引言
ACL在校園網中對學生上網權限的控制�,對教師的流量進行限制��,對各部門之間的訪問控制,還能封閉特定端口來防范病毒等,提高校園網的網絡安全性,也大大提高了網絡中心的管理工作效率�。
在路由器或三層交換機上��,通過使用訪問控制列表(ACL)來執行數據包過濾�。訪問控制列表可用來控制網絡上數據包的傳遞�、限制虛擬終端的通信量或者控制路由選擇更新��,限制網絡訪問特定的用戶和設備��。
1 訪問控制列表
1.1 訪問控制列表概念
訪問控制列表(Access Control List, ACL)是應用在路由器或有路由功能的交換機接口的指令列表。這些指令列表用來告訴路由器哪能些數據包可以收�����、哪能數據包需要拒絕����。至于數據包是被接收還是拒絕,可以由類似于源地址��、目的地址�、端口號等的特定指示條件來決定。
1.2 常用訪問控制列表分類
1.2.1 標準IP訪問控制列表
一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分�����,可對匹配的包采取拒絕或允許兩個操作�����。編號范圍是從1到99或從1300到1999的訪問控制列表是標準IP訪問控制列表���。標準IP訪問控制列表檢查源地址��,通常允許、拒絕的是完整的協議�����,如圖1.2.1;其語句格式為:
Step1:Router(config)# access-list access-list-number {permit|deny} source [mask]
Step2: Router(config-if)# ip access-group access-list-number {in | out}
其中access-list-number值為1-99 或1300-1999�����。
圖1.2.1
1.2.2 擴展IP訪問控制列表
擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項,包括協議類型、源地址���、目的地址��、源端口、目的端口����、建立連接的和IP優先級等����。編號范圍是從100到199或從2000到2699的訪問控制列表是擴展IP訪問控制列表��。擴展IP訪問控制列表檢查源地址和目的地址����,通常允許�、拒絕的是某個特定的協議,如圖1.2.2;其語句格式為:
Step1:Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ]
Step2: Router(config-if)# ip access-group access-list-number {in | out}
其中access-list-number值為100-199或2000-2699
圖1.2.2
1.2.3 命名的IP訪問控制列表
命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表�,同樣包括標準和擴展兩種列表�����,定義過濾的語句與編號方式中相似。命名的IP訪問控制列表最大的一個優點就是管理起來非常方便���,如果用的是標準或擴展的訪問控制列表,如:
access-list 7 permit 192.168.10.1
access-list 7 permit 192.168.10.5
access-list 7 permit 192.168.10.6
想刪除第二條即:access-list 7 permit 192.168.10.5 �����,在標準或擴展的訪問控制列表會把以7為編號的所有條目都刪除����,管理起來不方便��。因此我們引入了命名的IP訪問控制列表�����,其格式為:
Step1:Router(config)#ip access-list {standard|extended} name
Router(config{std-|ext-}nacl)#{permit|deny}{source[source-wildcad]|any}
Step2: Router(config-if)# ip access-group name {in | out}
此時想在下列列表中刪除deny udp 172.16.0.0 0.0.255.255 any lt 1024就不會把整條列表刪除掉了:
ip access-list extended MyACL
permit tcp 172.16.0.0 0.0.255.255 any eq 23
deny udp 172.16.0.0 0.0.255.255 any lt 1024
Router(config{ ext-}nacl)#no deny udp 172.16.0.0 0.0.255.255 any lt 1024
1.3訪問控制列表工作機制
訪問列表的編號指明了使用何種協議的訪問列表,每個端口、每個方向�����、每條協議只能對應于一條訪問列表�����,問列表的內容決定了數據的控制順序 �,具有嚴格限制條件的語句應放在訪問列表所有語句的最上面��,在訪問列表的最后有一條隱含聲明:deny any�,因此每一條正確的訪問列表都至少應該有一條允許語句����,先創建訪問列表,然后應用到端口上。
入棧應用(in):經某接口進入設備內部的數據包進行安全規則過濾;出棧應用(out):設備從某接口向外發送數據時進行安全規則過濾����。訪問列表不能過濾由路器自己產生的數據�����,比如廣播、組播等。工作機制流程圖如圖1.3
圖1.3
2 ACL在校園網中的應用
2.1 學生上網權限設置
學校機房與學生宿舍�、圖書閱覽室是學生從網上獲取自己感興趣的信息重要場所,那么在沒有老師在旁邊監督�����,怎樣才能讓學生健康地從網上獲取資源��,并且讓他們在身心上得到健康地發展����,成為了我們需要面臨的重要問題��。
所謂“沒有規矩�����,不成方圓”�,我們必須為學生們設置一個權限����,讓他們“綠色上網”,在網絡上獲取信息的同時也讓他們身心得到健康地發展。
因此���,在學生機房我們可以限制QQ,網絡BT下載,網絡游戲及一些不良信息網站;而在學生宿舍則也時段性的限制�,合理開放使用時間并且網絡中心人員全程監控;圖書閱覽室則應該塔建專用的局域網數字信息平臺����,不能讓學生訪問互聯網����。如,學生機房里的網段為172.16.0.0,我們想限制學生機房里上QQ,那么可以在中心機房的核心交換機里設置ACL,下列是使用擴展ACL對QQ限制的部分配置清單:
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.73 eq 443
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.73 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.206 eq 443
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.206 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.7 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.7 eq 443
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.38.246 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.38.247 eq www
access-list 101 permit ip any any
2.2 學校各部門之間訪問控制
在學校各部門的之間訪問控制也顯然很重要�����,比如溫江區東大街第二小學網絡訪問控制基本網絡架構是:有數據網絡中心��,兩個學生機房,其它各教師辦公室���,校長辦公室,財務處�����。
校長和財務處的IP地址為固定���,分別為10.110.6.88與10.110.6.89��。其中訪問控制的規則是:不允許其它部門訪問校長辦公室��,財務處只有校長辦公室可以訪問。要實現這些基本功能我們運用了命名IP訪問控制列表��,部分配置清單如下:
ip access-list extended denytoxiaozhang
deny ip any host 10.110.6.88
!
ip access-list extended permitxiaozhangtocaiwuchu
permit ip host 10.110.6.88 any
permit ip host 10.110.6.89 any
最后將訪問控制列表應用于接口:
interface FastEthernet 0/11
description to-xiaozhang
switchport access vlan 6
ip access-group denytoxiaozhang in
!
interface FastEthernet 0/13
description to-caiwu
switchport access vlan 6
ip access-group permitxiaozhangtocaiwu in
2.3 封閉特定端口防范病毒
很多學校的PC和服務器的普通安全配置,是沒有能力對付zero-day型的攻擊和侵入行為的, 比如: 蠕蟲感染��、黑客攻擊����、木馬���、后門軟件�、間諜軟件(Spyware) 、網絡小偷(鍵盤標記軟件)�、廣告軟件(Adware)的侵入等等 �����。
一些網絡設備本身就不安全,沒有抗蠕蟲和抗黑客攻擊的能力;只有路由器和交換機這些中轉設備具有安全能力,安全問題才有可能得到解決。
因此��,為了保護業務資產不受信息偷竊和泄密的威脅���,確保應用系統的可用性�,客戶信息的保密�����,資產不被非法窺探���,提升安全策略部署的準確性和速度��,高度的可視性以監控端到端的安全,封閉一些特定的端口來有效防范病毒�。
我們在網絡中心的核心交換機上做了ACL封閉一些特定的端口來有效防范病毒����。
ip access-list extended ANTI-VIRUS
deny tcp any any eq 136
deny tcp any any eq 4444
deny tcp any any eq 27665
deny tcp any any eq 16660
deny tcp any any eq 6711
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any any eq 31335
deny udp any any eq 27444
permit ip any any
最后在連接到辦公室的網絡接口口上運用ACL規則即可:
interface FastEthernet 0/13
description to-bangong
ip access-group ANTI-VIRUS in
2.4 教師合法使用IP控制
隨著信息技術在中小學校的應用與普及�,在全區推進深入了教育現代化進程,不斷提高了教師的信息素養,教師運用信息技術能力越來越強�,他們不斷探索新知識的欲望也在增加���,對網絡知識也有所理解����,部分老師喜歡改動IP地址或試探用網絡攻擊工具做攻擊試驗,這使在局域網內出現了IP地址沖突���, ARP攻擊導致有些老師上不了網,甚至嚴重情況下可能導致整個校園網處于半癱瘓狀態�。
下面的ACL有效限制了兩種MAC-IP綁定的ARP消息�,并阻止其他任何MAC地址宣稱擁有這兩個IP的所有權����。例如,現在兩位老師的計算機MAC地址分別為00-d0-b7-11-13-14���,00-d0-00-ea-43-fc,對他們兩臺機子分別綁定IP 192.168.2.1與192.168.2.2�����。
綁定后只要他們改變計算機的網卡IP或專用改變MAC地址設置就會被限制轉發流量�,導致不用正常訪問資源��。 實現配置如下:
Switch>(enable)set security acl ip ACL-95 prmit arp-inspection host 192.168.2.1 00-d0-b7-11-13-14
Switch>(enable)set security acl ip ACL-95 deny arp-inspection host 192.168.2.1 any log
Switch>(enable)set security acl ip ACL-95 prmit arp-inspection host 192.168.2.2 00-d0-00-ea-43-fc
Switch>(enable)set security acl ip ACL-95 deny arp-inspection host 192.168.2.2 any log
Switch>(enable)set security acl ip ACL-95 prmit arp-inspection any any
Switch>(enable)set security acl ip ACL-95 prmit ip any any
Switch>(enable)commit security acl ACL-95
2.5 用ACL進行入口/出口過濾
入口/出口過慮與通常所說的防火墻防護有所不同�����,是在你網絡的不同部分過濾掉未被使用的網絡過程。入口指進入你組織機構的流量,出口指的是離開組織機構的流量。包括RFC 1918地址過濾����、不可路由網絡等��。目前很多組織機構在內部使用RFC 1918尋址,而使用NAT來訪問公共internet。保留的RFC 1918地址是:
10.0.0.0——10.255.255.255(10/8前綴)
172.16.0.0——172.31.255.255(172.16/12前綴)
192.168.0.0——192.168.255.255(192.168/16前綴)
RFC 1918過濾的基本思想是�,你沒有理由從網絡外部看到RFC 1918尋址�����。所以在基本的internet設計中,你應該在RFC 1918尋址越過你的防火墻或WAN路由器之前阻止它們。
除了RFC 1918尋址外,還有其他很多未被使用的網絡。如:
0.0.0.0/18——該網絡指的是本網絡上的主機���。
127.0.0.0/8——該子網是地址127.0.0.1的主位置,即localhost,或者你的本機。
224.0.0.0/4——這是一個多播范圍�����。
2.6設置包過濾防止“死亡之PING”攻擊
ICMP回應請求與ICMP回應回復便以ping 命令的消息類型使用而聞知��。ICMP回應消息的格式具有標準的8字節的ICMP報送信息����,后面的數據段長度可變�����,并且包含任何類型的數據。某些大小的ping數據包造成老的操作系統崩潰��,這種攻擊被稱為“死亡之ping”�。我們可以有ACL過濾這些消息,拒絕其他任何ICMP消息����。
結束語
網絡安全是一個復雜的問題�����,要考慮安全層次、技術難度及經費支出等因素,ACL應用于學校校園網是比較經濟的做法���。當然,隨著安全技術的不斷發展��,主動防御��、自防御的理念����、技術將貫穿到整個安全領域中。
因此在經費允許的情況下盡可能提高系統的安全性和可靠性;保持網絡原有的性能特點��,即對網絡協議和傳輸具有很好的透明性;易于操作�����、維護�,并便于自動化管理�����,而不增加或少增加附加操作;盡量不影響原網絡拓撲結構, 便于系統結構及功能的擴展����。
【參考文獻】
[1]. 魏大新�、李育龍.Cisco網絡技術教程[M].電子工業出版社.2004
[2]. 劉曉輝.網絡硬件安裝與管理[M].電子工業出版社.2005
[3]. 梅森(Mason,A.G.)李逢天等譯.Cisco安全虛擬專用網絡[M]. 1999
[4]. 蘇金樹.Cisco網絡高級IP路由技術[M].機械工業出版社.1999
[5]. 余志洪.Cisco路由器配置[M].機械出版社.2000
[6]. [美] Sean Convery CCIE NO.4232 著 王迎春 謝琳 江魁 譯 網絡安全體系結構[M] 2000
![[舒華跑步機]跑步機品牌高層指導工作](../../2012/image/8/W444.jpg)
