ACL在計算機實驗室的應(yīng)用與研究

1、ACL在計算機實驗室的應(yīng)用與研究摘要：訪問控制列表ACL（access-control-list）在網(wǎng)絡(luò)安全方面發(fā)揮著重要的作用，能夠靈活地對進入或離開路由器接口的分組進行過濾，這有助于控制網(wǎng)絡(luò)流量，限制某些用戶或設(shè)備訪問網(wǎng)絡(luò)。本文介紹了訪問控制列表的工作流程和使用規(guī)范，并結(jié)合實驗室網(wǎng)絡(luò)通過配置ACL策略來提高實驗室的網(wǎng)絡(luò)安全。關(guān)鍵詞：訪問控制列表；ACL；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理現(xiàn)代的網(wǎng)絡(luò)通過使用路由技術(shù)，正在不斷地把不同種類的網(wǎng)絡(luò)連接起來，也帶來了很多負面影響。因此我們需要一種簡單有效的方法來管理這個網(wǎng)絡(luò)的數(shù)據(jù)流量。最簡單、方便且易于理解和使用的，就是訪問控制列表。訪問控制列表可以允許或者拒絕數(shù)

2、據(jù)包通過路由器，從而達到對數(shù)據(jù)包進行過濾的目的。通過這種對數(shù)據(jù)流進行控制的手段，可以有效保護敏感的設(shè)備或者數(shù)據(jù)，使它們不受到未經(jīng)驗證的訪問的攻擊，實現(xiàn)一定的安全策略。1.訪問控制列表訪問控制列表簡稱為ACL，它使用數(shù)據(jù)包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預先定義好的規(guī)則對數(shù)據(jù)包進行過濾，從而達到訪問控制的目的。1.1 訪問控制列表的工作流程由于訪問控制列表是用來過濾數(shù)據(jù)流量的技術(shù)，所以它一定是被放置在接口上使用的。同時，由于在接口上數(shù)據(jù)流量是有進接口（in）和出接口（out）兩個方向的，所以在接口上使用訪問控制列表也有進（in）和出（

3、out）兩個方向。進方向的訪問控制列表負責過濾進入接口的數(shù)據(jù)流量，出方向的訪問控制列表負責過濾從接口發(fā)出的數(shù)據(jù)流量。對于路由器的接口來說，在同一個接口上，每種被路由協(xié)議的訪問控制列表（如IP協(xié)議的訪問控制列表、IPX協(xié)議的訪問控制列表，等等）都可以配置兩個，一個是進方向的（in），一個是出方向的（out）。進方向的和出方向的訪問控制列表的工作流程如圖1-1和圖1-2所示。1.2定義訪問控制列表時所應(yīng)遵循的規(guī)范 訪問控制列表的列表號指出了是哪種協(xié)議的訪問控制列表。 一個訪問控制列表的配置是沒協(xié)議、沒接口、沒方向的。 訪問控制列表的語句順序決定了對數(shù)據(jù)包的控制順序。 最有限制性的語句應(yīng)該放在訪問控

4、制列表語句的首行。 在將訪問控制列表應(yīng)用到接口之前，一定要先建立訪問控制列表。 訪問控制列表的語句不能被逐條地刪除，只能一次性地刪除整個訪問控制列表。 在訪問控制列表的最后，有一條隱含的全部拒絕的命令，所以在訪問控制列表里一定至少要有一條允許的語句。 訪問控制列表只能過濾穿過路由器的數(shù)據(jù)流量，不能過濾路由器本身發(fā)出的數(shù)據(jù)包。2.訪問控制列表在網(wǎng)絡(luò)管理的應(yīng)用圖2是誠毅學院機房網(wǎng)絡(luò)拓撲圖，路由器使用以太網(wǎng)接口E0連接到學院的服務(wù)器機房（網(wǎng)段為/24），使用以太網(wǎng)端口E1連接到學生實驗室（網(wǎng)段為/24/24），使用以太網(wǎng)端口E2

5、連接到教師辦公室（網(wǎng)段為/24），使用串口S0連接到校園網(wǎng)。WWW服務(wù)器是提供給學生學習使用的，該服務(wù)器部署了兩個網(wǎng)上自主學習系統(tǒng)，一個是計算機教學網(wǎng)絡(luò)自主學習平臺，一個是外研社大學英語教學管理平臺；Ftp服務(wù)器主要是提供給學院教師存放辦公資料的。因此，我們針對該網(wǎng)絡(luò)，利用ACL技術(shù)構(gòu)建以下的網(wǎng)絡(luò)安全策略。2.1 禁止局域網(wǎng)病毒傳播雖然我們可以禁止某些病毒使用的端口來阻止病毒傳播，不過即使再科學的訪問控制列表規(guī)則也可能會因為未知病毒的傳播而無效，畢竟未知病毒使用的端口是我們無法估計的，而且隨著防范病毒數(shù)量的增多會造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡(luò)訪問的速度

6、。因此，我們可以通過反向ACL來解決以上問題。學生實驗室所在網(wǎng)段(/24)有電腦中毒，為了防止病毒傳播到服務(wù)器所在網(wǎng)段（/24）,配置的ACL命令如下：access-list 101 permit tcp 55 eq wwwaccess-list 101 permit tcp 55 55 establishedinterface e0 進入E0端口ip access-group 101

7、out設(shè)置完畢后病毒就不會輕易的從傳播到的服務(wù)器區(qū)了。因為病毒要想傳播都是主動進行TCP連接的，由于路由器上采用反向ACL禁止了網(wǎng)段的TCP主動連接，因此病毒無法順利傳播。同時也保證學生實驗室的電腦可以正常訪問WWW服務(wù)。2.2 保護路由器安全2.2.1 屏蔽簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡(luò)上的其他網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。access-list 101 deny udp any any eq snmpaccess-list 101 deny udp any

8、 any eq snmptrapaccess-list 101 permit ip any any2.2.2 對外屏蔽遠程登錄協(xié)議Telnetaccess-list 101 deny tcp any 55 eq 23 2.3通過ACL監(jiān)控網(wǎng)絡(luò)流量為了能實時監(jiān)控服務(wù)器機房網(wǎng)絡(luò)的使用情況，我們可以有效的記錄ACL流量信息，第一時間的了解訪問服務(wù)器的網(wǎng)絡(luò)流量以及病毒的傳播方式。如何保存訪問控制列表的流量信息，我們可以在擴展ACL規(guī)則最后加上LOG命令。實現(xiàn)方法：log 0 為路由器指定一個日志服務(wù)器地址，該地址為

9、0access-list 101 permit tcp any eq www log 在希望監(jiān)測的擴展ACL最后加上LOG命令，這樣就會把滿足該條件的信息保存到指定的日志服務(wù)器0中。如果在擴展ACL最后加上log-input，則不僅會保存流量信息，還會將數(shù)據(jù)包通過的端口信息也進行保存。使用LOG記錄了滿足訪問控制列表規(guī)則的數(shù)據(jù)流量就可以完整的查詢整個網(wǎng)絡(luò)哪個地方流量大，哪個地方有病毒了。因此更加有效的保障服務(wù)器的正常運行。3.結(jié)語ACL通過對網(wǎng)絡(luò)數(shù)據(jù)流量的控制，過濾掉有害的數(shù)據(jù)包，達到執(zhí)行安全策略的目的，成為實現(xiàn)防火墻的重要手段，

10、加強了實驗室的網(wǎng)絡(luò)安全。但是ACL是使用包過濾技術(shù)來實現(xiàn)的，運用不當可能造成網(wǎng)絡(luò)資源的浪費，降低網(wǎng)絡(luò)效率。因此，必須結(jié)合網(wǎng)絡(luò)的實際情況，正確配置ACL策略，既保護了網(wǎng)絡(luò)安全，又提高網(wǎng)絡(luò)性能。參考文獻:【1】Steve McQuerry，CCIE #6108CCNA 自學指南：Cisco 網(wǎng)絡(luò)設(shè)備互聯(lián)（第二版）（M）北京: 人民郵電出版社，2004.【2】 (美)Douglas Jacobson著.網(wǎng)絡(luò)安全基礎(chǔ)(M).北京：電子工業(yè)出版社，2011.【3】魏大新，李青龍,強振海Cisco網(wǎng)絡(luò)工程案例精粹（M）北京：電子工業(yè)出版社，2007.【4】 William Stallings著. 網(wǎng)絡(luò)安全基礎(chǔ)：應(yīng)用與標準(M).北京：清華大學出版社，2011.【5】 (美) Odom WMcDonald. R.思科網(wǎng)絡(luò)技術(shù)學院教程CCNA 2路由器與路由基礎(chǔ)（M）. 北京: 人民郵電出版社