论文部分内容阅读
【摘要】ACL(即访问控制列表)是解决和提高网络安全性的方法之一,它是一种对经过路由器的数据流进行分类和过滤的技术,在网络安全中发挥着重要的作用。本文首先简单对校园网络的安全现状做了分析,之后介绍了ACL的基本原理和相关技术,重点介绍ACL技术在校园网管理中的作用,并给出了一些简单的配置方案,最后对ACL技术给出评价。
【关键词】ACL 网络安全 校园网管理
1.前言。随着计算机网络技术的飞速发展,越来越多的学校都已经构建了自己校园内部的局域网,并且范围覆盖了整个校园,包括办公、教学、生活区等各个区域,而每一个区域都必须满足访问互联网的基本要求。在如此庞大的一个网络体系当中,如何保证网络的正常运行,如何保证信息的安全成为校园网络面对的问题,访问控制列表(ACL)的使用给网络信息安全提供了一种便捷的途径,本文主要从校园网络的规模及需求对ACL的技术进行分析。
2.网络安全问题的提出。校园网是一个比较复杂的网络,计算机比较多,人员比较复杂,从地域和性质大体可分为办公区、教工区和学生区这三个大的区域。为了使得各个区域之间互不干扰,但是又可以同时访问互联网,并且还要保证数据传输的安全性,避免网络病毒的泛滥,我们必须进行VLAN的划分,并设置各虚拟子网间的ACL。ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL服务,只不过支持的特性不是那么完善。ACL技术在其它厂商的路由器和多层交换机上也支持,但是名称和配置方式有所差别,本文主要是基于Cisco IOS的产品进行编写。
3.ACL的基本技术及功能实现。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。网络中的节点分为资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
3.1 ACL的配置原则。在实施ACL的过程中,应当遵循如下两个基本原则:一个是最小特权原则,就是只给受控对象完成任务所必须的最小的权限;第二个是最靠近受控对象原则,就是对所有的网络层访问权限的控制。同时,ACL中的规则是有顺序的,当数据包到达网络接口时,组成ACL的规则被从头到尾进行匹配。如果数据包的特征满足某个规则,则匹配过程结束,剩下的规则就被忽略。因此,在定义ACL时,一定要将条件限制范围小的规则放到列表的前面,条件限制范围大的规则放到列表的后面。由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
3.2 ACL的分类及相关配置。根据访问控制列表功能的强弱以及灵活性,ACL可分为标准访问控制列表和扩展访问控制列表。
标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL,它的具体格式为:access-list ACL列表号 [permit|deny] host ip地址。
例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:
access-list 10 deny 192.168.1.0 0.0.0.255
通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
扩展访问控制列表是将数据包的过滤细到端口,而且可以对数据包的目的地址进行过滤。使用扩展访问控制列表可以有效的容许用户访问物理LAN而不容许使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。擴展访问控制列表是一种高级的ACL,配置命令的具体格式为:access-list ACL列表号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]。
例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。
4.ACL在校园网络中的应用。针对高职校园网络的规模及服务功能,一般在接入层分为办公、生活和教学三大区域,核心层部分可以通过对中心交换机的一系列配置实现各个区域的相对独立,之后通过防火墙连接至互联网,如图1所示。
网络出口层主要是在网络出口防火墙进行设置的,主要是屏蔽来自外部的攻击行为和内部的出口访问控制,这部分不在接入工作范围内,因此不做过多的描述,下面主要是从接入层和核心层对校园网络的安全控制进行描述。
4.1 在校园网中使用ACL所遵循的原则。所有控制列表发布于每台接入交换机和中心交换机上,为了不影响交换机性能,中心交换机的控制列表条数小于30条,接入交换机的控制列表条数小于20条。生活区这些服务端口无法确定的单位采用的规则为,禁止相应的网段,禁止相应的服务,开放公共服务器网段,开放大多数服务。教学办公区域服务端口可以确定的单位采用的规则为,开放允许的网段,开放相关的服务,开放公共服务器段,禁止大多数服务,中心交换机上仅禁止一些危险的端口和本网内不存在的网段,开放大部分服务。
4.2 接入层上ACL的使用。接入层的功能主要是管理生活区、办公区和教学区这几个区域的网络接入,ACL在这一层面上的作用主要是丢弃大部分的病毒数据包,同时禁止客户端访问网络设备的管理功能,做网络最基本的安全防护。接入层交换机性能通常都不会太高,而且在接入层设置过多与地址段相关的控制将大大增加全网的安全控制列表的复杂性,因此对于接入层控制列表而言,只使用最简单的列表,每个接入交换机均使用相同的配置,这样可以简化接入交换机ACL的配置。但是接入层要使用ACL,就必须采用具有ACL功能的可管理网络交换机,所以我们在接入层使用的是思科LINKSYS系列的交换机。
在对接入层交换机的配置中,所有接入客户端只能在相应定义的网段里,禁止TELNET登录,禁止危险端口和病毒端口(附表1)。
例如:access-list 100 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 23这条命令主要就是禁止客户端主机TELNET登录到交换机进行管理。
而access-list 100 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 4444这条命令主要就是关闭冲击波病毒的端口,防止网络遭受冲击波病毒的攻击。
接入层中ACL的使用大大增强了校园网络各个区域数据传输的安全性,也保障了网络的正常运行,大大减轻了网络维护工作的负担。
4.3 核心层上ACL的使用。核心的安全控制是负责全网内部在不同方向上流动数据和丢弃非法的数据包的作用,是全网最重要的安全控制列表部分,对于核心层的控制列表而言,包括2部分的内容:
4.3.1 由于全网通过OSPF建立了路由,所有网段可以任意通讯,因此必须通過控制列表让客户端只能访问自己的网关,同时允许访问部分服务器地址段。
4.3.2 一部分是在两台核心交换机互联的端口之间丢弃掉一些网络异常包,禁止一些网络端口,保证整个网络数据传输的可靠,减少网络流量,保证网络性能。
对于核心交换机而言,ACL是由硬件来执行的,所以可以不用担心几百条ACL都交换机系统性能的影响。
在对核心层交换机的配置中,对连接接入交换机光纤端口启动控制列表,禁止其他网段的IP接入本交换机,所有接入客户端只能访问本网段网关,禁止访问其他网段网关,禁止广播包,开放公共服务器段,在连接服务器千兆电口,打开服务器需要的有限端口。中心交换机互连出口上只允许已定义的网段通过,防止IP伪装和地址反射,禁止危险端口,禁止IP碎片。
例如:permit ip any 10.0.200.0 0.0.0.255只允许访问本网段(假定10.0.200.0即本网段);permit ip any 10.0.91.0 0.0.0.255这条命令为开放公共服务器的网段;deny ip any any fragments为丢弃IP碎片,这也是一种防止网络攻击的方法;deny tcp any any eq 4242就是关闭电骡的标准端口,和常见的电骡端口等。
5.结束语。以上是ACL技术在校园网络安全方面的应用。尽管我们还有许多其它保证校园网络安全的措施,而且ACL也并不能完全保证网络的安全,但是ACL的配置简单实用,能够起到比较大的防护作用,从而减轻防火墙的负担,又不需要增加额外的硬件投资,所以它将越来越引起网络管理人员及网络工程师的重视。
参考文献
1 孙卫佳.网络系统基础技术与实训[M].北京:电子工业出版社,2005.2.第1版
2 许为华.访问控制列表在网络安全深层防御中的应用[J].金华职业技术学院学报.2006(01)
3 梅申信、梅林.访问控制列表在网络安全中的应用[J].甘肃科技.2008(09)
4 李永明.访问控制列表在校园网中的应用[J].网络安全技术与应用.2006(02)
5 徐功文、徐公军.访问控制列表在网络安全中的应用[J].信息技术与信息化.2005(04)
【关键词】ACL 网络安全 校园网管理
1.前言。随着计算机网络技术的飞速发展,越来越多的学校都已经构建了自己校园内部的局域网,并且范围覆盖了整个校园,包括办公、教学、生活区等各个区域,而每一个区域都必须满足访问互联网的基本要求。在如此庞大的一个网络体系当中,如何保证网络的正常运行,如何保证信息的安全成为校园网络面对的问题,访问控制列表(ACL)的使用给网络信息安全提供了一种便捷的途径,本文主要从校园网络的规模及需求对ACL的技术进行分析。
2.网络安全问题的提出。校园网是一个比较复杂的网络,计算机比较多,人员比较复杂,从地域和性质大体可分为办公区、教工区和学生区这三个大的区域。为了使得各个区域之间互不干扰,但是又可以同时访问互联网,并且还要保证数据传输的安全性,避免网络病毒的泛滥,我们必须进行VLAN的划分,并设置各虚拟子网间的ACL。ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL服务,只不过支持的特性不是那么完善。ACL技术在其它厂商的路由器和多层交换机上也支持,但是名称和配置方式有所差别,本文主要是基于Cisco IOS的产品进行编写。
3.ACL的基本技术及功能实现。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。网络中的节点分为资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
3.1 ACL的配置原则。在实施ACL的过程中,应当遵循如下两个基本原则:一个是最小特权原则,就是只给受控对象完成任务所必须的最小的权限;第二个是最靠近受控对象原则,就是对所有的网络层访问权限的控制。同时,ACL中的规则是有顺序的,当数据包到达网络接口时,组成ACL的规则被从头到尾进行匹配。如果数据包的特征满足某个规则,则匹配过程结束,剩下的规则就被忽略。因此,在定义ACL时,一定要将条件限制范围小的规则放到列表的前面,条件限制范围大的规则放到列表的后面。由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
3.2 ACL的分类及相关配置。根据访问控制列表功能的强弱以及灵活性,ACL可分为标准访问控制列表和扩展访问控制列表。
标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL,它的具体格式为:access-list ACL列表号 [permit|deny] host ip地址。
例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:
access-list 10 deny 192.168.1.0 0.0.0.255
通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
扩展访问控制列表是将数据包的过滤细到端口,而且可以对数据包的目的地址进行过滤。使用扩展访问控制列表可以有效的容许用户访问物理LAN而不容许使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。擴展访问控制列表是一种高级的ACL,配置命令的具体格式为:access-list ACL列表号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]。
例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。
4.ACL在校园网络中的应用。针对高职校园网络的规模及服务功能,一般在接入层分为办公、生活和教学三大区域,核心层部分可以通过对中心交换机的一系列配置实现各个区域的相对独立,之后通过防火墙连接至互联网,如图1所示。
网络出口层主要是在网络出口防火墙进行设置的,主要是屏蔽来自外部的攻击行为和内部的出口访问控制,这部分不在接入工作范围内,因此不做过多的描述,下面主要是从接入层和核心层对校园网络的安全控制进行描述。
4.1 在校园网中使用ACL所遵循的原则。所有控制列表发布于每台接入交换机和中心交换机上,为了不影响交换机性能,中心交换机的控制列表条数小于30条,接入交换机的控制列表条数小于20条。生活区这些服务端口无法确定的单位采用的规则为,禁止相应的网段,禁止相应的服务,开放公共服务器网段,开放大多数服务。教学办公区域服务端口可以确定的单位采用的规则为,开放允许的网段,开放相关的服务,开放公共服务器段,禁止大多数服务,中心交换机上仅禁止一些危险的端口和本网内不存在的网段,开放大部分服务。
4.2 接入层上ACL的使用。接入层的功能主要是管理生活区、办公区和教学区这几个区域的网络接入,ACL在这一层面上的作用主要是丢弃大部分的病毒数据包,同时禁止客户端访问网络设备的管理功能,做网络最基本的安全防护。接入层交换机性能通常都不会太高,而且在接入层设置过多与地址段相关的控制将大大增加全网的安全控制列表的复杂性,因此对于接入层控制列表而言,只使用最简单的列表,每个接入交换机均使用相同的配置,这样可以简化接入交换机ACL的配置。但是接入层要使用ACL,就必须采用具有ACL功能的可管理网络交换机,所以我们在接入层使用的是思科LINKSYS系列的交换机。
在对接入层交换机的配置中,所有接入客户端只能在相应定义的网段里,禁止TELNET登录,禁止危险端口和病毒端口(附表1)。
例如:access-list 100 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 23这条命令主要就是禁止客户端主机TELNET登录到交换机进行管理。
而access-list 100 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 4444这条命令主要就是关闭冲击波病毒的端口,防止网络遭受冲击波病毒的攻击。
接入层中ACL的使用大大增强了校园网络各个区域数据传输的安全性,也保障了网络的正常运行,大大减轻了网络维护工作的负担。
4.3 核心层上ACL的使用。核心的安全控制是负责全网内部在不同方向上流动数据和丢弃非法的数据包的作用,是全网最重要的安全控制列表部分,对于核心层的控制列表而言,包括2部分的内容:
4.3.1 由于全网通过OSPF建立了路由,所有网段可以任意通讯,因此必须通過控制列表让客户端只能访问自己的网关,同时允许访问部分服务器地址段。
4.3.2 一部分是在两台核心交换机互联的端口之间丢弃掉一些网络异常包,禁止一些网络端口,保证整个网络数据传输的可靠,减少网络流量,保证网络性能。
对于核心交换机而言,ACL是由硬件来执行的,所以可以不用担心几百条ACL都交换机系统性能的影响。
在对核心层交换机的配置中,对连接接入交换机光纤端口启动控制列表,禁止其他网段的IP接入本交换机,所有接入客户端只能访问本网段网关,禁止访问其他网段网关,禁止广播包,开放公共服务器段,在连接服务器千兆电口,打开服务器需要的有限端口。中心交换机互连出口上只允许已定义的网段通过,防止IP伪装和地址反射,禁止危险端口,禁止IP碎片。
例如:permit ip any 10.0.200.0 0.0.0.255只允许访问本网段(假定10.0.200.0即本网段);permit ip any 10.0.91.0 0.0.0.255这条命令为开放公共服务器的网段;deny ip any any fragments为丢弃IP碎片,这也是一种防止网络攻击的方法;deny tcp any any eq 4242就是关闭电骡的标准端口,和常见的电骡端口等。
5.结束语。以上是ACL技术在校园网络安全方面的应用。尽管我们还有许多其它保证校园网络安全的措施,而且ACL也并不能完全保证网络的安全,但是ACL的配置简单实用,能够起到比较大的防护作用,从而减轻防火墙的负担,又不需要增加额外的硬件投资,所以它将越来越引起网络管理人员及网络工程师的重视。
参考文献
1 孙卫佳.网络系统基础技术与实训[M].北京:电子工业出版社,2005.2.第1版
2 许为华.访问控制列表在网络安全深层防御中的应用[J].金华职业技术学院学报.2006(01)
3 梅申信、梅林.访问控制列表在网络安全中的应用[J].甘肃科技.2008(09)
4 李永明.访问控制列表在校园网中的应用[J].网络安全技术与应用.2006(02)
5 徐功文、徐公军.访问控制列表在网络安全中的应用[J].信息技术与信息化.2005(04)