基于ACL的校园网络安全策略

毕毕 业业 论论 文 设计 文 设计 论文 设计 题目论文 设计 题目 基于基于ACLACL的校园网络安全策略的校园网络安全策略 系系 别 别 专专 业 业 学学 号 号 姓姓 名 名 指导教师 指导教师 时时 间 间 毕毕 业业 论论 文 设文 设 计 计 开开 题题 报报 告告 系别 计算机与信息科学系 专业 计算机科学与技术 学 号 姓 名何国明 论文 设计 题目基于ACL的校园网络安全策略 命题来源 教师命题 学生自主命题 教师课题 选题意义 不少于 300 字 本选题的目的是配置以 ACL 为核心 安全可靠的校园网络 随着网络的高速发展 网络的普及也越来越平民化 网络的安全问题也越来越引起人们的重视 在现实生活中我们每天都在面对各种各样的病毒 木马 非法入侵 基于这些现状我们必须有一套安 全可靠的防护措施 高校校园网的安全是一个庞大的系统工程 需要全方位防范 防范不仅是被动的 更要主动进行 只有这样 才能取得主动权 使网络避免有意无意的攻击 ACL 即访问控制列表 它是工作在 OSI 参考模型三层以上设备 通过对数据包中的第三 四层中的 包头信息按照给定的规则进行分析 判断是否转发该数据包 基于 ACL 的网络病毒的过滤技术在一定 程度上可以比较好的保护局域网用户免遭外界病毒的干扰 是一种比较好的中小型局域网网络安全控 制技术 研究综述 前人的研究现状及进展情况 不少于 600 字 ACL的全称是控制访问列表 Acces Conttol List 控制访问起源于 20 世纪 60 年代 是一种重要 的信息安全技术 所谓访问控制 就是通过某种途径显示地准许或限制访问能力及范围 从而限制对 关键资源的访问 防止非法用户入侵或者合法用户的不慎操作造成破坏 网络中常说的ACL是CISCO IOS所提供的一种访问控制技术 初期仅在路由器上支持 近些年来已经扩展到三层交换机 部分最新 的二层交换机如 2950 之类也开始开始提供ACL的支持 只不过支持的特性不是那么完善而已 在其他 厂商的路由器或多层交换机上也提供类似的技术 不过名称和配置方法都可能有细微的差别 CISCO路 由器中有两种常用的控制访问列表 一种是标准访问列表 另一种是扩展访问列表 随着网络技术的 发展和用户需求的变化 从IOS 12 0 开始 CISCO路由器新增加了一种基于时间的访问控制 ACL的介绍 主要包括以下几点 1 ACL使用包过滤技术 在路由器上读取第三层及第四层包头中的信息如源地址 目的地址 源端口 目的端口等 根据预选定义好的规则对包进行过滤 从而达到访问控制目的 2 ACL的主要功能就是一方面保护资源节点 组织非法用户对资源节点的访问 另一方面限 制特定的用户节点所能具备的访问权限 3 在实施ACL的过程中 应当遵循如下两个基本原则 最小特权原则 只给受控对象完成任务必须的最小权限 1 最靠近受控对象原则 所有的网络层访问权限控制尽可能离受控对象最近 2 4 ACL过滤的依据是第三层和第四层包头中的部分信息 这种技术具有一些固有的局限性 如 无法识别到具体的人 无法识别到应用内部的权限级别等 因此 要达到end to end 的权限控制 目的 需要和系统级及应用级的访问控制权限结合使用 研究的目标和主要内容 不少于 400 字 本选题基于 ACL 为主 同时搭配 NAT 和虚拟局域网技术 其中采用虚拟局域网技术和建立 ACL 列表 控制保障整个校园网络的安全运行 NAT 在合理减少合法地址需求的同时还可以隐藏内部真实的网络地 址 减低黑客入侵的成功率 使校园网运作在一个安全稳定的环境下 本选题研究内容如下 1 ACL 的发展 现状和将来 详细介绍 ACL 的概念 原理 工作流程 分类和局限性 2 详细说明 ACL 的匹配顺序 创建出一个控制访问列表的简单示例 并详细说明控制访问列表 的配置任务和放置控制访问列表的正确位置 3 配置各种类型的访问控制列表 比如基本访问控制列表 高级访问控制列表 基于接口的访 问控制列表 基于以太网 MAC 地址的访问控制列表 并完成删除控制列表的操作 4 完成时间段的控制访问列表配置 访问控制列表的显示和调试 5 简述校园网的特点及其所面临的安全问题及解决办法 6 搭建配置校园网的环境 配置校园网的控制访问列表实例 7 对配置好控制访问列表的校园网的安全性能进行测试 拟采用的研究方法 a 查找并阅读相关资料 了解基本的内容 利用需求分析文档 对整个控制访问策略有个基本的 架构 b 搜寻实验用的文件文档集和研究过程中用到的各种工具软件 c 根据已有的资料并搜寻到的各种软件工具进行分析 设计 d 采用DynamipsGUI gns3 Cisco Packet Tracer 5 3 等工具完成整个策略的编写与测试 研究工作的进度安排 2010 年 11 月 24 号 11 月 29 号 与指导老师沟通交流 完成毕业论文选题 2010 年 12 月 12 号 12 月 19 号 搜集资料 查阅文献 完成开题报告 2010 年 12 月 20 号 2011 年 1 月 1 日 完成文献综述 2011 年 1 月 2 号 1 月 15 号 定出基于 ACL 技术的校园网络安全的需求分析文档 2011 年 1 月 16 号 1 月 30 号 整理相关资料并完成概要和详细设计 2011 年 2 月 1 号 3 月 30 号 进行校园局域网的相关配置和必要性测试 2011 年 4 月 1 号 4 月 15 号 后期的联机调试和测试 2011 年 4 月 16 号 4 月 30 号 总结毕业设计的整个过程 完成毕业设计论文初稿 2011 年 5 月 1 号 5 月 30 号 修改毕业论文定稿 打印装订 参加答辩 参考文献目录 作者 书名或论文题目 出版社或刊号 出版年月日或出版期号 1 郭自龙 访问控制列表在网络管理中的应用 M 北京 清华大学出版社 2004 2 周星 张震等 网络层访问控制列表的应用 J 河南大学学报 2004 20 5 56 58 3 付国瑜 黄贤英 李刚 带入侵检测系统的网络安全研究 J 重庆工学院学报 2005 25 8 26 30 4 仇国阳 路由器的 防火 功能研究 J 苏州大学学报 工科版 2004 36 6 45 49 5 斯桃枝 姚驰甫 路由与交换技术 M 北京 北京大学出版社 2008 6 谢希仁 计算机网络 第五版 M 北京 电子工程出版社 2008 7 兰少华 杨余旺 吕建勇 TCP IP网络与协议 M 北京 清华大学出版社 2009 8 甘刚 网络设备配置与管理 M 北京 清华大学出版社 2007 9 美 Cisco System公司 Cisco Networking Academy Program 著 清华大学 北京大学 北京邮 电大学 华南理工大学思科网络学院译 思科网络技术学院教程 第一 二学期 第三版 M 北 京 人民邮电出版社 2006 指导教师意见 该生的选题基于ACL为主 建立ACL列表控制和保障整个校园网的安全运行 使校园网运作在一个 安全稳定的环境下 技术上比较新颖 难度适中 也有实用价值 工作量符合要求 同意开题同意开题 签名 年 月 日 教研室主任意见 同意指导教师意见 同意开题同意指导教师意见 同意开题 签名 年 月 日 目目 录录 摘要 1 关键词 1 前言 1 1 基本功能 原理与局限性 1 2 访问控制列表概述 2 2 1 访问控制列表的分类 3 2 2 访问控制列表的匹配顺序 3 2 3 访问控制列表的创建 3 2 4 通配符掩码 5 2 5 正确放置 ACL 6 3 访问控制列表的配置 6 3 1 访问控制列表配置 7 3 1 1 配置标准访问控制列表 7 3 1 2 配置扩展访问控制列表 7 3 1 3 配置命名访问控制列表 8 3 1 4 删除访问控制列表 9 3 2 基于时间段的访问控制列表配置 10 3 3 访问控制列表的显示和调试 11 4 校园网 ACL 配置实例 11 4 1 搭建配置环境 12 4 2 校园网 ACL 实际用例 13 5 小结 16 参考文献 16 Abstract 16 Keywords 16 致谢 17 1 基于 ACL 的校园网络安全策略 计算机科学与技术专业 指导老师 摘要 随着网络的高速发展 网络的普及也越来越平民化 在人们的学习和生活的方方面面 网络无孔不入 给人们的学习和生活带来了极大的便利 但随之而来的网络安全问题也越来越引起 人们的重视 高校校园网的安全是一个庞大的系统工程 需要全方位的防范 防范不仅是被动的 更要主动进行 本文基于 ACL 为主 建立 ACL 列表控制和保障整个校园网的安全运行 使校园网运 作在一个安全稳定的环境下 关键词 ACL 校园网 网络安全策略 访问控制列表 前言前言 自从产生了网络 随之而来的就是网络的安全问题 任何连接上网络的企业 单 位 个人都要时刻注意自己的网络安全问题 既要防止未经授权的非法数据从外部侵 入内部 Intranet 也要防止内部各主机之间的相互攻击 一旦网络瘫痪或者信息被窃取 将会带来巨大的损失 路由器作为 Intranet 和 Internet 的网间互连设备 是保证网 络安全的第一关 而在路由器上设置控制访问列表 ACL 可以很好的解决这些网络安 全问题 访问控制列表适用于所有的路由协议 通过灵活地增加访问控制列表 ACL 可 以当作一种网络控制的有力工具 一个设计良好的访问控制列表不仅可以起到控制网 络流量 流量的作用 还可以在不增加网络系统软 硬件投资的情况下完成一般软 硬件防火墙产品的功能 1 1 基本功能 原理与局限性基本功能 原理与局限性 基本原理 入站数据包进入路由器内 路由器首先判断数据包是否从可路由的源 地址而来 否的话放入数据包垃圾桶中 是的话进入下一步 路由器判断是否能在路 由选择表内找到入口 不能找到的话放入数据垃圾桶中 能找到的话进入下一步 接 下来选择路由器接口 进入接口后使用 ACL ACL 使用包过滤技术 在路由器上读取第 三层及第四层包头中的信息如源地址 目的地址 源端口 目的端口等 根据预先定 2 义好的规则对包进行过滤 从而达到访问控制的目的 其中标准控制列表只读取数据 包中的源地址信息 而扩展访问控制列表则还会读取数据包中的目的地址 源端口 目的端口和协议类型等信息 ACL 判断数据包是否符合所定义的规则 符合要求的数据 包允许其到达目的地址进入网络内部 不符合规则的则丢弃 同时通知数据包发送端 数据包未能成功通过路由器 通过 ACL 可以简单的将不符合规则要求的危险数据包拒 之门外 使其不能进入内部网络 图 1 ACL 工作原理 功能 网络中的节点资源节点和用户节点两大类 其中资源节点提供服务或数据 用户节点访问资源节点所提供的服务与数据 ACL 的主要功能就是一方面保护资源节点 阻止非法用户对资源节点的访问 另一方面限制特定的用户节点所能具备的访问权限 局限性 由于 ACL 是使用包过滤技术来实现的 过滤的依据又仅仅只是第三层和 第四层包头中的部分信息 这种技术具有一些固有的局限性 如无法识别到具体的人 无法识别到应用内部的权限级别等 因此 要达到 end to end 的权限控制目的 需要 和系统级及应用级的访问权限控制结合使用 2 2 访问控制列表概述访问控制列表概述 访问控制列表 Acess Control List ACL 是管理者加入的一系列控制数据包在 路由器中输入 输出的规则 访问控制列表是路由器接口的指令列表 用来控制端口进出的数据包 ACL 适用 3 于所有的被路由协议 如 IP IPX AppleTalk 等 在这里 只介绍 IP 协议的 ACL ACLACL 的作用的作用 1 ACL 可以限制网络流量 提高网络性能 2 ACL 提供对通信流量的控制手段 3 ACL 是提供网络安全访问的基本手段 4 ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞 2 1 访问控制列表的分类 目前有两种主要的 ACL 标准 ACL 和扩展 ACL 标准 ACL 只检查数据包的源地址 扩展 ACL 既检查数据包的源地址 也检查数据包的目的地址 同时还可以检查数据包 的特定协议类型 端口号等 IP 标准访问控制列表编号 1 99 或 1300 1999 IP 扩展访问控制列表编号 100 199 或 2000 2699 2 2 访问控制列表的匹配顺序 ACL 的执行顺序是从上往下执行 Cisco IOS 按照各描述语句在 ACL 中的顺序 根 据各描述语句的判断条件 对数据包进行检查 一旦找到了某一匹配条件 就结束比 较过程 不再检查以后的其他条件判断语句 在写 ACL 时 一定要遵循最为精确匹配的 ACL 语句一定要卸载最前面的原则 只 有这样才能保证不会出现无用的 ACL 语句 图 2 ACL 的匹配顺序 2 3 访问控制列表的创建 4 标准 ACL 命令的详细语法 1 创建 ACL 定义 例如 Router config access list 1 permit 10 0 0 0 0 255 255 255 2 应用于接口 例如 Router config if ip access group 1 out 扩展 ACL 命令的详细语法 1 创建 ACL 定义 例如 accell list101 permit host 10 1 6 6 any eq telnet 2 应用于接口 例如 Router config if ip access group 101 out 下面更详细的介绍扩展 ACL 的各个参数 Router config access list access list number permit deny protocol source source wildcard operator port destination destination wildcard operator port established log 表 1 扩展 ACL 参数描述 参数参数描述 access list number 访问控制列表表号 permit deny 如果满足条件 允许或拒绝后面指定特定地址的通信 流量 protocol 用来指定协议类型 如 IP TCP UDP ICMP 等 Source and destination 分别用来标识源地址和目的地址 source mask 通配符掩码 跟源地址相对应 destination mask 通配符掩码 跟目的地址相对应 operator lt gt eq neq 小于 大于 等于 不等于 operand 一个端口号 established 如果数据包使用一个已建立连接 便可允许 TCP 信息 通过 5 表 2 常见端口号 端口号 Port Number 20 文件传输协议 FTP 数据 21 文件传输协议 FTP 程序 23 远程登录 Telnet 25 简单邮件传输协议 SMTP 69 普通文件传送协议 TFTP 80 超文本传输协议 HTTP 53 域名服务系统 DNS 标准 ACL 与扩展 ACL 的比较 图 3 标准 ACL 与扩展 ACL 的比较 2 4 通配符掩码 通配符掩码是一个 32 位的数字字符串 0 表示 检查相应的位 1 表示 不检 查 忽略 相应的位 IP 地址掩码的作用 区分网络为和主机位 使用的是与运算 0 和任何数相乘 都得 0 1 和任何数相乘都得任何数 通配符掩码 把需要准确匹配的位设为 0 其他位为 1 进行或运算 1 或任何 数都得 1 0 或任何数都得任何数 特殊的通配符掩码 特殊的通配符掩码 1 Any 6 0 0 0 0 255 255 255 255 2 Host 172 16 30 28 0 0 0 0 Host 172 16 30 28 2 5 正确放置 ACL ACL 通过制定的规则过滤数据包 并且丢弃不希望抵达目的地址的不安全数据包 来达到控制通信流量的目的 但是网络能否有效地减少不必要的通信流量 同时达到 保护内部网络的目的 将 ACL 放置在哪个位置也十分关键 假设存在着一个简单的运行在 TCP IP 协议的网络环境 分成 4 个网络 设置一个 ACL 拒绝从网络 1 到网络 4 的访问 根据减少不必要通信流量的准则 应该把 ACL 放置 于被拒绝的网络 即网络 1 处 在本例中是图中的路由器 A 上 但如果按这个准则设 置 ACL 后会发现 不仅是网络 1 与网络 4 不能连通 网络 1 与网络 2 和 3 也都不能连 通 回忆标准 ACL 的特性就能知道 标准 ACL 只检查数据包的中的源地址部分 在本 例子中 凡是发现源地址为网络 1 网段的数据包都会被丢弃 造成了网络 1 不能与其 他网络联通的现象 由此可知 根据这个准则放置的 ACL 不能达到目的 只有将 ACL 放置在目的网络 在本例子中即是网络 4 中的路由器 D 上 才能达到禁止网络 1 访问 网络 4 的目的 由此可以得出一个结论 标准访问控制列表应尽量放置在靠近目的端 口的位置 在本例子中 如果使用扩展 ACL 来达到同样的要求 则完全可以把 ACL 放置在网 络 1 的路由器 A 上 这是因为扩展访问控制列表不仅检查数据包中的源地址 还会检 查数据包中的目的地址 源端口 目的端口等参数 放置在路由器 A 中的访问控制列 表只要检查出数据包的目的地址是指向网络 4 的网段 则会丢弃这个数据包 而检查 出数据包的目的地址是指向网络 2 和 3 的网段 则会让这个数据包通过 既满足了减 少网络通信流量的要求 又达到了阻挡某些网络访问的目的 由此 可以得出一个结 论 扩展访问控制列表应尽量放置在靠近源端口的位置 图 4 正确设置 ACL 7 编辑原则 编辑原则 标准 ACL 要尽量靠近目的端 扩展 ACL 要尽量靠近源端 3 3 访问控制列表的配置访问控制列表的配置 3 1 访问控制列表配置 3 1 1 配置标准访问控制列表 以下是标准访问列表的常用配置命令 跳过简单的路由器和 PC 的 IP 地址设置 1 配置路由器 R1 的标准访问控制列表 R1 config access list 1 deny 172 16 1 0 0 0 0 255 R1 config access list 1 permit any R1 config access list 2 permit 172 16 3 1 0 0 0 255 2 常用实验调试命令 在 PC1 网络所在的主机上 ping 2 2 2 2 应该通 在 PC2 网络所在的主机上 ping 2 2 2 2 应该不通 在主机 PC3 上 Telnet 2 2 2 2 应该成功 OutgoingOutgoing accessaccess listlist isis notnot setset InboundInbound accessaccess listlist isis 1 1 以上输出表明在接口 S2 0 的入方向应用了访问控制列表 1 3 1 2 配置扩展访问控制列表 相比基本访问控制列表 扩展访问控制列表更加复杂 不仅需要读取数据包的源 地址 还有目的地址 源端口和目的端口 8 图 5 用扩展 ACL 检查数据包 扩展访问控制列表的常见配置命令 1 配置路由器 R1 R1 config access list 100 permit tcp 172 16 1 0 0 0 0 255 host 2 2 2 2 eq www 2 常用调试命令 分别在访问路由器 R2 的 Telnet 和 WWW 服务 然后查看访问控制列表 100 R1 show ip access lists 100 Extended IP access list 100 permit tcp 172 16 1 0 0 0 0 255 host 2 2 2 2 eq www 3 1 3 配置命名访问控制列表 命名 ACL 是 IOS11 2 以后支持的新特性 命名 ACL 允许在标准 ACL 和扩展 ACL 中 使用字符串代替前面所使用的数字来表示 ACL 命名 ACL 还可以被用来从某一特定的 ACL 中删除个别的控制条目 这样可以让网络管理员方便地修改 ACL 它提供的两个主 要优点是 解决 ACL 的号码不足问题 可以自由的删除 ACL 中的一条语句 而不必删除整个 ACL 命名 ACL 的主要不足之处在于无法实现在任意位置加入新的 ACL 条目 语法为 Router config ip access list standard extended name 名字字符串要唯一 9 Router config std ext nacl permit deny ip access list test conditions permit deny ip access list test conditions no permit deny ip access list test conditions 允许或拒绝陈述前没有表号 可以用 NO 命令去除特定的陈述 Router config if ip access group name in out 在接口上激活命名 ACL 例如 ip access list extend server protect permit tcp 10 1 0 0 0 0 0 255 host 10 1 2 21 eq 1521 int vlan 2 ip access group server protect 命名 ACL 还有一个很好的优点就是可以为每个 ACL 取一个有意义的名字 便于日 后的管理和维护 最后是命名 ACL 常用配置命令 1 在路由器 R1 上配置命名的标准 ACL R1 config ip access list standard stand R1 config std nacl deny 172 16 1 0 0 0 0 255 R1 config std nacl permit any 创建名为 stand 的标准命名访问控制列表 2 在路由器 R1 上查看命名访问控制列表 R1 show ip access lists Standard IP access list 1 deny 172 16 1 0 0 0 0 255 permit any 110 match es 3 在路由器 R1 配置命名的扩展 ACL R1 config ip access list extended ext1 10 R1 config ext nacl permit tcp 172 16 1 0 0 0 0 255 host 2 2 2 2 eq www 创建名为 ext1 的命名扩展访问控制列表 4 在路由器 R1 和 R3 上查看命名访问控制列表 R1 show access lists Extended IP access list ext1 permit tcp 172 16 1 0 0 0 0 255 host 2 2 2 2 eq www 3 1 4 删除访问控制列表 删除 ACL 的方法十分简单 只需在 ACL 表号前加 NO 就可以了 例如 R2 config no access list 1 输入这个命令后 ACL 表号为 1 和 2 的 ACL 内所有的条目都会被删除 标准和扩 展的 ACL 只能删除整个 ACL 条目 不能删除个别条目 命名 ACL 与标准和扩展 ACL 不同 它可以删除个别的控制条目 例如 no permit tcp 10 0 0 0 0 0 255 255 host 10 1 2 21 eq 1521 在 permit tcp 10 0 0 0 0 0 255 255 host 10 1 2 21 eq 1521 前加 no 即可删除这条 ACL 语句条目 之后可以重新写入新的条目 3 2 基于时间段的访问控制列表配置 使用标准访问控制列表和扩展访问控制列表就可以应付大部分过滤网络数据包的 要求了 不过在实际的使用中总会有人提出一些较为苛刻的要求 这是就还需要掌握 一些关于 ACL 的高级技巧 基于时间的访问控制类别就属于高级技巧之一 基于时间的访问控制列表的用途 可能一些单位或者公司会遇到这样的情况 要求上班时间不能使用 QQ 或者浏览某 些网站 或者不能在上班时间使用某些应用 只有在下班或者周末才可以 对于这种 情况 仅仅通过发布通知不能彻底杜绝员工非法使用的问题 这时基于时间的访问控 制列表就应运而生了 基于时间的访问控制列表的格式 基于时间的访问控制列表由两部分组成 第一部分是定义时间段 第二部分是用 扩展访问控制列表定义规则 这里主要解释下定义时间段 具体格式如下 time range 时间段格式 absolute start 小时 分钟 日 月 年 end 小时 分钟 日 月 年 11 例如 time range softer absolute start 0 00 1 may 2005 end 12 00 1 june 2005 意思是定义了一个时间段 名称为 softer 并且设置了这个时间段的起始时间为 2005 年 5 月 1 日零点 结束时间为 2005 年 6 月 1 日中午 12 点 还可以定义工作日和 周末 具体要使用 periodic 命令 将在下面的配置实例中详细介绍 基于时间的 ACL 配置常用命令 R1 config time range time 定义时间范围 R1 config time range periodic weekdays 8 00 to 18 00 R1 config access list 111 permit tcp host 172 16 3 1 host 2 2 2 2 eq telnet time range time 常用实验调试命令常用实验调试命令 用 clock set 命令将系统时间调整到周一至周五的 8 00 18 00 范围内 然后在 Telnet 路由器 R1 此时可以成功 然后查看访问控制列表 111 R1 show access lists Extended IP access list 111 10 permit tcp host 172 16 3 1 host 2 2 2 2 eq telnet time range time active 用 clock set 命令将系统时间调整到 8 00 18 00 范围之外 然后 Telnet 路由器 R1 此时不可以成功 然后查看访问控制列表 111 R1 show access lists Extended IP access list 111 10 permit tcp host 172 16 3 1 host 2 2 2 2 eq telnet time range time inactive show time range 该命令用来查看定义的时间范围 R1 show time range time range entry time inactive periodic weekdays 8 00 to 18 00 used in IP ACL entry 以上输出表示在 3 条 ACL 中调用了该 time range 3 3 访问控制列表的显示和调试 12 在特权模式下 使用 show access lists 可以显示路由器上设置的所有 ACL 条目 使用 show access list acl number 则可以显示特定 ACL 号的 ACL 条目 使用 show time range 命令可以用来查看定义的时间范围 使用 clear access list counters 命令可以将访问控制列表的计数器清零 4 4 校园网校园网 ACLACL 配置实例配置实例 校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网 络设备相互连接起来 形成校园园区内部的 Intranet 系统 对外通过路由设备接入广 域网 包过滤技术和代理服务技术是当今最广泛采用的网络安全技术 也就是我们通 常称的防火墙技术 防火墙可以根据网络安全的规则设置允许经过授权的数据包进出 内部网络 同时将非法数据包挡在防火墙内外 最大限度地阻止黑客攻击 包过滤技 术以访问控制列表的形式出现 一个设计良好的校园网络访问控制列表不仅可以起到 控制网络流量 流量的作用 还可以在不增加网络系统软 硬件投资的情况下完成一 般软 硬件防火墙产品的功能 本实验通过模拟校园网环境 配置校园网路由器中的 ACL 达到模拟校园 ACL 配 置的目的 通过模拟环境的实验 还可以模拟各种网络攻击 模拟特定目的端口数据 包的发送 检验配置的 ACL 命令的可行性 4 1 搭建配置环境 校园网拓扑图如图 6 所示 图 6 校园网拓扑图 13 表 3 校园网的 VLAN 及 IP 地址规划 VLAN 号VLAN 名称IP 网段默认网关说明 VLAN1 192 168 0 0 24192 168 0 254 管理 VLAN VLAN 10JWC192 168 1 0 24192 168 1 254 教务处 VLAN VLAN 20XSSS192 168 2 0 24192 168 2 254 学生宿舍 VLAN VLAN 30CWC192 168 3 0 24192 168 3 254 财务处 VLAN VLAN 40JGSS192 168 4 0 24192 168 4 254 教工宿舍 VLAN VLAN 50ZWX192 168 5 0 24192 168 5 254 中文系 VLAN VLAN 60WYX192 168 6 0 24192 168 6 254 外语系 VLAN VLAN 70JSJX192 168 7 0 24192 168 7 254 计算机系 VLAN VLAN 100FWQQ192 168 100 0192 168 100 254 服务器群 VLAN 具体的 VLAN 设置方法及网络联通设置在这里不在冗述 重点放在 ACL 的设置上 4 2 校园网 ACL 实际用例 首先是设置校园网内部三层交换机上的 ACL 规定只有在财务处 VLAN 30 内的主机可以访问财务处 VLAN 30 其他的教学单位 部门可以互访 学生宿舍和教工宿舍 VLAN 可以互访 并且可以访问除了财务处和教务 处外的其他教学单位 所有 VLAN 都可以访问服务器群 VLAN 财务处 ACL 设置 Multilayer Switch1 config ip access list extended CWC Multilayer Switch1 config ext nacl permit tcp 192 168 3 0 0 0 0 255 any 教工宿舍 ACL 设置与学生宿舍 ACL 设置同理 在网络环境中还普遍存在着一些非常重要的 影响服务器群安全的隐患 接下来 是对连接外网的路由器添加 ACL 屏蔽简单网络管理协议 SNMP 利用这个协议 远程主机可以监视 控制网络上的其他网络设备 它有两种服务 类型 SNMP 和 SNMPTRAP R1 config ip access list extended net R1 config ext nacl deny udp any any eq 161 14 对外屏蔽远程登录协议 Telnet R1 config ext nacl deny tcp any any eq 23 对外屏蔽其他不安全的协议和服务 这样的协议主要有 SUN OS 的文件共享协议端口 2049 远程执行 rsh 远程登 录 rlogin 和远程命令 rcmd 端口 512 513 514 远程过程调用 SUNRPC 端口 111 R1 config ext nacl deny tcp any any range 512 514 防止 DoS 攻击 DoS 攻击 Denial of Service Attack 拒绝服务攻击 是一种非常常见而且极 具破坏力的攻击手段 它可以导致服务器 网络设备的正常服务进程停止 严重时会 导致服务器操作系统崩溃 R1 config ext nacl deny udp any any eq 7 R1 config int f0 0 R1 config if no ip directed broadcast 最后一行的设置禁止子网内广播 保护路由器安全 作为内网 外网间屏障的路由器 保护自身安全的重要性也是不言而喻的 为了 阻止黑客入侵路由器 必须对路由器的访问位置加以限制 应只允许来自服务器群的 IP 地址使用 Telnet 访问并配置路由器 内部其他部分的主机都不能用 Telnet 访问和 配置路由器 R1 config access list 1 permit 192 168 100 0 0 0 0 255 R1 config line vty 0 4 R1 config line access class 1 in R1 config line password cisco R1 config line enable password cisco 系统测试 当校园网环境建成后 应对校园网的整体运行情况做一下细致的测试和评估 大 15 致包含以下测试 对相同 VLAN 内通信进行测试 对不同 VLAN 内的通信进行测试 对 内部网的 ACL 进行测试 对广域网接入路由器上的 ACL 进行测试 测试相同 VLAN 内通信 添加一台财务处 VLAN30 的主机 与 VLAN30 的用 PING 命令测试联通性 PC ping 192 168 3 111 Pinging 192 168 3 111 with 32 bytes of data Reply from 192 168 3 111 bytes 32 time 47ms TTL 128 成功联通 测试不同 VLAN 间通信 1 使用 VLAN30 内的主机与学生宿舍 VLAN20 用 PING 命令测试联通性 PC ping 192 168 2 168 Pinging 192 168 2 168 with 32 bytes of data Request timed out 连接失败 证明 ACL 设置成功 2 使用学生宿舍内主机 PING 教务处主机 PC ping 192 168 1 168 Pinging 192 168 1 168 with 32 bytes of data Request timed out 连接失败 证明 ACL 设置成功 测试路由器 ACL 1 内部网络 使用服务器群 Telnet 路由器 PC telnet 192 168 0 254 Trying 192 168 0 254 Open User Access Verification Password Telnet 成功 使用其他 VLAN 主机 Telnet 路由器 PC telnet 192 168 0 254 Trying 192 168 0 254 16 Connecti