访问控制列表在校园网中的应用.doc

XXXXXX职业技术学院毕业设计报告 设计题目 访问控制列表在校园网中的应用 系 别 专 业 年级班别 学 号 学生姓名 指导教师 提交日期： 年 月 日访问控制列表在校园网中的应用摘要：随着计算机和互联网的高速发展，人们能够随时通过互联网了解到世界各地的信息。而对于学校来说，校园网则肩负着教学资源共享、培养学生各方面能力的重任，因此对校园网进行有效管理就是目前各大院校师生的共同愿望。校园网的安全是一个庞大的系统工程，需要全方位的防范，而ACL 技术的出现带给了人们对校园网进行有效管理的信心。本文基于ACL为主，建立ACL列表控制和保障整个校园网的安全运行，使校园网运作在一个安全稳定的环境下。关键字：ACL；访问控制列表；校园网；网络安全 目 录前言41 ACL的概述41.1 ACL的基本原理41.2 ACL的主要功能61.3 ACL的分类61.4 ACL的执行过程61.5 ACL的3P原则71.6 ACL的放置82 ACL的创建和配置7 2.1 标准ACL的基本语法8 2.2 扩展ACL的基本语法92.3 命名式ACL的基本语法92.4 删除ACL102.5 基于时间的ACL的基本用法103 校园网ACL的配置实例123.1 搭建配置环境123.2 实现全网互通143.3 用ACL控制病毒163.4 限制数据流流向173.5 应用服务的访问控制173.6 上网时间的访问控制193.7 保护服务武器204 结束语22参考文献235 致谢24前言目前，在大部分大、中、小学的校园中，校园网资源的设备正在扮演非常重要的角色，一方面，校园网能够在很大程度上协助教师分担和改进大量计算机课程的授课，另一方面，校园网也是对学生进行多方面教育和培训的重要手段。但是，近年来，随着很多学校进行扩招以及机房的加建，校园网的网络规模呈现着不断上升的状况，以及难以满足广大师生应用需求的现象也不断增多，加上网络互联也导致了部门之间数据保密性降低，影响了部门安全。因此，校园网络监视需考虑部门之间的访问控制和网络设备的安全。如管理人员可登陆网络设备或访问其他部门并可自由访问互联网；对学生或其他部门访问互联网的时间、内部相互访问的控制。作为目前最为先进、有效的网络安全管理技术手段，ACL 技术在校园网管理中的应用无疑是一种非常行之有效的方法。因为它不仅可以很好地杜绝网络安全隐患，还可以省去购买硬件防火墙的开支。1 ACL的概述访问控制列表ACL(Access Control List)是一种对经过路由器的数据流进行判断、分类和过滤的技术。它是一系列包含源地址、目的地址、端口号等信息的语句的集合，每条语句称之为一个规则(rule)，它规定对到达数据包的处理动作。通过匹配数据包中的信息与访问控制列表的规则可以过滤数据包，实现对交换路由设备和网络的安全控制。1.1 ACL的基本原理 ACL是一组命令，用来控制进入或离开接口的流量，可以为流过网络的流量提供一个基本级别的安全保护。它的工作原理是查看数据包的第三层或者第四层信息，通过读取数据包的这些信息，ACL按照事先设置好的一套规则来决定如何处理数据包，是将它们转发到目的地，还是丢弃该数据包。创建了ACL后，可以将其绑定到路由器的入口或出口，图1显示了一个将ACL应用到接口上的流入流量的例子。在该例中，当接口收到数据包时, IOS首先确定ACL是否被应用到了该接口。如果没有，IOS正常地路由该数据包，如果有，IOS处理ACL。从第一条语句开始，将条件和数据包内容作比较，如果没有匹配，IOS处理列表中的下一条语句，如果有匹配，则执行操作：允许（permit）或拒绝（deny）。如果IOS查遍了整个ACL也没有找匹配，则丢弃数据包。 对于输出ACL，过程是相似的，流程图如图2所示。当IOS接收到数据包时，首先将数据包路由到输出接口。然后IOS检查在接口上是否有ACL输出，如果没有，IOS将数据包排在队列中，发送出接口。否则，数据包通过与ACL条目进行比较被处理。1.2 ACL的主要功能限制网络数据流以提高网络性能提供流量控制提供基本的网络访问安全在路由器接口上决定转发或阻止哪些类型的数据流控制客户端可访问网络的哪些区域允许或拒绝主机访问网络服务1.3 ACL的分类 目前主要有三种ACL1 ：标准ACL、扩展ACL和基于时间的ACL。标准的ACL2使用1-99或13001999之间的数字作为表号，扩展的ACL使用100-199或20002699之间的数字作为表号。这两种ACL的区别3是：标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号以及其他参数。网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议(比如IP)的所有通信陆良。扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到允许外来的Web通信流量通过，拒绝外来的Telnet等通信流量，那么，他可以使用扩展ACL来大道目的，标志ACL不能控制得这么精确。基于时间的访问控制列表则是在继承了扩展访问控制列表的基础上，引入了时间机制，可以在定制的时间段内生效。1.4 ACL的执行过程ACL通过接入控制列表可以在路由器、三层交换机上进行网络安全性配置，实现对进入路由器、三层交换机的输入数据流进行过滤。过滤输入数据流可以是基于网络地址、TCP/UDP的应用等,可以选择对符合过滤规则的数据流是转发还是丢弃, 从而达到访问控制的目的。一个端口上允许有多条ACL则按照列表中的条件语句顺序执行判断，自上而下，如果一个数据包的包头跟表中某个条件判断语句相匹配，则执行，后面的语句忽略。如果与第一条判断条件语句不匹配，则执行ACL的下一条判断条件语句，依次类推，直到找到相匹配的语句出口，数据立即发送到目的接口。如果所有的ACL判断语句都检查完，没有匹配的语句出口，则丢弃当前数据包。自上而下处理过程4的另外一个重要方面是：如果路由器把分组和列表中的每一条语句都进行了比较，并且都没有找到和分组内容匹配的条目，路由器将丢弃分组。这称为隐含拒绝。在每个ACL的尾部都有一个不可见的语句，用来丢弃和ACL中前面所有语句都不匹配的流量。通过这样的处理，就不再需要只包含deny语句的列表，因为隐含拒绝丢弃所有流量。因此，每个ACL应该至少包含一条permit语句；否则，由于deny语句和隐藏的隐含拒绝语句，仅含deny语句的ACL将丢弃所有分组。1.5 ACL的3P原则 在路由器中配置ACL时，一种通用规则是3P原则5，即可针对每种协议(per protocol)、每个方向(per direction)、每个接口(per interface)配置一个ACL。每种协议一个ACL：要控制数据流穿越接口，必须为接口上启用的每种协议(如IP或IPX)定义一个ACL。每个方向一个ACL：一个ACL只能控制接口上一个方向的数据流。要控制入站数据流和出站数据流，必须创建两个ACL。每个接口一个ACL：一个ACL只能控制一个接口(如FastEthernet0/0)上的数据流。1.6 ACL的放置 ACL要么应用于出站数据流要么应用于出站数据流。 出站6：已经经过路由器处理，正离开路由器接口的流量(也称出口流量)。源是流量起源的场所(在路由一侧)，目的是流量要去的地方(远离这台路由器)。 入站：已到达路由器接口的流量(也称为入口流量)将被路由器处理，穿过这台路由器到达目的地。源是已到达的场所(在路由器之前)，目的地是流量要去的地方(在路由器的另一侧)。 标准ACL应尽可能靠近接收站设备放置。扩展ACL应尽可能靠近发送站设备放置。2 ACL的创建和配置2.1标准ACL的基本语法Router(config)#access-list cess-list-number permit|deny source_address wildcard_mask 列如：创建一个ACL允许网段的所有主机。Router(config)#access-list 1 permit 55应用到接口：Router(config)#interface serial-numberRouter(config)#ip access-proup acess-list-number in/out例如：Router(config)#interface serial 0 Router(config)#ip access-group 1 in其中：acess-list-number 标识条目所属的列表，它是一个1-99或1300-1999的符号；permit/deny 指明该条目是允许还是阻塞指定的地址；source-address 标识源IP地址。wildcard mask 标识地址域中哪些位需要进行匹配，默认掩码是（匹配所有），设定为反向子网掩码（如：反向子网掩码为55）；serial-number 端口号。in/out选择将访问控制列表作为输入过滤器还是输出过滤。2.2扩展ACL的基本语法Router(config)#access-list acess-list-number permit|deny IP_protocol source_address source_wildcard_mask operator port destination_address destination_wildcard_mask operator port 例如：拒绝网络/24访问FTP服务器00/24，而允许其他主机访问。Router(config)#access-list 102 deny tcp 55 host 00 eq 21Router(config)#access-list 102 permit ip any anyRouter(config)#interface serial 0/应用到接口/Router(config)#ip access-group 102 in其中：扩展ACL的access-list-number 使用在100-199或2000-2699之间的一个号标识列表。protocol 可以是IP、TCP、UDP、ICMP、GRE或IGRP。operator port 可以是lt（小于），gt（大于），eq（等于），neq（不等于）一个端口号。2.3 命名式ACL的基本语法 命名ACL是以列表名称代替列表编号来定义ACL，同样包括标准和扩展两种列表。命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目，这样可以使网络管理员方便修改ACL。创建命名访问控制列表的语法如下：Router(config)#ip access-list standard|extended access-list-name其中：standard:创建标准的命名访问控制列表。extended:创建扩展的命名访问控制列表。access-list-name:命名控制列表的名字，可以是任意字母和数字的组合。标准命名ACL语法如下：Router(config-std-nacl)#Sequence-Number permit|deny source souce-wildcard 扩展命名ACL语法如下：Router(config-ext-nacl)#Sequence-Number permit|deny protocol source souce-wildcard destination destination-wildcard operator operan无论是配置标准命名ACL语句还是配置扩展命名ACL语句，都有一个可选参数Sequence-Number。Sequence-Number参数表明了配置的ACL语句在命令ACL中所处的位置，默认情况下，第一条为10，第二条为20，以此类推。Sequence-Number可以很方便地将新添加的ACL语句插于到原有的ACL列表的指定位置，如果不选择Sequence-Number，默认添加到ACL列表末尾并且序列号加10。2.4 删除ACL(1)删除标准和扩展ACL语法：Router(config)#no access-list access-list-number 标准和扩展的ACL只能删除整个ACL条目，不能删除个别条目。(2)删除命名式ACL语法：Router(config)#no ip access-list standard|extended access-list-name对于命名ACL来说，可以删除单条ACL语句，而不必删除整个ACL。并且ACL语句可以有选择的插入到列表中的某个位置，使得ACL配置更加方便灵活。如果要删除某一ACL语句，可以使用“no Sequence-Number”或“no ACL”语句两种方式。2.5基于时间的ACL的基本用法 在继承了扩展访问控制列表的基础上，引入了时间机制，可以在定制的时间段是扩展访问控制列表生效。基本语法为：Router(config-if)#time-range time-range-name absolute starttime dateend time date periodic days-of-the week hh:mm todays-of-the week hh:mm例如：在一个网络中，路由器的以太网接口E0连接着 网络，还有一个串口S0连入Internet。了让网络内的在工作时间内不能进行Web浏览，从2008年5月1日1时到2008年5月31日晚24时这一个月中，只有在周六早7时到周日晚10时才可以通过校园网的网络访问Internet。我们通过基于时间的扩展访问控制列表来实现这一功能：Router#config tRouter(config)#time-range http /时间范围名称为httpRouter(config-if)#absolute start 1:00 1 may 2008 end 24:00 31 may 2008 periodic Saturday 7:00 to Sunday 22:00Router(config-if)#ip access-list 101 permit tcp any any eq 80 httpRouter(config)#interface Ethernet 0Router(config-if)#ip access-group 101 in我们是在一个扩展访问列表的基础上，再加上时间控制就达到了目的。其中：time-range用来定义时间范围的命令。time-range-name时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用。absolute 该命令用来指定绝对时间范围。它后面紧跟着start和end两个关键字。在这两个关键字后面的时间要以24小时制hh:mm表示，日期要按照日/月/年来表示。如果省略start及其后面的时间，则表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止。如果省略end及其后面的时间，则表示与之相联系的permit或deny语句在start处表示的时间开始生效，并且一直进行下去。periodic主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily(每天)、weekday(周一至周五)，或者weekend(周末)。参数如表1： 表13 校园网ACL的配置实例3.1 搭建配置环境图3 校园网拓扑图设备信息： CISCO 2921/K9设备参数端口结构模块化VPN支持支持广域网接口3个Qos支持支持防火墙内置防火墙传输速率10/100/1000Mbps网络协议IPv4，IPv6，静态路由，IGMPv3，PIM SM，DVMRP，IPSec产品内存DRAM内存：512MB，最大2GB表2CISCO WS-C3560X-24T-S设备参数产品类型千兆以太网交换机包转发率65.5Mpps应用层级三层传输速率10/100/1000Mbps端口数量24个背板带宽160Gbps交换方式存储-转发MAC地址表4KVLANVLAN总数1005 VLAN ID数4K产品内存DRAM：256MB 闪存：64MB表3CISCO WS-C2960-24TT-L设备参数产品类型只能交换机包转发率6.5Mpps应用层级二层传输速率10/100Mbps端口数量26个MAC地址表8KVLAN支持产品内存64MB表4CISCO UCS C220 M3(1U)设备参数产品类型机架式扩展槽2PCI-E 3.0标配CPU数量1颗/2颗光驱标配不提供网络控制器一个千兆管理口，双千兆网卡口RAID模式RAID 0，1，10，5内存插槽数量16内存类型DDR3表5校园网VLAN和IP地址规划图名称IP地址所属网段网关所属 vlan学生宿舍/24vlan 10职工宿舍/24vlan 20学生活动中心/24vlan 30图书馆/24vlan 40实验楼/24vlan 50教学楼/24vlan 60服务器群/24vlan 100Internet/30无表63.2 实现全网互通第一步：核心交换机的配置Switch#conf t /进入全局配置模式Switch(config)#vtp domain jiwang /启用vtp中继协议，设vtp域名为jiwangSwitch(config)#vtp mode server /将vtp设置为服务器模式Switch(config)#int range fa0/2-3 /进入以太网2-3端口Switch(config-if)#switchport trunk encapsulation dot1q/封装Switch(config-if)#switchport mode trunk/设置为Trunk模式Switch(config)#no shutdownSwitch#vlan database /进入vlan创建模式Switch(vlan)#vlan 10 /创建vlan 10Switch(vlan)#vlan 20Switch(vlan)#vlan 30Switch(vlan)#vlan 40Switch(vlan)#vlan 50Switch(vlan)#vlan 60Switch(vlan)#vlan 100Switch(vlan)#exitSwitch#show vlan /查看vlan第二步：汇聚层的配置Switch(config)#vtp domain jiwang Switch(config)#vtp mode client /将vtp设置为客户端模式 Switch(config)#int fa0/1 /进入端口Switch(config-if)#switchport trunk encapsulation dot1q /封装Switch(config-if)#switchport mode trunk /设置Trunk模式Switch(config)#int range fa0/2-3 /进入范围端口Switch(config-if)#switchport mode access /设置端口2-3为access模式Switch(config)#int range fa0/3-6 /进入范围端口Switch(config-if)#switchport trunk encapsulation dot1q /封装Switch(config-if)#switchport mode trunk /设置Trunk模式Switch(config-if)#endSwitch#show vlan /查看是否学习到第三步：接入层的配置Switch(config)#vtp domain jiwang Switch(config)#vtp mode client /将vtp设置为客户端模式 Switch(config)#int fa0/1 /进入端口Switch(config-if)#switchport mode trunk/设置Trunk端口模式Switch(config-if)#no shutdown /打开端口Switch(config)#int range fa0/2 /进入端口Switch(config-if)#switchport mode access /设置Access端口模式Switch(config-if)#endSwitch#show vlan /查看是否学习到Switch(config)#int fa0/2Switch(config-if)#switchport access vlan 10 /给端口划分vlan其他接入层参照此配置。第四步：在核心交换机设置vlan管理IPSwitch(config)#int vlan 10 /进入vlan 10Switch(config-if)#ip add /给vlan配置IPSwitch(config-if)#no shut Switch(config-if)#exit各vlan参照此配置。第五步：在核心交换机和路由器启用ospf协议Switch(config)#route ospf 1/启用ospf协议Switch(config-router)#network 55 area 0Switch(config-router)#network 55 area 0Switch(config-router)#network 55 area 0Switch(config-router)#network 55 area 0Switch(config-router)#network 55 area 0Switch(config-router)#network 55 area 0Switch(config-router)#network 55 area 03.3 用访问控制列表过滤病毒现在校园网中用户量大，网络使用频繁，导致网络遭到病毒侵犯的可能性加大，特别是蠕虫病毒由于其主动传播的特性，往往传播时间较长、形成危害较大，并且现在的蠕虫病毒多融入了黑客、木马等功能，还会阻止安全软件的运行，使得病毒的功能性更加强大。它们生存在网络的节点之中，依靠系统的漏洞在网络上大量繁殖，造成网络阻塞之类的破坏。为了提高网络的安全性和稳定性，可以在路由器上借助ACL建立相应的访问控制规则，关闭相应的端口，以阻止病毒入侵。我们已经知道病毒程序和网络攻击程序常利用的端口有 69、135，138、139、445、539、593、4444 等配置如下：Router(config)#ip access-list extended bingduRouter(config-ext-nacl)# deny tcp any any eq 135 /过滤TCP135端口Router(config-ext-nacl)# deny udp any any eq 445 /过滤UDP445端口其余端口控制ACL命令与上面类似。3.4 限制数据流流向职工宿舍网段()的主机上存放教师个人相关资料和数据，对学生来说往往是保密的，因此不能让学生宿舍网段()访问，但是教师宿舍网段可以访问学生宿舍的计算机，以便对学生课外学习、课外作业等情况进行监控和指导。为了达到此目的，可以在汇聚层1上进行如下配置：Switch(config)#access-list 100 deny tcp 55 55 established /禁止学生宿舍访问职工宿舍Switch(config)#access-list 100 permit tcp any anySwitch(config)#int vlan 10 /应用在所在vlanSwitch(config-if)#ip access-group 100 in测试：图43.5 应用服务的访问控制高校校园网络是一个开放的环境，教职工、学生是比较活跃的网络用户，用户数量大，对互联网络充满好奇，敢于探索。在空闲时间会尝试使用学到的各种网络攻击技术，在校园网络当中实践，满足自己的好奇心，这就可能会对校园网络安全造成一定的影响和破坏。利用IP扩展访问控制列表实现应用服务的访问控制。例如：在汇聚层1上连着学校提供的服务器群，另外还连着学生宿舍楼、教工宿舍楼，学校规定学生只能对服务器FTP进行访问,不能对WWW服务器进行访问，教工则没有限制。主要配置如下：Switch(config)#ip access-list extended denywww/命名ACL为denywwwSwitch(config-ext-nacl)#deny tcp 55 55 eq www /拒绝学生宿舍访问服务器wwwSwitch(config-ext-nacl)#interface vlan 10 /应用所在vlanSwitch(config-if)#ip access-group denywww in测试：图5图63.6上网时间的访问控制信息化高速发展时代，大部分学生都有自己的电脑，对学习也处于比较放松的状态，自觉性和自我约束能力比较差，只要学生交纳费用就可以随时使用网络，这既为学生提供了方便，也带来了问题。部分学生因为上网看电影、玩游戏等娱乐通宵，导致第二天上课没精神，甚至缺课，部分学生还沉迷当中，严重影响了其正常的学习、生活规律。并且，在实验室上课，部分学生也漫游Internet影响正常的教学秩序无法完成教学任务。为了减少这些问题的发生，学校可以利用ACL技术，加入有效的时间范围来更合理地有效控制网络，对学生宿舍网络、实验室网络限定上网的时间。例如：限定2013年3月1 日到 2013年 6月 30日每逢周一至周五早上00:00到早上8:00，学生宿舍网络、实验室网络都不能上网。主要配置如下：Router(config)#time-range limit /时间范围名称为limitRouter(config-time-range)#absolute start 00:00 1 March 2013 end 8:00 june 2013/设置不能上网时间段Router(config-time-range)#periodic weekday 00:00 to 8:00/周末开放Router(config)#access-list 130 deny ip 55 any limit/限制学生宿舍Router(config)#access-list 130 deny ip 55 any limit/限制实验室Router(config)#access-list 130 permit ip any anyRouter(config)#interface fast