基于A(yíng)CL的校園網(wǎng)絡(luò)安全策略

1、基于acl的校園網(wǎng)絡(luò)安全策略扌商要隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的普及也越來(lái)越平民化，在人們的學(xué)習(xí)和生活的方方面面， 網(wǎng)絡(luò)無(wú)孔不入，給人們的學(xué)習(xí)和生活帶來(lái)了極人的便利，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越引起 人們的重視。高校校園網(wǎng)的安全是一個(gè)龐大的系統(tǒng)工程，需要全方位的防范。防范不僅是被動(dòng)的， 更要主動(dòng)進(jìn)行。本文慕于acl為主，建立acl列表控制和保障整個(gè)校園網(wǎng)的安全運(yùn)行，使校園網(wǎng)運(yùn) 作在一個(gè)安全穩(wěn)定的環(huán)境下。關(guān)鍵詞acl；校園網(wǎng)；網(wǎng)絡(luò)安全策略；訪(fǎng)問(wèn)控制列表 q 刖言自從產(chǎn)生了網(wǎng)絡(luò)，隨乞而來(lái)的就是網(wǎng)絡(luò)的安全問(wèn)題。任何連接上網(wǎng)絡(luò)的企業(yè)、單位、 個(gè)人都要時(shí)刻注意門(mén)己的網(wǎng)絡(luò)安全問(wèn)題。既要防止未經(jīng)授權(quán)的非法數(shù)

2、據(jù)從外部侵入內(nèi)部 intranet,也要防止內(nèi)部各主機(jī)之間的相互攻擊，一旦網(wǎng)絡(luò)癱瘓或者信息被竊取，將會(huì) 帶來(lái)巨大的損失。路由器作為intranet和internet的網(wǎng)間互連設(shè)備，是保證網(wǎng)絡(luò)安全 的第一關(guān)，而在路由器上設(shè)置控制訪(fǎng)問(wèn)列表（acl）可以很好的解決這些網(wǎng)絡(luò)安全問(wèn)題。 訪(fǎng)問(wèn)控制列表適用丁所有的路由協(xié)議，通過(guò)靈活地增加訪(fǎng)問(wèn)控制列表，acl可以當(dāng)作一 種網(wǎng)絡(luò)控制的有力工具。一個(gè)設(shè)計(jì)良好的訪(fǎng)問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流 量的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn) 品的功能。1基本功能、原理與局限性基本原理：入站數(shù)據(jù)包進(jìn)入路由器內(nèi)，路由器首先判斷數(shù)據(jù)

3、包是否從可路由的源地 址而來(lái)，否的話(huà)放入數(shù)據(jù)包垃圾桶中，是的話(huà)進(jìn)入下一步；路由器判斷是否能在路由選 擇表內(nèi)找到入口，不能找到的話(huà)放入數(shù)據(jù)垃圾桶屮，能找到的話(huà)進(jìn)入下一步。接下來(lái)選 擇路由器接口，進(jìn)入接口后使用acl。acl使用包過(guò)濾技術(shù)，在路由器上讀取第三層及 第四層包頭屮的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī) 則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪(fǎng)問(wèn)控制的目的。其中標(biāo)準(zhǔn)控制列表只讀取數(shù)據(jù)包中的源 地址信息，而擴(kuò)展訪(fǎng)問(wèn)控制列表則還會(huì)讀取數(shù)據(jù)包中的廿的地址、源端口、目的端口和協(xié)議類(lèi)型等信息。acl判斷數(shù)據(jù)包是否符合所定義的規(guī)則，符合耍求的數(shù)據(jù)包允許其到 達(dá)目的地址進(jìn)入網(wǎng)絡(luò)內(nèi)部，不符合

4、規(guī)則的則丟棄，同時(shí)通知數(shù)據(jù)包發(fā)送端，數(shù)據(jù)包未能 成功通過(guò)路由器。通過(guò)acl,可以簡(jiǎn)單的將不符合規(guī)則要求的危險(xiǎn)數(shù)據(jù)包拒之門(mén)外，使功能：網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶(hù)節(jié)點(diǎn)兩人類(lèi)，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)， 用戶(hù)節(jié)點(diǎn)訪(fǎng)問(wèn)資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。acl的主要功能就是一方面保護(hù)資源節(jié)點(diǎn), 阻止非法用戶(hù)對(duì)資源節(jié)點(diǎn)的訪(fǎng)問(wèn)，另一方面限制特定的用戶(hù)節(jié)點(diǎn)所能具備的訪(fǎng)問(wèn)權(quán)限。局限性：由于acl是使用包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第 四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無(wú)法識(shí)別到具體的人，無(wú) 法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要達(dá)到end to end的權(quán)限控制目的，需要和 系

5、統(tǒng)級(jí)及應(yīng)用級(jí)的訪(fǎng)問(wèn)權(quán)限控制結(jié)合使用。2訪(fǎng)問(wèn)控制列表概述訪(fǎng)問(wèn)控制列表(acess control ij st, acl)是管理者加入的一系列控制數(shù)據(jù)包在 路由器屮輸入、輸出的規(guī)則訪(fǎng)問(wèn)控制列表是路由器接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。acl適用于 所有的被路由協(xié)議,如ip、ipx、appletalk等。在這里，只介紹ip協(xié)議的acl。acl的作用1. acl可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。2. acl提供對(duì)通信流量的控制手段。3. acl是提供網(wǎng)絡(luò)安全訪(fǎng)問(wèn)的基木手段。4. acl可以在路由器端口處決定哪種類(lèi)型的通信流量被轉(zhuǎn)發(fā)或被阻塞。2.1訪(fǎng)問(wèn)控制列表的分類(lèi)目而有兩種主耍的acl：標(biāo)準(zhǔn)ac

6、l和擴(kuò)展acl。標(biāo)準(zhǔn)acl只檢杳數(shù)據(jù)包的源地址； 擴(kuò)展acl既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的廿的地址，同時(shí)還口j以檢查數(shù)據(jù)包的 特定協(xié)議類(lèi)型、端口號(hào)等。 ip標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表編號(hào):199或13001999 ip擴(kuò)展訪(fǎng)問(wèn)控制列表編號(hào)：100199或200026992.2訪(fǎng)問(wèn)控制列表的匹配順序acl的執(zhí)行順序是從上往下執(zhí)行，cisco i0s按照各描述語(yǔ)句在acl中的順序，根 據(jù)各描述語(yǔ)句的判斷條件，對(duì)數(shù)據(jù)包進(jìn)行檢查。一旦找到了某一匹配條件，就結(jié)束比較 過(guò)程，不再檢查以后的其他條件判斷語(yǔ)句。在寫(xiě)acl時(shí)，一定要遵循最為精確匹配的acl語(yǔ)句一定要卸載最前而的原則，只有 這樣才能保證不會(huì)出現(xiàn)無(wú)用的

7、acl語(yǔ)句黑莒壽毀蠢翟細(xì)12.3訪(fǎng)問(wèn)控制列表的創(chuàng)建標(biāo)準(zhǔn)acl命令的詳細(xì)語(yǔ)法1.創(chuàng)建acl定義例如：router (config) #access-list 1 permit 10. 0. 0. 0 0. 255. 255. 2552應(yīng)用于接口例如:router (conf i gi f) #ip access-group 1 out擴(kuò)展acl命令的詳細(xì)語(yǔ)法1. 創(chuàng)建acl定義例如:accell-listlol permit host 10. 1. 6. 6 any eq telnet2 應(yīng)用于接口例如：router (conf ig-if) #ip access-group 101 out下面

8、更詳細(xì)的介紹擴(kuò)展acl的各個(gè)參數(shù)：router (config)# access-list access-list-numberperm it | deny protocol source sourc e -wi 1 dcard opera tor portdestination des t ina t ionwi 1 dcard opera tor port established log表1擴(kuò)展acl參數(shù)描述參數(shù)參數(shù)描述access-ist-number訪(fǎng)問(wèn)控制列表表號(hào)permit deny如果滿(mǎn)足條件，允許或拒絕后面指定特定地址的通信流量protocol用來(lái)指定協(xié)議類(lèi)型,如ip、tcp、

9、udp、icmp等sourceand分別用來(lái)標(biāo)識(shí)源地址和目的地址destinationsource-mask通配符掩碼，跟源地址相對(duì)應(yīng)destination-mask通配符掩碼，跟目的地址相對(duì)應(yīng)operatorit, gt, eq, neq（小于,大于,等于,不等于）operand一個(gè)端口號(hào)established如果數(shù)據(jù)包使用一個(gè)已建立連接，便可允許tcp信息通過(guò)表2常見(jiàn)端口號(hào)端口號(hào)(port number)20文件傳輸協(xié)議（ftp）數(shù)據(jù)21文件傳輸協(xié)議（ftp）程序23遠(yuǎn)程登錄（telnet）25簡(jiǎn)單郵件傳輸協(xié)議（smtp）69普通文件傳送協(xié)議（tftp）80超文本傳輸協(xié)議（http）53域

10、名服務(wù)系統(tǒng)（dns）標(biāo)準(zhǔn)acl與擴(kuò)展acl的比較:標(biāo)準(zhǔn)(standard)擴(kuò)展 (extended)過(guò)濾基于源(filters based onsource.)過(guò)濾基于源和口的(filters based on source and destination.)允許或拒絕整個(gè)協(xié)議族(permit or deny entire tcp/ip protocol suite.)允許或拒絕特定的ip協(xié)議或端口(specifies a specific ip protocol and port number.)范圉(1-99)range is 1 through 99范圍(100-199)range is

11、 100 through 199.圖3標(biāo)準(zhǔn)acl與擴(kuò)展acl的比較2. 4通配符掩碼通配符掩碼是一-個(gè)32位的數(shù)字字符串，0表示“檢查相應(yīng)的位”，1表示“不檢查 （忽略）相應(yīng)的位”。ip地址掩碼的作用：區(qū)分網(wǎng)絡(luò)為和主機(jī)位，使用的是與運(yùn)算。0和任何數(shù)相乘都 得0, 1和任何數(shù)相乘都得任何數(shù)。通配符掩碼：把需要準(zhǔn)確匹配的位設(shè)為0,其他位為1,進(jìn)行或運(yùn)算。1或任何 數(shù)都得1, 0或任何數(shù)都得任何數(shù)。特殊的通配符掩碼：1. any0. 0. 0. 0 255. 255. 255. 255 2. host172. 16. 30. 28 0. 0. 0. 0host 172. 16. 30. 282. 5

12、正確放置aclacl通過(guò)制定的規(guī)則過(guò)濾數(shù)據(jù)包，并口丟棄不希望抵達(dá)目的地址的不安全數(shù)據(jù)包來(lái) 達(dá)到控制通信流量的目的。但是網(wǎng)絡(luò)能否冇效地減少不必要的通信流量，同時(shí)達(dá)到保護(hù) 內(nèi)部網(wǎng)絡(luò)的目的，將acl放置在哪個(gè)位置也十分關(guān)鍵。假設(shè)存在著一個(gè)簡(jiǎn)單的運(yùn)行在tcp/tp協(xié)議的網(wǎng)絡(luò)環(huán)境，分成4個(gè)網(wǎng)絡(luò)，設(shè)置一個(gè) acl拒絕從網(wǎng)絡(luò)1到網(wǎng)絡(luò)4的訪(fǎng)問(wèn)。根據(jù)減少不必要通信流量的準(zhǔn)則，應(yīng)該把a(bǔ)cl放置 于被拒絕的網(wǎng)絡(luò)，即網(wǎng)絡(luò)1處，在本例中是圖中的路由器a上。但如果按這個(gè)準(zhǔn)則設(shè)置 acl后會(huì)發(fā)現(xiàn)，不僅是網(wǎng)絡(luò)1與網(wǎng)絡(luò)4不能連通，網(wǎng)絡(luò)1與網(wǎng)絡(luò)2和3也都不能連通。 回憶標(biāo)準(zhǔn)acl的特性就能知道，標(biāo)準(zhǔn)acl只檢查數(shù)據(jù)包的中的源地址

13、部分，在本例了中, 凡是發(fā)現(xiàn)源地址為網(wǎng)絡(luò)1網(wǎng)段的數(shù)據(jù)包都會(huì)被丟棄，造成了網(wǎng)絡(luò)1不能與其他網(wǎng)絡(luò)聯(lián)通 的現(xiàn)象。由此可知，根據(jù)這個(gè)準(zhǔn)則放置的acl不能達(dá)到口的，只有將acl放置在口的網(wǎng) 絡(luò)，在本例子中即是網(wǎng)絡(luò)4中的路由器d上，才能達(dá)到禁止網(wǎng)絡(luò)1訪(fǎng)問(wèn)網(wǎng)絡(luò)4的目的。 由此可以得出一個(gè)結(jié)論，標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表應(yīng)盡量放置在靠近目的端口的位置。在本例了中，如果使用擴(kuò)展acl來(lái)達(dá)到同樣的要求，則完全可以把a(bǔ)cl放置在網(wǎng)絡(luò) 1的路由器a上。這是因?yàn)閿U(kuò)展訪(fǎng)問(wèn)控制列表不僅檢查數(shù)據(jù)包中的源地址，還會(huì)檢查數(shù) 據(jù)包中的目的地址、源端口、目的端口等參數(shù)。放置在路由器a中的訪(fǎng)問(wèn)控制列表只要 檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡(luò)4的網(wǎng)

14、段，則會(huì)丟棄這個(gè)數(shù)據(jù)包，而檢查岀數(shù)據(jù)包 的目的地址是指向網(wǎng)絡(luò)2和3的網(wǎng)段，則會(huì)讓這個(gè)數(shù)據(jù)包通過(guò)。既滿(mǎn)足了減少網(wǎng)絡(luò)通信 流量的要求，又達(dá)到了阻擋某些網(wǎng)絡(luò)訪(fǎng)問(wèn)的目的。由此，可以得出一個(gè)結(jié)論，擴(kuò)展訪(fǎng)問(wèn) 控制列表應(yīng)盡量放置在靠近源端口的位置。routerarouterbroutercrouterd圖4正確設(shè)置acl編輯原則: 標(biāo)準(zhǔn)acl要盡量靠近目的端擴(kuò)展acl要盡量靠近源端3訪(fǎng)問(wèn)控制列表的配置3.1訪(fǎng)問(wèn)控制列表配置3. 1. 1配置標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表以下是標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表的常用配置命令。跳過(guò)簡(jiǎn)單的路由器和pc的ip地址設(shè)置1. 配置路由器r1的標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表r1 (config)#access-list

15、 1 deny 172. 16. 1. 0 0. 0. 0. 255r1 (co nf ig)#eicccss - lis t 1 perm it anyr1 (config)#access-list 2 permit 172. 16. 3. 1 0. 0. 0. 2552. 常用實(shí)驗(yàn)調(diào)試命令在pci網(wǎng)絡(luò)所在的主機(jī)上ping 2. 2. 2. 2,應(yīng)該通，在pc2網(wǎng)絡(luò)所在的主機(jī)上ping2. 2. 2. 2,應(yīng)該不通,在主機(jī)pc3上telnet 2. 2. 2. 2,應(yīng)該成功。outgoing access list is not setinbound access list is 1以上輸出

16、表明在接口 s2/0的入方向應(yīng)用了訪(fǎng)問(wèn)控制列表lo3.1.2配置擴(kuò)展訪(fǎng)問(wèn)控制列表相比基木訪(fǎng)問(wèn)控制列表，擴(kuò)展訪(fǎng)問(wèn)控制列表更加復(fù)雜，不僅需要讀取數(shù)據(jù)包的源地?cái)U(kuò)展訪(fǎng)問(wèn)控制列表的常見(jiàn)配置命令。1 配置路由器r1r1 (config)#access-list 100 permit top 172. 16. 1. 0 0. 0. 0. 255 host 2. 2. 2. 2 eq www2.常用調(diào)試命令分別在訪(fǎng)問(wèn)路由器r2的telnet和www服務(wù)，然后查看訪(fǎng)問(wèn)控制列表100：rlttshow ip acccss-lists 100extended tp access list 100permit tcp

17、 172. 16. 1. 0 0. 0. 0. 255 host 2. 2. 2. 2 eq www3.1.3配置命名訪(fǎng)問(wèn)控制列表命名acl是i0s11. 2以后支持的新特性。命名acl允許在標(biāo)準(zhǔn)acl和擴(kuò)展acl中使 用字符串代替前面所使用的數(shù)字來(lái)表示acl,命名acl還可以被用來(lái)從某一特定的acl 屮刪除個(gè)別的控制條口，這樣可以讓網(wǎng)絡(luò)管理員方便地修改acl。它提供的兩個(gè)主要優(yōu) 點(diǎn)是： 解決acl的號(hào)碼不足問(wèn)題； 可以門(mén)由的刪除acl中的一條語(yǔ)句，而不必刪除整個(gè)aclo命名acl的主要不足之處在于無(wú)法實(shí)現(xiàn)在任意位置加入新的acl條目。語(yǔ)法為：router(config)#ip access-

18、list standard | extended name名字字符串要唯一router(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions 允許或拒絕陳述前沒(méi)冇表號(hào)可以用“no”命令去除特定的陳述router (conf ig-if)# ip access-group name in | out 在接口上激活命名acl例如：

19、ip access-list extend server- protectpermit tep 10. 1. 0. 0 0. 0. 0. 255 host 10. 1. 2. 21 eq 1521int vian 2ip access-group server- protect命名acl還冇一個(gè)很好的優(yōu)點(diǎn)就是可以為每個(gè)acl取一個(gè)有意義的名字，便于日后 的管理和維護(hù)。最后是命名acl常用配置命令。1在路由器r1上配置命名的標(biāo)準(zhǔn)aclr1 (config)ttip acccss-list standard standr1 (config-std-nacl)#deny 172. 16. 1. 0

20、0. 0. 0. 255r1(config-std-nacl)fipermit any創(chuàng)建名為stand的標(biāo)準(zhǔn)命名訪(fǎng)問(wèn)控制列表2在路由器r1上查看命名訪(fǎng)問(wèn)控制列表rlttshow ip acccss-listsstandard tp access list 1deny 172. 16. 1. 0 0. 0. 0. 255permit any (110 match(es)3在路由器r1配置命名的擴(kuò)展aclr1(config)#ip access-list extended extlr1 (config-ext-nacl)#permit tep 172. 16. 1. 0 0. 0. 0. 255

21、 host 2. 2. 2. 2 eq www 創(chuàng)建名為extl的命名擴(kuò)展訪(fǎng)問(wèn)控制列表4在路由器r1和r3上查看命名訪(fǎng)問(wèn)控制列表rlttshow acccss-listsextended tp access list extlpermit tep 172. 16. 1. 0 0. 0. 0. 255 host 2. 2. 2. 2 eq www3.1.4刪除訪(fǎng)問(wèn)控制列表刪除acl的方法十分簡(jiǎn)單，只需在acl表號(hào)前加“n0”就可以了，例如:r2(config)#no acccss-list 1輸入這個(gè)命令后，acl表號(hào)為1和2的acl內(nèi)所有的條目都會(huì)被刪除。標(biāo)準(zhǔn)和擴(kuò)展 的acl只能刪除整個(gè)acl

22、條h ,不能刪除個(gè)別條h。命名acl與標(biāo)準(zhǔn)和擴(kuò)展acl不同，它可以刪除個(gè)別的控制條口。例如：no permit tcp 10. 0. 0. 0 0. 0. 255. 255 host 10. 1. 2. 21 eq 1521在"permit tcp 10. 0. 0. 0 0. 0. 255. 255 host 10. 1. 2. 21 eq 1521” 前加 “no” 即可刪除這條acl語(yǔ)句條目，之后可以重新寫(xiě)入新的條目3. 2基于時(shí)間段的訪(fǎng)問(wèn)控制列表配置使用標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表和擴(kuò)展訪(fǎng)問(wèn)控制列表就可以應(yīng)付大部分過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包的 要求了。不過(guò)在實(shí)際的使用中總會(huì)有人提出一些較為苛刻的要求

23、，這是就還需要掌握一 些關(guān)于acl的高級(jí)技巧?；跁r(shí)間的訪(fǎng)問(wèn)控制類(lèi)別就屬于高級(jí)技巧之一。基于時(shí)間的訪(fǎng)問(wèn)控制列表的用途：可能一些單位或者公司會(huì)遇到這樣的情況，要求上班時(shí)間不能使用qq或者瀏覽某 些網(wǎng)站，或者不能在上班時(shí)間使用某些應(yīng)用，只冇在下班或者周末才可以。對(duì)于這種情 況，僅僅通過(guò)發(fā)布通知不能徹底杜絕員工非法使用的問(wèn)題，這時(shí)基于時(shí)間的訪(fǎng)問(wèn)控制列 表就應(yīng)運(yùn)而生了。基于時(shí)間的訪(fǎng)問(wèn)控制列表的格式；基于時(shí)間的訪(fǎng)問(wèn)控制列表由兩部分組成，第一部分是定義時(shí)間段，第二部分是用擴(kuò) 展訪(fǎng)問(wèn)控制列表定義規(guī)則。這里主要解釋下定義時(shí)間段，具體格式如下：t i me-rangc時(shí)間段格式absolute start 小時(shí)

24、：分鐘f1月年end小時(shí)：分鐘f1月年 例如：time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定義了一個(gè)時(shí)間段，名稱(chēng)為softer,并且設(shè)置了這個(gè)時(shí)間段的起始時(shí)間為 2005年5月1日零點(diǎn)，結(jié)束時(shí)間為2005年6月1 口中午12點(diǎn)。還可以定義工作日和周 末，具體要使用periodic命令。將在下面的配置實(shí)例中詳細(xì)介紹。基于時(shí)間的acl配置常用命令r1 (config)#timerange time /定義時(shí)間范圍r1(config-time-range)aperiodic weekdays 8:00

25、 to 18:00r1 (config)#acccsslist 111 permit tcp host host 2. 2. 2. 2 eqtelnet timc-rangc time常用實(shí)驗(yàn)調(diào)試命令 用“clock set”命令將系統(tǒng)時(shí)間調(diào)整到周一至周五的8： 00-18： 00范圍內(nèi)， 然后在telnet路由器r1,此時(shí)可以成功，然后查看訪(fǎng)問(wèn)控制列表111：rl#show access-listsextcnded ip access list 11110 perm it top host 172. 16. 3. 1 host 2. 2. 2. 2 eq t elne

26、t t ime-remge time (active) 用“clock set”命令將系統(tǒng)時(shí)間調(diào)整到8： 00-18： 00范圍之外,然后telnet 路由器r1,此時(shí)不可以成功，然后查看訪(fǎng)問(wèn)控制列表111：rl#show access-listsextended ip access list 11110 permit tep host host 2. 2. 2. 2 eq telnet time-range time (inactive) show time-：range：該命令用來(lái)查看定義的時(shí)間范圍。rl#show time_rangetime-range entry

27、: time (inactive)periodic weekdays 8:00 to 18:00used in: ip acl entry以上輸出表示在3條acl中調(diào)用了該time-rangeo3.3訪(fǎng)問(wèn)控制列表的顯示和調(diào)試在特權(quán)模式下，使用“show access-lists ”可以顯示路由器上設(shè)置的所有acl條目；使用"show access-list acl number”則可以顯示特定acl號(hào)的acl條目；使用"show time-rangev命令可以用來(lái)查看定義的時(shí)間范圍；使用"clear access-1 ist countersv命令可以將訪(fǎng)問(wèn)控制列

28、表的計(jì)數(shù)器清零。4校園網(wǎng)acl配置實(shí)例校園網(wǎng)建設(shè)的目標(biāo)簡(jiǎn)而言z是將校園內(nèi)各種不同應(yīng)用的信息資源通過(guò)高性能的網(wǎng) 絡(luò)設(shè)備相互連接起來(lái)，形成校園園區(qū)內(nèi)部的intranet系統(tǒng)，對(duì)外通過(guò)路出設(shè)備接入廣域網(wǎng)。包過(guò)濾技術(shù)和代理服務(wù)技術(shù)是當(dāng)今最廣泛采用的網(wǎng)絡(luò)安全技術(shù)，也就是我們通常 稱(chēng)的防火墻技術(shù)。防火墻口j以根據(jù)網(wǎng)絡(luò)安全的規(guī)則設(shè)置允許經(jīng)過(guò)授權(quán)的數(shù)據(jù)包進(jìn)出內(nèi)部 網(wǎng)絡(luò)，同吋將非法數(shù)據(jù)包擋在防火墻內(nèi)外，最大限度地阻止黑客攻擊。包過(guò)濾技術(shù)以訪(fǎng) 問(wèn)控制列表的形式出現(xiàn)，一個(gè)設(shè)計(jì)良好的校園網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò) 流量、流量的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、碩件投資的情況下完成一般軟、碩件 防火墻產(chǎn)品的功能

29、。本實(shí)驗(yàn)通過(guò)模擬校園網(wǎng)環(huán)境，配置校園網(wǎng)路出器中的acl,達(dá)到模擬校園acl配置 的口的。通過(guò)模擬環(huán)境的實(shí)驗(yàn)，還可以模擬各種網(wǎng)絡(luò)攻擊，模擬特定口的端口數(shù)據(jù)包的 發(fā)送，檢驗(yàn)配置的acl命令的可行性。4.1搭建配置環(huán)境校園網(wǎng)拓?fù)鋱D如圖6所示表3校園網(wǎng)的vlan及ip地址規(guī)劃vlan 號(hào)vlan名稱(chēng)ip網(wǎng)段默認(rèn)網(wǎng)關(guān)說(shuō)明vlan1192. 16&0. 0/24192. 168.0. 254管理vlanvlan 10jwc192. 168. 1.0/24192. 168. 1.254教務(wù)處vlanvlan 20xsss192. 168. 2. 0/24192. 168.2.254學(xué)生宿舍vlanv

30、lan 30cwc192. 168. 3. 0/24192. 168. 3. 254財(cái)務(wù)處vlanvlan 40jgss192. 168. 4. 0/24192. 168. 4. 254教工宿舍vlanvlan 50zwx192. 16& 5. 0/24192. 168. 5.254中文系vlanvlan 60wyx192. 168. 6. 0/24192. 168. 6. 254外語(yǔ)系vlanvlan 70jsjx192. 168. 7. 0/24192. 168. 7.254計(jì)算機(jī)系vlanvlan 100fwqq192. 168. 100. 0192. 168. 100. 254

31、服務(wù)器群vlan具體的vlan設(shè)置方法及網(wǎng)絡(luò)聯(lián)通設(shè)置在這里不在兀述，重點(diǎn)放在acl的設(shè)置上。4. 2校園網(wǎng)acl實(shí)際用例首先是設(shè)置校園網(wǎng)內(nèi)部三層交換機(jī)上的acl。規(guī)定只冇在財(cái)務(wù)處vl心30內(nèi)的主機(jī)可以訪(fǎng)問(wèn)財(cái)務(wù)處vlan 30,其他的教學(xué)單位部 門(mén)可以互訪(fǎng)；學(xué)生宿舍和教工宿舍vlan可以互訪(fǎng)，并且可以訪(fǎng)問(wèn)除了財(cái)務(wù)處和教務(wù)處 外的其他教學(xué)單位。所有vlan都可以訪(fǎng)問(wèn)服務(wù)器群vlan。財(cái)務(wù)處acl設(shè)置multilayer switch1 (config)#ip access-list cxtcndcd cwcmulti layer switchl(config-ext-nacl)#permit to

32、p 192. 168. 30 55 any 教工宿舍acl設(shè)置與學(xué)生宿舍acl設(shè)置同理在網(wǎng)絡(luò)環(huán)境屮述普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。接下來(lái)是 對(duì)連接外網(wǎng)的路由器添加aclo屏蔽簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(snmp)利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其他網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類(lèi) 型：snmp 和 snmptrapor1 (config)#ip access-list extended netr1 (config-cxt-nacl)#deny udp any any eq 161對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnetr1 (config-ext-nacl)#deny tc

33、p any any eq 23對(duì)外屏蔽其他不安全的協(xié)議和服務(wù)這樣的協(xié)議主要有sun os的文件共享協(xié)議端口 2049,遠(yuǎn)程執(zhí)行(rsh)、遠(yuǎn)程登 錄(rlogin)和遠(yuǎn)程命令(rcmd)端口 512、513、514,遠(yuǎn)程過(guò)程調(diào)用(sunrpc)端口 lllor1 (config-ext-nacl)#deny tcp any any range 512 514防止dos攻擊dos攻擊(denial of service attack,拒絕服務(wù)攻擊)是一種非常常見(jiàn)而且極具 破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致 服務(wù)器操作系統(tǒng)崩潰。r1 (config-ext

34、-nacl)#deny udp any any eq 7r1 (config)#int f0/0r1 (config-if)#no ip directed-broadcast最后一行的設(shè)置禁止子網(wǎng)內(nèi)廣播保護(hù)路由器安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)門(mén)身安全的重要性也是不言而喻的。為了阻 止黑客入侵路出器，必須對(duì)路由器的訪(fǎng)問(wèn)位置加以限制。應(yīng)只允許來(lái)自服務(wù)器群的tp 地址使用telnet訪(fǎng)問(wèn)并配置路由器，內(nèi)部其他部分的主機(jī)都不能用telnet訪(fǎng)問(wèn)和配置 路由器。r1 (config)#access-list 1 permit 192. 16& 100. 0 0. 0. 0. 255r1 (config)#linc vty 0 4r1(config-line)#access-class 1 i nr1 (c