ACL配置实验报告(XDU物联网安全)

最新推荐文章于 2025-03-11 15:08:31 发布
最新推荐文章于 2025-03-11 15:08:31 发布
阅读量8k 收藏 21
点赞数 3
分类专栏: 物联网安全实验报告(XDU) 文章标签: acl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/travis_cloud/article/details/119245226
版权
本文档详细介绍了如何配置访问控制列表(ACL)以限制网络访问,包括远程登录限制、ICMP协议禁用、特定协议端口封锁等。通过实验步骤和结果分析,展示了ACL在提高网络安全性和控制网络流量方面的作用。实验涉及路由器配置、ACL规则设定及验证,加深了对ACL的理解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

个人博客地址:https://travis1024.github.io/

ACL配置实验

一、实验目的

深入理解用ACL实现访问控制的工作原理

二、实验所用仪器(或实验环境)

计算机科学与技术学院实验中心,可接入Internet网台式机44台。

三、实验基本原理及要求

拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)

<1>配置ACL 限制远程登录(telnet)到路由器的主机。

路由器R0只允许192.168.2.2 远程登录(telnet)。

<2>配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。
<3>配置ACL 禁止特点的协议端口通讯。

禁止192.168.2.2 使用www (80)端口访问192.168.1.0

禁止192.168.2.3 使用dns (53)端口访问192.168.1.0

<4>验证ACL 规则,检验并查看ACL。

四、实验步骤及实验数据记录:(要有文字描述和必要截图)

  • 网络拓扑图如下图所示,ip地址在图中已注明:
<1>配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。在上图的拓扑中就是路由器R0只允许192.18.16.2 远程登录(telnet)

首先允许192.18.16.2通过23端口(也就是telnet)访问路由器上的192.18.16.1,并且禁止其他主机通过23端口访问路由器上的192.18.16.1。最后将acl表绑定在fa 0/0上,这样就只允许192.18.16.2通过telnet访问路由器了,需要在路由器0中输入如下命令:

access-list 100 permit tcp host 192.18.16.2 host 192.18.16.1 eq 23
access-list 100 deny tcp any host 192.18.16.1 eq 23
access-list 100 permit icmp any any
interface fa0/0
ip access-group 100 in

<2>配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 在上图的拓扑中就是配置ACL 禁止192.18.15.0/24 网段的icmp 协议数据包通向与192.18.14.0/24 网段

同样我们只需要通过acl表的命令,就可以不允许192.18.15.0/24通过icmp协议ping 192.168.14.0/24,我们需要在路由器1中进行如下配置:

access-list 101 deny icmp 192.18.15.0 0.0.0.255 192.18.14.0 0.0.0.255
access-list 101 permit icmp any any
access-list 101 permit ip any any
access-list 101 permit tcp any any
interface se 0/0/0
ip access-group 101 out

<3> 配置ACL 禁止特点的协议端口通讯。

禁止192.168.2.2 使用www (80)端口访问192.168.1.0
禁止192.168.2.3 使用dns (53)端口访问192.168.1.0
在上图的拓扑中就是
禁止192.18.16.2 使用www (80)端口访问192.18.14.0
禁止192.18.16.3 使用dns (53)端口访问192.18.14.0

我们可以通过host 192.168.2.2指定特定ip的主机,设置其是否允许通过某一个端口访问某一个网段,同样的对192.168.2.3也是相同的操作,最后我们只需要将acl表绑定在路由器2和192.18.14.0/24网段的端口之上即可实现题目要求的功能。我们需要在路由器2中进行如下配置:

access-list 100 deny tcp host 192.18.16.2 192.18.14.0 0.0.0.255 eq 80
access-list 100 deny tcp host 192.18.16.3 192.18.14.0 0.0.0.255 eq 53
access-list 100 permit ip any any
access-list 100 permit tcp any any
access-list 100 permit icmp any any
interface fa0/0
ip access-group 100 out

五、实验结果分析

1) 配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。在上图的拓扑中就是路由器R0只允许192.18.16.2 远程登录(telnet),实验结果如下图所示:
①主机0可以远程登陆telnet
②主机1无法远程登陆telnet
2)配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 在上图的拓扑中就是配置ACL 禁止192.18.15.0/24 网段的icmp 协议数据包通向与192.18.14.0/24 网段
①主机2无法ping 通192.18.14.0/24 网段
3)配置ACL 禁止特点的协议端口通讯。

禁止192.168.2.2 使用www (80)端口访问192.168.1.0
禁止192.168.2.3 使用dns (53)端口访问192.168.1.0
在上图的拓扑中就是
禁止192.18.16.2 使用www (80)端口访问192.18.14.0
禁止192.18.16.3 使用dns (53)端口访问192.18.14.0

①192.18.16.2可以ping通192.18.14.2,但是无法使用www (80)端口访问192.18.14.2
②192.18.16.3可以ping通192.18.14.2,但是无法使用dns (53)端口访问192.18.14.2
  • 最后我们使用show access-list命令查看一下访问控制列表

<1>路由器R0:

<2>路由器R1:

<3>路由器R2:

六、实验总结

通过此次实验进一步加深了我对于ACL访问控制的了解,我们可以使用deny, permit对能够进行访问的ip进行限制,有利于网络的安全性,比如一个秘密的网络,可以通过ACL限制只有某些端口进来的访问才有效。通过本次的实验,我了解到如何在搭建网络的时候,限定某些ip用户才能够进行访问,受益匪浅。

七、开源地址

实验报告及代码开源地址(Github)

ACL配置实验报告
11-30
局域网上机实验ACL配置实验报告
ACL实验的总结
weixin_34214500的博客
12-09 1086
ACL实验的总结: 访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中 的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的。ACL 分很多种,不同场合应用不同种类的ACL。 1. 标准ACL 标准ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99 或 ...
实验ACL配置
最新发布
dongf2019的博客
03-11 347
存在两台三层交换机(Switch1 和 Switch2),Switch1 连接 PC1 和 PC2,Switch2 连接 PC3 和 PC4。PC1 与 PC3 处于 VLAN 10,PC2 与 PC4 处于 VLAN 20。目标是实现全网互通,同时配置基本 ACL 禁止 PC1 访问 PC3,配置扩展 ACL 禁止 PC4 ping PC2。
acl实验报告
unfeeling_的博客
01-17 909
2.PC1可以访问Tenlnet R1,不能ping R1。3.PC1不能访问Tenlnet R2,但可以ping R2。1.配置IP地址,实现全网可达。4.PC2和PC1相反。2.配置Tenlnet。
ACL配置实验
01-30
路由与交换技术实验报告ACL配置实验。 包括实验目的、实验要求、实验拓扑、具体过程、心得体会等内容。
ACL概念及基本配置实验
a2788656708的博客
12-23 8263
什么是ACL? 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 为什么使用ACLACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络容
XDU编译原理 实验报告.docx DBMS的设计与实现
07-15
在本次实验报告中,我们主要关注的是数据库管理系统(DBMS)的设计与实现,这涉及到编译原理中的词法分析、语法分析以及解释执行等核心概念。实验的目标是创建一个能够处理基本SQL语句的DBMS原型,这些语句包括创建...
XDU 软工专业嵌入式方向 嵌入式操作系统 实验报告+截图
08-10
包含实验报告实验结果截图 实验内容分别为 实验1: 任务的基本管理 实验2:优先级反转 实验3:优先级继承 实验4:哲学家就餐问题的实现 实验5:µC/OS-II的内存管理 实验6:掌握嵌入式实时操作系统µC/OS中中断的...
西电网信院人工智能实验_XDU_SCE_AI.zip
09-28
由于未提供具体的文件内容,本回答将围绕“西电网信院人工智能实验”这一主题进行知识生成,而不涉及具体实验的操作细节。 人工智能作为当今科技领域的热点,已经成为推动社会进步和经济发展的重要力量。它通过模拟...
XDU部分计网实验资料
07-22
XDU部分计网实验资料,可以提前看看
西安电子科技大学计算机组实验(计算机科学、大数据、物联网).zip
10-28
西安电子科技大学计算机组实验相关的文件可能包含了一系列实验教学资源,例如课程讲义、实验指导书、实验报告模板、实验相关的数据集以及源代码等。这些资源对于学生来说是宝贵的,因为它们不仅帮助学生理解理论知识...
网络工程基础实验报告-扩展ACL配置
07-05
网络工程基础实验报告-扩展ACL配置的基本配置
物联网安全与隐私实验报告
05-25
七分实验报告加最后的复习资料
物联网安全_实验9 信息保密性、完整性和不可抵赖性的综合应用.doc
06-23
1、PGP概述 PGP(Pretty Good Privacy)的创始人是美国的Phil Zimmermann(菲利普•齐默曼),他在1991年把 RSA 公钥体系的方便和传统加密体系的高速度结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计。因此 PGP 成为几乎最流行的公匙加密软件包。PGP有不同的实现,如GnuPG和Gpg4win,其中GnuPG(Gnu Private Guard,简写为GPG)的核心算法是PGP,GnuPG本身是为Linux等开源操作系统设计的;而Gpg4win是windows下GnuGPG及图形前端的合集安装包,其核心为GnuPG,包括:(1)Kleopatra和GPA:GPG的密钥管理器,用于生成、导入和导出GPG密钥(包括公钥和私钥);(2)GpgOL:Outlook 的GPG支持插件;(3)GpgEX:资源管理器的GPG支持插件;(4)Claws Mail:内置GPG支持的邮件客户端。 PGP是一个基于RSA公钥加密体系的加密软件,是开源且免费的,后经互联网志愿者发展完善并广泛应用,具有如下特点:(1)选择最可用的加密算法作为系统的构造模块,所用算法已被广泛检验过,相当安全;并将这些算法集成到一个通用的应用程序中,该程序独立于操作系统和处理器,并且基于一个使用方便的小命令集;(2)是一个开源项目,程序、文档在Internet上公开;(3)可以免费得到运行于多种平台上的PGP版本,具有广泛的可用性;(4)不由任一政府或标准化组织所控制,使得PGP得到了广泛信任;(5)与商业公司(Network Associates)合作,提供一个全面兼容的、低价位的商业版本PGP。2010年6月被赛门铁克公司收购。由于这些特点,使得PGP得到了广泛的应用。 PGP常用的版本是PGP Desktop Professional,它可以用来加密文件,可以用来对邮件保密以防止非授权者阅读,还能对邮件加上数字签名从而使收信人可以确认邮件的发送者,并能确信邮件没有被篡改。同时,通过使用公钥密码算法,可以提供一种事先并不需要任何保密的渠道用来传递密匙的安全通讯方式。PGP功能强大,而且具有很快的速度,PGP提供的主要功能如表1.7.1所示。 表1.7.1 PGP的功能概述 功能 使用的算法 描述 消息加密 IDEA、CAST、3DES、TwoFish、ElGamal、RSA 发信人产生一次性会话密钥加密,用IDEA或CAST-128或3DES算法对消息进行加密;采用ElGamal或RSA算法用接收方的公钥加密会话密钥 数字签名 DSS/SHA-1、RSA/MD5 采用SHA-1或MD5消息摘要算法计算消息的摘要值(散列码),用发送者的私钥按DSS或RSA算法加密消息摘要 压缩 PKZIP 消息在传送和存储时可使用PKZIP压缩 E-mail兼容性 Radix-64 对E-mail应用提供透明性,采用基数64编码将加密后的消息(二进制流)转换为ASCII字符串 数据分段 - 为了适应最大消息长度限制,PGP执行分段和重新组装 2、PGP的密钥管理 PGP是一种混合密码系统,应用了多个密码算法,包括对称密码算法、非对称密码算法、消息摘要算法、数字签名等经典的密码学算法。为用户生成密钥对之后,可以进行邮件的加密、签名、解密和认证。在PGP中使用的加密算法和用途如表1.7.2所示。 表1.7.2 PGP中采用的各种密码算法及用途 密钥名 加密算法 用途 会话密钥 IDEA、AES 对传送消息的加解密,随机生成,一次性使用 公钥 RSA、Diffie-Hellman 对会话密钥加密,收信人和发信人共用 私钥 DSS/SHA、RSA/SHA 对消息的杂凑值加密以形成签名,发信人专用 口令 IDEA 对私钥加密以存储于发送端 从上表可以看出,PGP使用了四种类型的密钥:一次性会话传统密钥、公钥、私钥和基于口令短语的传统密钥/通行字短语。 会话密钥按ANSI X9.17标准,采用IDEA算法,以密文反馈模式(CFB)生成。当PGP用RSA算法为用户生成一个新的公钥/私钥对时,PGP会要求用户提供一个口令短语,对该短语使用MD5/SHA-1消息摘要算法生成一个散列码后,销毁该短语,从而把用户输入的口令短语转化为IDEA/CAST-128密钥,再使用这个密钥加密私钥,然后销毁这个散列码,并将加密后的私钥存储到私钥环中。当用户要访问私钥环中的私钥时,必须提供口令短语。PGP将取出加密后的私钥,生成散列码,解密私钥。 一个用户可能拥有多个公钥/私钥对,正确识别加密会话密钥和签名所用的特定公钥/私钥对的一个最简单的解决方案是将公钥和消息一起传送。但这种方式浪费了不必要的空间。PGP采用的解决方案是给每个公钥分配一个密钥标识(KeyID),并以极大的概率与用户标识(UserID)一一对应,即UserID和KeyID标识一个密钥。密钥标识至少为64位,因而密钥标识重复的可能性非常小。 PGP提供一种系统化的密钥管理方案来存储和组织这些密钥以保证有效使用这些密钥,它为每个节点(用户机器)提供一对数据结构,一个用于存放本节点自身的公钥/私钥对(即私钥环),另一个用于存放本节点知道的其他用户的公钥(即公钥环)。私钥环信息:时间戳、KeyID、公钥、私钥、UserID,其中UserID通常是用户的邮件地址。也可以是一个名字,可以重名;公钥环信息:时间戳、KeyID、公钥、对所有者信任度、用户ID、密钥合法度、签名、对签名者信任度,其中UserID为公钥的拥有者。多个UserID可以对应一个公钥。公钥环可以用UserID或KeyID索引。 如何保证用户公钥环上的公钥确实是指定实体的合法公钥,这是一个至关重要的问题。PGP提供几种可选的方案以减少用户公钥环中包含错误公钥的可能性:(1)物理上得到对方的公钥。这种方式最可靠,但有一定局限性;(2)通过电话验证公钥;(3)从双方都信任的第三方(个体或CA)处获得对方的公钥。 此外,PGP支持密钥管理服务器,用户可以将公钥发布在集中的密钥服务器上,供他人访问。 3、PGP的消息处理过程 PGP消息分成原始消息、签名部分和会话密钥部分三个部分。 PGP发送方处理消息的过程为:(1)签名:利用UserID作为索引,从私钥环中得到私钥;PGP提示输入口令短语,恢复私钥;构造签名部分;(2)加密:PGP产生一个会话密钥,并加密消息;PGP用接收者UserID从公钥环中获取其公钥;构造消息的会话密钥部分。 PGP接收方处理消息的过程为:(1)解密消息:PGP用消息的会话密钥部分中的KeyID作为索引,从私钥环中获取私钥;PGP提示输入口令短语,恢复私钥;PGP恢复会话密钥,并解密消息;(2)验证消息:PGP用消息的签名部分中的KeyID作为索引,从公钥环中获取发送者的公钥;PGP恢复被传输过来的消息摘要;PGP对于接收到的消息计算摘要,并与上一步的结果作比较。 4、PGP的信任模型 由于PGP重在广泛地在正式或非正式环境下的应用,所以它没有建立严格的公钥管理模式。尽管PGP没有包含任何建立认证权威机构或建立信任体系的规范,但它提供了一个利用信任关系的方法,将信任关系与公钥联系起来。PGP定义了与基于X.509真实的公钥基础设施(PKI)不同的证书模型,即所谓“信任网(Web of Trust)”模型。传统PKI模型依赖于CA层次体系验证证书和其中的密钥。而PGP模型则允许多重地、独立地而非特殊可信个体签署的“名字/密钥”关联来证明证书的有效性,其理论是认为“只要有足够的签名,<名字/密钥>关联就是可信的,因为不会所有的签名者都是‘坏’的”。PGP的信任网就像人际关系网一样,通过下述方式让使用公钥的人相信公钥是其所声称的持有者:(1)直接来自所信任人的公钥;(2)由所信赖的人为某个自己并不认识的人签署的公钥。因此,在PGP中得到一个公钥后,检验其签名,如果签名人自己认识并信赖他,就认为此公钥可用或合法。这样,通过所认识并信赖的人,就可以和总多不认识的人实现PGP的安全E-mail通信。 具体而言,在PGP中是通过在公钥环中的下述3个字段来实现Web of Trust信任模型的:(1)密钥合法性字段(key legitimacy field):指示用户公钥合法性的可信等级。信任级别越高,则用户标识UserID与密钥间的绑定关系就越强。这个字段是由PGP计算的;(2)签名信任字段(signature trust field):每一个公钥项都有一个或者多个签名,这是公钥环主人收集到的、能够认证该公钥项的签名。每一个签名与一个signature trust field关联,指示PGP用户信任签名者对此公钥证明的程度。key legitimacy field 是由多个signeture trust field 导出的;(3)所有者信任字段(owner trust field):指示此公钥对其他公钥证书进行签名的信任程度。这个信任程度是由用户给出的。 PGP使用以个人为中心的信任模型,采取一种“社会信任链”的方式进行公钥分发。在这种方式下,用户可以自行决定对周围的联系人是否信任,并可以决定信任度的高低。用户只接收信任的朋友传送来的公钥,并且这些公钥都带有签名。这种方式反映了社会交往的本质,比较适合一般场合下的安全通信。 本实验通过实际操作,了解PGP/GPG4Win软件的常用功能,利用PGP/GPG4Win软件实现密钥管理、对文件和电子邮件的签名与加密等操作。
ACL实验报告
weixin_33749242的博客
12-15 911
1.1 实验任务 在网络中配置访问控制列表 1.2 实验环境和网络拓扑 1.3 完成标准 按照拓扑图连接网络,在R1的Fa1/1接口配置访问控制列表,使得PC1可以Ping通PC2,而PC2不能Ping通PC1。 2.详细操作步骤 Step 1: 连通网络 (1) 配置PC1、PC2的IP和网关;配置R1和R2的接口IP和路...
高级ACL配置实验报告
xuezha_liang的博客
03-31 1816
高级ACL配置实验报告 高级ACL配置 需求描述 -允许Client 1访问 Server 1的web服务 -允许Client 1访问网络192.168.3.0 /24 -禁止Client 1 访问其它网络 操作步骤: 一、使用eNSP搭建实验环境 二、配置Client 1、Server1、PC 1 1、配置Client 1 2、配置Server 1 3、配置PC 1 三、配置路由器 1、配置路由器AR 1 2、配置路由器AR 2 3、配置路...
ACL实验报告
m0_64449718的博客
12-26 2119
【R1】 [r1]int g0/0/0 [r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [r1]int g 0/0/1 [r1-GigabitEthernet0/0/1]ip add 192.168.2.1 24 [r1]dis ip int b 【PC1】 [PC1]int g 0/0/0 [PC1-GigabitEthernet0/0/0]ip add 192.168.1.2 24 [PC1]ip route-stati......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值