ACL---毕业论文-2

2011年毕业论文：基于ACL的访问控制在园区网中的解决方案---2

 

3 ACL在园区网中的应用

诺达网络科技有限公司成立于2000年，目前主要有上海总公司和北京，南京两个分公司。北京分公司通过R1，南京分公司通过R3分别使用EIGRP协议与上海总公司的R2路由器相连，并且两个分公司只能使用总公司接入互联网。各个分公司有不同的任务，北京分公司中的S1交换机连接的是生产部，S2交换机连接的是网管区，南京分公司S3交换机连接的是财务部。服务器区直接和上海总公司R2路由器相连。为了挺高网络安全，使公司网络正常运营，提出了如下几点需求。公司网络拓扑如图3-1。

                   图3-1  诺达网络公司拓扑图

3.1 对Internet的访问需求

财务部通常在一个公司中占有核心地位，他不允许其他普通用户去访问，更不能让网上用户访问到，通常与世隔绝的，但是对于生产部和服务器区他们经常要发布一些信息和产品供公司内部以及网络用户查看，所以这些区域的部分主机必须接入到互联网，并且这些部门之间通常要互相交流。但是不是什么时候员工都可以上网的，一些员工利用上班时间偷偷聊天，做一些与工作无关的事，那是老板绝对不愿看到的。

① 禁止财务部两台主机访问Internet

access-list 1 deny   192.168.30.10    0.0.0.255

access-list 1 deny   192.168.30.128   0.0.0.255

②允许生产部所有主机访问访问Internet。

access-list 1 permit  192.168.10.0     0.0.0.255

③允许网管区所有主机访问访问Internet。

access-list 1 permit  192.168.11.0     0.0.0.255

④允许服务器区的所有主机访问访问Internet。

access-list 1 permit  192.168.20.0     0.0.0.255

⑤拒绝生产部允许网管区访问财务部

access-list 102   permit  ip  192.168.11.0 0.0.0.255 192.168.30.0 0.0.0.255

access-list 102   deny   ip  192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

access-list 102   deny   ip  any any

⑥拒绝财务部允许网管区访问生产部

access-list 103   permit  ip  192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 103   deny   ip  192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 103   deny   ip  any any

⑦限制员工上网时间为：工作日的8:00～18:00不能上网，周末的9:00~17:00可以上网。在2011年到2012年国庆节三天的9:00~17:00可以上网

time-range worktime

absolute  start  7∶00  1  October  2011 end 17∶00  3  October  2012

periodic weekday  8:00 to 18:00

periodic weekend  9:00 to 17:00

ip access-list extended web

permit  tcp   209.165.200.224  0.0.0.255  any  eq 80  time-range worktime

deny   tcp   209.165.200.224  0.0.0.255  any  eq 80

3.2  远程访问需求

对于一个公司所有的设备只有网络管理员可以去触摸和修改以及管理，它关系到一个公司网路的正常运营，牵动着公司的命脉，所以除了管理员和部分高层人员外，其他用户是绝对不能登录并修改设备上的所有配置的。黑客无处不在，使用普通的远程登录方式，有可能数据会被截获，即使网络管理员管理设备，也要使用安全的登录方式。

①网络设备只允许网管区主机可以通过TELNET登录。

access-list  2  permit  192.168.30.0  0.0.0.255 

line vty 0 4

access-class  2  in

②网络管理员可以访问所有服务器。

为了使访问控制列表在以后更加容易理解，可以在任何条目之前或之后增加一个注释。

access-list 100 remark permit the mangers to visit  all the servers

access-list 100 permit  ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

access-list 100 deny ip any any

③只有网管能使用远程桌面、TELNET、SSH等管理服务器

access-list  101 permit tcp 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 3389

access-list 101 permit tcp 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 eq telnet

access-list 101 permit  tcp 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 22

access-list 101 deny  tcp any any

3.3   网络安全需求

当人们提起病毒和攻击，不禁毛骨悚然，保证公司网络的安全，设置防病毒策略，那是必须的。对于公司的网站，也最容易受到攻击，怎样保护内部服务器的安全是头等大事，开放的端口，常常会成为黑客攻击的后门，根据公司的需求，适当开放必须的端口，关闭不用的端口。

① 端口控制

 随着计算机数量的与日俱增，网络内部各种病毒的传播和网络攻击也日趋严重，除了应该配置防火墙和对计算机安装杀毒软件外，还可以通过配置ACL列表来关闭一些常见病毒程序和网络攻击程序的端口，达到保护网络安全的目的。常见的病毒端口有135、138、139、445、539、593、4444等。

（1） 冲击波

 135端口就是用于远程的打开对方的telnet服务 ，用于启动与远程计算机的 RPC 连接，很容易就可以就侵入电脑，大名鼎鼎的“冲击波”就是利用135端口侵入的。 135的作用就是进行远程，可以在被远程的电脑中写入恶意代码，危险极大。

access-list 104 deny  udp  any  any   eq 135

access-list 104 deny  tcp   any  any   eq 135

（2） IPC$漏洞

 139 NetBIOS　File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows"文件和打印机共享"和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。IPC$漏洞使用的是139,445端口

access-list 104 deny  udp  any  any    eq 139

access-list 104  deny  tcp  any  any     eq 139

access-list 104  deny  tcp  any  any     eq 445

access-list 104  deny  udp  any  any     eq 445

（3） NetBIOS攻击

138端口的主要作用就是提供NetBIOS环境下的计算机名浏览功能。非法入侵者要是与目标主机的138端口建立连接请求的话，就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称

access-list 104 deny  udp  any  any    eq 138

access-list 104  deny  udp  any  any    eq 138

② 通过ACL预防DDOS/DOS攻击。

 Dos/DDos攻击严重的威胁着网络安全，给网络带来了巨大的灾难。攻击者往往利用协议漏洞和软件缺陷，所以我们增强计算机系统安全体系建设的同时也须加大网络安全管理力度，使用先进的防御技术及采用优秀的防御工具，对网络实施实时监控，在遭受攻击时采取一定的应对措施，定能有效的防范攻击。

扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。Show ip access-list命令能够显示每个扩展访问列表的匹配数据包，根据数据包的类型，用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求，这表明网络受到了SYN Flood攻击，这时用户就可以改变访问列表的配置，阻止DoS攻击。

access 105 permit tcp any any syn               TCP同步攻击

access 105 permit tcp any any frag              分包攻击

access 105 permit udp any any frag

access 105 permit ip any any frag

access 105 permit icmp any any  echo           ICMP PING攻击

access 105 permit icmp any any

access 105 permit tcp any any

access 105 permit udp any any

access 105 permit ip any any

将此ACL应用到一个特定的被怀疑的输入接口上，然后通过不停地输入“show access-list"来查看不同ACE的命中率，高的异常类型的命中率意味着在这个协议下的攻击类型，然后通过针对高命中率的协议类型的逐步细化（调节ACL)来定位攻击的流量类型。

③  内部Web服务器的安全

外网只能通过80端口与内部 Web Server 建立 Web 会话，仅允许已建立 TCP 会话进入，允许 ping 应答通过 R2。

ip access-list extended FIREWALL

permit tcp any host 192.168.20.254 eq www

permit tcp any any established

permit icmp any any echo-reply

deny    ip any any

④利用自反访问列表设置防病毒策略。

自反访问列表是在IP扩展访问列表的基础上，为安全特性而新增的一个功能。当内网的报文通过路由器发往外网时：

（1）如果报文为TCP 或UDP 协议类型时，将创建一条把源IP地址与目的IP地址互换、源端口号和目的端口号互换的ACL子规则；

（2）如果报文为ICMP 协议类型时，将创建一条把源IP地址与目的IP地址互换，ICMP消息类型为相应应答报文的ACL子规则。

当有报文从外网进入内网时，查找报文所对应的子规则是否存在，如果存在，则允许进入内网，如果不存在，则拒绝进入内网。也就是说，只有内网发起请求报文所对应的应答报文才可以进入内网，而外网发起的请求报文不能进入内网，从而实现了基于会话的过滤，保证了内网的安全，因此对于上面的拓扑可以定义下面这个安全策略：

自反ACL的配置分为两部分：一部分是outboard的配置，该部分决定了哪些内网网络流量是需要被访问的，另一部分是inbound，决定了这些流量在返回后能被正确的识别 并送给内网发起连接的PC机，因此我们可以定义输出方向的访问列表outboundfilters，允许OSPF路由协议报文出去，允许所有的TCP报文出去，并反射到自反访问列表tcptraffic中：

ip access-list extended outboundfilters

permit ospf any any

permit tcp any any reflect tcptraffic

定义输入方向的访问列表inboundfilters，允许OSPF路由协议报文进来，禁止ICMP报文进来，最后一条规则引用自反访问列表tcptraffic。

ip access-list extended inboundfilters

permit ospf any any

deny icmp any any

evaluate tcptraffic

当内网中的主机向外网中的服务器发起telnet连接时，与访问列表outboundfilters中的规则相匹配，执行reflect自反操作，源IP地址与目的IP地址互换，源TCP端口号与目的TCP端口号互换，将结果写入到访问列表tcptraffic中：

自反ACL不能直接应用于接口，而是“嵌套”在接口所使用的扩展命名ACL中，自反ACL仅可以在扩展命名ACL中定义，不能在编号或者标准命名ACL中定义，也不能砸其他协议中定义，自反ACL可以与其他标准或者静态扩展ACL一同使用。

由于局域网通过路由器R2上的接口S0/1/0访问Internet，因此在该接口的输入和输出方向分别绑定访问列表inboundfilters和outboundfilters：

ip access-group inboundfilters in

ip access-group outboundfilters out

此后从外网服务器发来的telnet报文就可以顺利进入内网，而其他的报文会被丢弃，因而自反ACL可以帮助保护网络免遭黑客攻击，提供一定级别的安全性，防御欺骗攻击和某些DOS攻击，自反ACL方式较难欺骗，因为允许通过的数据包需要满足更多的过滤条件并可在内嵌在防火墙防护中。

4 ACL应用测试结果

4.1 ACL配置实例及其测试结果

①禁止财务部两台主机访问Internet;允许网管区，生产部和服务器区的所有主机访问访问Internet。如图4-1

图4-1   禁止财务部允许生产部和服务器区访问Internet配置

在财务部主机上不能ping通外网的服务器，如图4-2

图4-2   财务部访问Internet的结果

在生产部和服务器区的主机上都能够ping通外网服务器，如图4-3

 

     图4-3   生产部访问Internet的结果

②拒绝生产部允许网管区访问财务部，如图4-4

图4-4   拒绝生产部允许网管区访问财务部配置

③拒绝财务部允许网管区访问生产部，如图4-5

图4-5拒绝财务部允许网管区访问生产部配置

④限制员工上网时间为：工作日的8:00～18:00不能上网，周末的9:00~17:00可以上网。在2011年到2012年国庆节三天的9:00~17:00可以上网，如图4-6

图4-6  时间访问控制配置

⑤网络设备只允许网管区主机可以通过TELNET登录。如图4-7

图4-7  允许网管TELNET配置

⑥ 网络管理员可以访问所有服务器。如图4-8

图4-8 管理员访问服务器配置

⑦只有网管能使用远程桌面、TELNET、SSH等管理服务器，如图4-9.

图4-9   远程访问配置

使用Telnet远程登录到R2，可以进行远程操作，如图 4-10

图 4-10   远程登录R2

⑧ 通过端口设置防病毒策略。

（1） 冲击波，如图4-11

图4-11   阻止冲击波攻击配置

（2）IPC$攻击，如图4-12.

图4-12   拒绝IPC$攻击配置

（3）NetBios攻击，如图4-13

图4-13   拒绝NetBios攻击配置

⑨ 通过ACL预防DDOS/DOS攻击。如图4-14，图4-15。

图4-14 拒绝 frag攻击配置

图4-15  拒绝 icmp攻击配置

⑩ 外网只能通过80端口与内部 Web Server 建立 Web 会话，仅允许已建立 TCP 会话进入，允许 ping 应答通过R2。如图4-16.

图4-16  web访问配置

4.2 自反ACL设置防病毒策略测试结果。

① 自反ACL的outbound配置，如图4-17.

图4-17    outbound配置

② 自反ACL的inbound配置，如图4-18.

图 4-18   inbound配置

5 结束语

ACL是随着网络的飞速发展,在服务质量和防火墙技术的发展中得到发展的。本文主要介绍了ACL的工作原理，列举出了几种ACL在网络当中的具体应用，这在一定程度上可以帮助网络管理人员更加灵活、方便的应对网络控制及网络安全中所出现的问题。访问控制列表是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。

企业存储系统上的敏感数据越来越多，如何保护企业系统不被非法访问?这一问题现在显得越来越重要，ACL的应用远远不只这些，他在组网中的应用是十分广泛的，例如，NAT，VPN，QOS，防火墙等等，都要用到ACL。企业用户应采用安全访问控制技术，打造行之有效的网络安全体系。但是，由于网络的复杂性，以上几种ACL只是应用在三层和四层，对于一些基于应用层的攻击却无能为力，只能借助高级ACL，如动态ACL才能做到，还需要借助于其它的技术手段和网络产品进行辅助，这样才能打造安全的网络体系，才能更好的提高网络的健壮性。

不得不指出, ACL也是一把双刃剑,在实现对数据流更精确划分的同时,也牺牲了设备的转发性能、服务质量与更高的转发性能,在硬件处理能力一定的情况下,就是此长彼消的。这也是在IP网络领域中运营商和设备供应商不得不面对的事实。ACL从技术更新到实现,还有很大的发展空间:效率更好的硬件支持,更合理、快速的硬件管理机制,更切实的应用场合。这些都将伴随IP网络发展的需求,摆在人们的面前，但是,更合理的服务质量,更切实际的ACL应用,也将会在网络的服务质量和网络安全领域展开全新的一页。

6 致谢

衷心感谢我的导师陈莉萍教授。本文的研究工作是在陈老师的细心指导下完成的，从论文的选题、研究计划的制定、技术路线的选择到系统的最后测试，各个方面都离不开陈老师热情耐心的帮助和教导。陈老师每次对我的疑问给予细心的解答并给出写作建议，并对我的论文进行细心的修改，使得我的论文结构一步一步的完善，内容日趋丰满。在本科阶段的四年来，陈老师认真的工作态度，诚信宽厚的为人处世态度，都给我留下了难以磨灭的印象，也为我今后的工作树立了优秀的榜样。

(指导教师：陈莉萍)

 

 

 

 

 

参考文献：

[1]  Karl Solie.CCIE实验指南（第一卷） [M] .北京：人民邮电出版社，1987.20-40.

[2]  Saadat Malik .网络安全原理与实践指南  [M]  .北京：人民邮电出版社，

1982.20-29．

[3]  谢希仁.计算机网络（第五版）[M] 北京：电子工业出版社，2008.180-181.

[4]  张选波，吴丽征，周金玲.设备调试与网络优化  [M]  .北京：科学出版社，2008.50-61.

[5]  Cisco Systems公司.思科网络技术学院教程[M].北京:人民邮电出版社,2004

[6]  Cisco System公司.网络核心技术内幕 [M]  .北京：北京希望电子出版社2000.87-941

[7]  Jihnson. 思科网络技术学院教程. [M] .北京：人民出版社，2009.50-61.

[8]  刘晓辉. 网络故障现场处理实践（第2版） [M]  .北京：电子工业出版社,2009.70-80.

[9]   侯整风,基于ACL的防病毒过滤策略  [C]计算机病毒与反病毒技术

[10]  交换机配置与管理完全手册  [J]上海 德又达网络通讯科技有限公司.2009.7

[11]  郭艳霞.ACL研究：[D]武汉理工大学.2009.5

[12]  现场工程师培训手册：[J]上海 上海思华科技股份有限公司.2009.6

 

The Application of the Access Control List in the Actual Network

                            XU Xiao-ming

( Grace 2007,Department of Information engineering, Weinan Teachers College)

 

Abstract：With the expansion of network scale and flow increasing, network security control and bandwidth  allocation have become an important part of network management in campus network design . ACL is namely that implements  the   functions of security filtering, packet filtering and packets marking , via matching the rules of message  and processing operation. This article mainly introduces the basic concept and function of ACL, expounds the technical theory ..As to "Norda" network technology limited company`s demand, is realized the control of Internet-remote access and network security, and so on. Every access control policy that this article involved have been tested  in the application of network,  it has proved to be valid and reliable.It can realize packet filtering better, effectively prevent illegal users access to network, meanwhile it also can control the flow

Key words：ACL；access control list； network safety.

本文转自 帅枫小明 51CTO博客，原文链接：http://blog.51cto.com/576642026/653386，如需转载请自行联系原作者