议号源地址目的地址源端口目的端口对于tcp来说，这5个元素组成了一个tcp相关，访问控制列表就是利用这些元素定义的规则图1 ip数据包结构利用acl是为了提高网络服务所做的一系列控制。访问控制列表可以应用在路由器接口的指令列表和操作系统中, 这些指令列表用来指哪些数据包可以接收、哪些数据包需要拒绝、是否需要报文检测等等。至于数据包是被接收还是被拒绝, 可以由类似于源地址、目的地址、时间范围、目的端口号、源端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表, acl可以当作一种网络控制的有力工具, 用来过滤流入和流出路由器或交换机接口的数据包。2.2 acl 分类华为3com设备中访问控制列表acl分很多种, 不同场合应用不同种类的acl。按照访问控制列表的用途可以将acl分为五类:基本的访问控制列表（basic acl）。该列表只使用源地址描述数据，表明是允许还是拒绝。配置命令格式为：rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name logging fragment vpn-instance vpn-instanc-name 。高级访问控制列表（advanced acl）, 该列表根据源ip、目的ip、使用的tcp 或udp 端口号、报文优先级等数据包的属性信息制定分类规则, 对数据包进行相应的处理。配置命令格式为：rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message |icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instanc-name 。高级访问控制列表支持对三种报文优先级的分析处理: tos(type of service)优先级、ip优先级和dscp优先级1。基于接口的访问控制列表（interface-based acl）。该列表指定对相应端口应用的规则，在配置时也可以指定规则应用的时间范围。配置命令格式为：rule permit | deny interface interface-name time-range time-name logging 。基于mac的访问控制列表（mac-based acl）。基于时间访问控制列表（time-based acl）。该列表在扩展访问控制列表中,加入有效的时间范围, 合理有效地控制网络, 可以根据一天中的不同时间、一星期中的不同日期或二者相结合控制网络数据包的转发。配置命令格式为：time-range time-name start-time to end-time days from time1 date1 to time2 date2 。2.3访问控制列表的标识利用数字范围标识访问控制列表的种类，如表1所示。表1 acl种类与数字标识关系表列表的种类数字标识的范围基于接口的访问控制列表 10001999 基本的访问控制列表 20002999 高级的访问控制列表 30003999 基于mac地址访问控制列表 40004999 3 acl 简介vlan 技术是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术, 将不同部门划分在不同的vlan里,vlan是传统的以太网安全技术, 它通过分割多个广播域,可以控制用户访问权限和逻辑网段大小, 将不同用户群划分在不同vlan, 从而提高交换式网络的整体性能和安全性2。一个vlan 组成一个逻辑子网, 即一个逻辑广播域,它可以覆盖多个网络设备, 允许处于不同地理位置的网络用户加入到一个逻辑子网中。4 acl 在校园网中的应用在校园网络中, 我们要使校园网络的有限带宽得到充分的利用, 并且保障校园网络设备不被非法登陆。可以把acl技术和交换机的vlan技术相结合来保障校园网络的服务质量和网络的安全。下面我们以华为3coms3900为例说明acl 技术的应用。在某校园网络中, 要对校园内的各部门的用加以访问控制, 可以使用一台或多台华为3com s3900系列网管型交换机实现各部vlan 的划分, 不同部门之间不能互相访问, 同部门之间的员工可以互相访问； 部门的员工在特定时间段访问internet； 对服务器及网络设备进行安全保护操作, 要区分不同部门的网络然后再通过路由器接入internet,按部门进行子网的划分。 4.1 vlan的划分把部门1、部门2、部门3分别分在vlan2、vlan3、vlan4 并为它们分配相应的ip 网段, 路由器和交换机通过vlan1 相连, 其网络拓扑结构见图2, 交换机vlan 及子网分配见表2。internetvlan1vlan2vlan3vlan4图2 网络拓扑结构图表2 vlan 与子网的划分网络号子网交换机端口vlan1192.168.1.0/24e1/0/1vlan2192.168.2.0/24e1/0/2vlan3192.168.3.0/24e1/0/3vlan4192.168.4.0/24e1/0/4vlan划分指令quidwayvlan 1quidway-vlan1port e1/0/1quidway-vlan1vlan 2quidway-vlan2port e1/0/2quidway-vlan2vlan 3quidway-vlan3port e1/0/3quidway-vlan3vlan 4quidway-vlan4port e1/0/44.2 交换机的配置划分vlan 后, 根据企业需要, 采用基于ip 的高级访问控制列表实现控制部门之间的访问和对internet的限时访问。quidwaytime-range huawei 8:00 to 17:00 working-day 定义8:00 至17:00 的周期时间段quidwayacl number 3000 进入3000号的高级访问控制列表视图quidway-acl-adv-3000rule 1 deny ip source any destination any time-range huawei 禁止上班时间访问internetquidway-ethernet1/0/1packet-filter inbound ip-group 3000 将3000号acl激活quidwayacl number 3001 进入3001号的高级访问控制列表视图quidway-acl-adv-3001rule 1 deny ip source any destination 192.168.1.0 0.0.0.255quidway-ethernet1/0/2packet-filter inbound ip-group 3001 将3001号acl激活用相同的方法创建acl3002、acl3003, 分别在e1/0/3、e1/0/4 应用,这样就可以实现部门之间的相互隔离,为了加强网络设备的管理, 可以应用acl基本访问控制列表来限制其它部门非法登陆网络设备。在交换机上可以用以下的方法来实现对telnet用户的acl控制:quidway acl number 2000 进入2000号的基本访问控制列表视图quidway-acl-basic-2000rule 0 deny source 192.168.1.0 0.0.0.255 禁止vlan1用户telnet到交换机quidway-acl-basic-2000rule 1 deny source 192.168.2.0 0.0.0.255 禁止vlan2用户telnet 到交换机quidway-acl-basic-2000rule 2 deny source 192.168.3.0 0.0.0.255 禁止vlan3用户telnet 到交换机quidwayuser-interface vty 0 4quidway-ui-vty0-4acl 2000 inbound 参数inbound5 结论对telnet到本交换机的用户进行acl控制配置完成后,按各部门所在vlan设置ip地址、子网掩码及网关, 用ping或tracert命令进行测试, 测试结果表明交换机配