引言
ACL在校園網(wǎng)中對學(xué)生上網(wǎng)權(quán)限的控制,對教師的流量進(jìn)行限制,對各部門之間的訪問控制,還能封閉特定端口來防范病毒等,提高校園網(wǎng)的網(wǎng)絡(luò)安全性,也大大提高了網(wǎng)絡(luò)中心的管理工作效率。
在路由器或三層交換機(jī)上,通過使用訪問控制列表(ACL)來執(zhí)行數(shù)據(jù)包過濾。訪問控制列表可用來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞、限制虛擬終端的通信量或者控制路由選擇更新,限制網(wǎng)絡(luò)訪問特定的用戶和設(shè)備。
1 訪問控制列表
1.1 訪問控制列表概念
訪問控制列表(Access Control List, ACL)是應(yīng)用在路由器或有路由功能的交換機(jī)接口的指令列表。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕,可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。
1.2 常用訪問控制列表分類
1.2.1 標(biāo)準(zhǔn)IP訪問控制列表
一個標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99或從1300到1999的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。標(biāo)準(zhǔn)IP訪問控制列表檢查源地址,通常允許、拒絕的是完整的協(xié)議,如圖1.2.1;其語句格式為:
Step1:Router(config)# access-list access-list-number {permit|deny} source [mask]
Step2: Router(config-if)# ip access-group access-list-number {in | out}
其中access-list-number值為1-99 或1300-1999。
圖1.2.1
1.2.2 擴(kuò)展IP訪問控制列表
擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng),包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199或從2000到2699的訪問控制列表是擴(kuò)展IP訪問控制列表。擴(kuò)展IP訪問控制列表檢查源地址和目的地址,通常允許、拒絕的是某個特定的協(xié)議,如圖1.2.2;其語句格式為:
Step1:Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ]
Step2: Router(config-if)# ip access-group access-list-number {in | out}
其中access-list-number值為100-199或2000-2699
圖1.2.2
1.2.3 命名的IP訪問控制列表
命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表,定義過濾的語句與編號方式中相似。命名的IP訪問控制列表最大的一個優(yōu)點(diǎn)就是管理起來非常方便,如果用的是標(biāo)準(zhǔn)或擴(kuò)展的訪問控制列表,如:
access-list 7 permit 192.168.10.1
access-list 7 permit 192.168.10.5
access-list 7 permit 192.168.10.6
想刪除第二條即:access-list 7 permit 192.168.10.5 ,在標(biāo)準(zhǔn)或擴(kuò)展的訪問控制列表會把以7為編號的所有條目都刪除,管理起來不方便。因此我們引入了命名的IP訪問控制列表,其格式為:
Step1:Router(config)#ip access-list {standard|extended} name
Router(config{std-|ext-}nacl)#{permit|deny}{source[source-wildcad]|any}
Step2: Router(config-if)# ip access-group name {in | out}
此時(shí)想在下列列表中刪除deny udp 172.16.0.0 0.0.255.255 any lt 1024就不會把整條列表刪除掉了:
ip access-list extended MyACL
permit tcp 172.16.0.0 0.0.255.255 any eq 23
deny udp 172.16.0.0 0.0.255.255 any lt 1024
Router(config{ ext-}nacl)#no deny udp 172.16.0.0 0.0.255.255 any lt 1024
1.3訪問控制列表工作機(jī)制
訪問列表的編號指明了使用何種協(xié)議的訪問列表,每個端口、每個方向、每條協(xié)議只能對應(yīng)于一條訪問列表,問列表的內(nèi)容決定了數(shù)據(jù)的控制順序 ,具有嚴(yán)格限制條件的語句應(yīng)放在訪問列表所有語句的最上面,在訪問列表的最后有一條隱含聲明:deny any,因此每一條正確的訪問列表都至少應(yīng)該有一條允許語句,先創(chuàng)建訪問列表,然后應(yīng)用到端口上。
入棧應(yīng)用(in):經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾;出棧應(yīng)用(out):設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過濾。訪問列表不能過濾由路器自己產(chǎn)生的數(shù)據(jù),比如廣播、組播等。工作機(jī)制流程圖如圖1.3
圖1.3
2 ACL在校園網(wǎng)中的應(yīng)用
2.1 學(xué)生上網(wǎng)權(quán)限設(shè)置
學(xué)校機(jī)房與學(xué)生宿舍、圖書閱覽室是學(xué)生從網(wǎng)上獲取自己感興趣的信息重要場所,那么在沒有老師在旁邊監(jiān)督,怎樣才能讓學(xué)生健康地從網(wǎng)上獲取資源,并且讓他們在身心上得到健康地發(fā)展,成為了我們需要面臨的重要問題。
所謂“沒有規(guī)矩,不成方圓”,我們必須為學(xué)生們設(shè)置一個權(quán)限,讓他們“綠色上網(wǎng)”,在網(wǎng)絡(luò)上獲取信息的同時(shí)也讓他們身心得到健康地發(fā)展。
因此,在學(xué)生機(jī)房我們可以限制QQ,網(wǎng)絡(luò)BT下載,網(wǎng)絡(luò)游戲及一些不良信息網(wǎng)站;而在學(xué)生宿舍則也時(shí)段性的限制,合理開放使用時(shí)間并且網(wǎng)絡(luò)中心人員全程監(jiān)控;圖書閱覽室則應(yīng)該塔建專用的局域網(wǎng)數(shù)字信息平臺,不能讓學(xué)生訪問互聯(lián)網(wǎng)。如,學(xué)生機(jī)房里的網(wǎng)段為172.16.0.0,我們想限制學(xué)生機(jī)房里上QQ,那么可以在中心機(jī)房的核心交換機(jī)里設(shè)置ACL,下列是使用擴(kuò)展ACL對QQ限制的部分配置清單:
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.73 eq 443
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.73 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.206 eq 443
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.206 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.7 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.7 eq 443
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.38.246 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.38.247 eq www
access-list 101 permit ip any any
2.2 學(xué)校各部門之間訪問控制
在學(xué)校各部門的之間訪問控制也顯然很重要,比如溫江區(qū)東大街第二小學(xué)網(wǎng)絡(luò)訪問控制基本網(wǎng)絡(luò)架構(gòu)是:有數(shù)據(jù)網(wǎng)絡(luò)中心,兩個學(xué)生機(jī)房,其它各教師辦公室,校長辦公室,財(cái)務(wù)處。
校長和財(cái)務(wù)處的IP地址為固定,分別為10.110.6.88與10.110.6.89。其中訪問控制的規(guī)則是:不允許其它部門訪問校長辦公室,財(cái)務(wù)處只有校長辦公室可以訪問。要實(shí)現(xiàn)這些基本功能我們運(yùn)用了命名IP訪問控制列表,部分配置清單如下:
ip access-list extended denytoxiaozhang
deny ip any host 10.110.6.88
!
ip access-list extended permitxiaozhangtocaiwuchu
permit ip host 10.110.6.88 any
permit ip host 10.110.6.89 any
最后將訪問控制列表應(yīng)用于接口:
interface FastEthernet 0/11
description to-xiaozhang
switchport access vlan 6
ip access-group denytoxiaozhang in
!
interface FastEthernet 0/13
description to-caiwu
switchport access vlan 6
ip access-group permitxiaozhangtocaiwu in
2.3 封閉特定端口防范病毒
很多學(xué)校的PC和服務(wù)器的普通安全配置,是沒有能力對付zero-day型的攻擊和侵入行為的, 比如: 蠕蟲感染、黑客攻擊、木馬、后門軟件、間諜軟件(Spyware) 、網(wǎng)絡(luò)小偷(鍵盤標(biāo)記軟件)、廣告軟件(Adware)的侵入等等 。
一些網(wǎng)絡(luò)設(shè)備本身就不安全,沒有抗蠕蟲和抗黑客攻擊的能力;只有路由器和交換機(jī)這些中轉(zhuǎn)設(shè)備具有安全能力,安全問題才有可能得到解決。
因此,為了保護(hù)業(yè)務(wù)資產(chǎn)不受信息偷竊和泄密的威脅,確保應(yīng)用系統(tǒng)的可用性,客戶信息的保密,資產(chǎn)不被非法窺探,提升安全策略部署的準(zhǔn)確性和速度,高度的可視性以監(jiān)控端到端的安全,封閉一些特定的端口來有效防范病毒。
我們在網(wǎng)絡(luò)中心的核心交換機(jī)上做了ACL封閉一些特定的端口來有效防范病毒。
ip access-list extended ANTI-VIRUS
deny tcp any any eq 136
deny tcp any any eq 4444
deny tcp any any eq 27665
deny tcp any any eq 16660
deny tcp any any eq 6711
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any any eq 31335
deny udp any any eq 27444
permit ip any any
最后在連接到辦公室的網(wǎng)絡(luò)接口口上運(yùn)用ACL規(guī)則即可:
interface FastEthernet 0/13
description to-bangong
ip access-group ANTI-VIRUS in
2.4 教師合法使用IP控制
隨著信息技術(shù)在中小學(xué)校的應(yīng)用與普及,在全區(qū)推進(jìn)深入了教育現(xiàn)代化進(jìn)程,不斷提高了教師的信息素養(yǎng),教師運(yùn)用信息技術(shù)能力越來越強(qiáng),他們不斷探索新知識的欲望也在增加,對網(wǎng)絡(luò)知識也有所理解,部分老師喜歡改動IP地址或試探用網(wǎng)絡(luò)攻擊工具做攻擊試驗(yàn),這使在局域網(wǎng)內(nèi)出現(xiàn)了IP地址沖突, ARP攻擊導(dǎo)致有些老師上不了網(wǎng),甚至嚴(yán)重情況下可能導(dǎo)致整個校園網(wǎng)處于半癱瘓狀態(tài)。
下面的ACL有效限制了兩種MAC-IP綁定的ARP消息,并阻止其他任何MAC地址宣稱擁有這兩個IP的所有權(quán)。例如,現(xiàn)在兩位老師的計(jì)算機(jī)MAC地址分別為00-d0-b7-11-13-14,00-d0-00-ea-43-fc,對他們兩臺機(jī)子分別綁定IP 192.168.2.1與192.168.2.2。
綁定后只要他們改變計(jì)算機(jī)的網(wǎng)卡IP或?qū)S酶淖僊AC地址設(shè)置就會被限制轉(zhuǎn)發(fā)流量,導(dǎo)致不用正常訪問資源。 實(shí)現(xiàn)配置如下:
Switch>(enable)set security acl ip ACL-95 prmit arp-inspection host 192.168.2.1 00-d0-b7-11-13-14
Switch>(enable)set security acl ip ACL-95 deny arp-inspection host 192.168.2.1 any log
Switch>(enable)set security acl ip ACL-95 prmit arp-inspection host 192.168.2.2 00-d0-00-ea-43-fc
Switch>(enable)set security acl ip ACL-95 deny arp-inspection host 192.168.2.2 any log
Switch>(enable)set security acl ip ACL-95 prmit arp-inspection any any
Switch>(enable)set security acl ip ACL-95 prmit ip any any
Switch>(enable)commit security acl ACL-95
2.5 用ACL進(jìn)行入口/出口過濾
入口/出口過慮與通常所說的防火墻防護(hù)有所不同,是在你網(wǎng)絡(luò)的不同部分過濾掉未被使用的網(wǎng)絡(luò)過程。入口指進(jìn)入你組織機(jī)構(gòu)的流量,出口指的是離開組織機(jī)構(gòu)的流量。包括RFC 1918地址過濾、不可路由網(wǎng)絡(luò)等。目前很多組織機(jī)構(gòu)在內(nèi)部使用RFC 1918尋址,而使用NAT來訪問公共internet。保留的RFC 1918地址是:
10.0.0.0——10.255.255.255(10/8前綴)
172.16.0.0——172.31.255.255(172.16/12前綴)
192.168.0.0——192.168.255.255(192.168/16前綴)
RFC 1918過濾的基本思想是,你沒有理由從網(wǎng)絡(luò)外部看到RFC 1918尋址。所以在基本的internet設(shè)計(jì)中,你應(yīng)該在RFC 1918尋址越過你的防火墻或WAN路由器之前阻止它們。
除了RFC 1918尋址外,還有其他很多未被使用的網(wǎng)絡(luò)。如:
0.0.0.0/18——該網(wǎng)絡(luò)指的是本網(wǎng)絡(luò)上的主機(jī)。
127.0.0.0/8——該子網(wǎng)是地址127.0.0.1的主位置,即localhost,或者你的本機(jī)。
224.0.0.0/4——這是一個多播范圍。
2.6設(shè)置包過濾防止“死亡之PING”攻擊
ICMP回應(yīng)請求與ICMP回應(yīng)回復(fù)便以ping 命令的消息類型使用而聞知。ICMP回應(yīng)消息的格式具有標(biāo)準(zhǔn)的8字節(jié)的ICMP報(bào)送信息,后面的數(shù)據(jù)段長度可變,并且包含任何類型的數(shù)據(jù)。某些大小的ping數(shù)據(jù)包造成老的操作系統(tǒng)崩潰,這種攻擊被稱為“死亡之ping”。我們可以有ACL過濾這些消息,拒絕其他任何ICMP消息。
結(jié)束語
網(wǎng)絡(luò)安全是一個復(fù)雜的問題,要考慮安全層次、技術(shù)難度及經(jīng)費(fèi)支出等因素,ACL應(yīng)用于學(xué)校校園網(wǎng)是比較經(jīng)濟(jì)的做法。當(dāng)然,隨著安全技術(shù)的不斷發(fā)展,主動防御、自防御的理念、技術(shù)將貫穿到整個安全領(lǐng)域中。
因此在經(jīng)費(fèi)允許的情況下盡可能提高系統(tǒng)的安全性和可靠性;保持網(wǎng)絡(luò)原有的性能特點(diǎn),即對網(wǎng)絡(luò)協(xié)議和傳輸具有很好的透明性;易于操作、維護(hù),并便于自動化管理,而不增加或少增加附加操作;盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu), 便于系統(tǒng)結(jié)構(gòu)及功能的擴(kuò)展。
【參考文獻(xiàn)】
[1]. 魏大新、李育龍.Cisco網(wǎng)絡(luò)技術(shù)教程[M].電子工業(yè)出版社.2004
[2]. 劉曉輝.網(wǎng)絡(luò)硬件安裝與管理[M].電子工業(yè)出版社.2005
[3]. 梅森(Mason,A.G.)李逢天等譯.Cisco安全虛擬專用網(wǎng)絡(luò)[M]. 1999
[4]. 蘇金樹.Cisco網(wǎng)絡(luò)高級IP路由技術(shù)[M].機(jī)械工業(yè)出版社.1999
[5]. 余志洪.Cisco路由器配置[M].機(jī)械出版社.2000
[6]. [美] Sean Convery CCIE NO.4232 著 王迎春 謝琳 江魁 譯 網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M] 2000
![[舒華跑步機(jī)]跑步機(jī)品牌高層指導(dǎo)工作](../../2012/image/8/W444.jpg)
