引言
ACL在校園網(wǎng)中對(duì)學(xué)生上網(wǎng)權(quán)限的控制,對(duì)教師的流量進(jìn)行限制,對(duì)各部門(mén)之間的訪問(wèn)控制,還能封閉特定端口來(lái)防范病毒等,提高校園網(wǎng)的網(wǎng)絡(luò)安全性,也大大提高了網(wǎng)絡(luò)中心的管理工作效率。
在路由器或三層交換機(jī)上,通過(guò)使用訪問(wèn)控制列表(ACL)來(lái)執(zhí)行數(shù)據(jù)包過(guò)濾。訪問(wèn)控制列表可用來(lái)控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞、限制虛擬終端的通信量或者控制路由選擇更新,限制網(wǎng)絡(luò)訪問(wèn)特定的用戶和設(shè)備。
1 訪問(wèn)控制列表
1.1 訪問(wèn)控制列表概念
訪問(wèn)控制列表(Access Control List, ACL)是應(yīng)用在路由器或有路由功能的交換機(jī)接口的指令列表。這些指令列表用來(lái)告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕,可以由類似于源地址、目的地址、端口號(hào)等的特定指示條件來(lái)決定。
1.2 常用訪問(wèn)控制列表分類
1.2.1 標(biāo)準(zhǔn)IP訪問(wèn)控制列表
一個(gè)標(biāo)準(zhǔn)IP訪問(wèn)控制列表匹配IP包中的源地址或源地址中的一部分,可對(duì)匹配的包采取拒絕或允許兩個(gè)操作。編號(hào)范圍是從1到99或從1300到1999的訪問(wèn)控制列表是標(biāo)準(zhǔn)IP訪問(wèn)控制列表。標(biāo)準(zhǔn)IP訪問(wèn)控制列表檢查源地址,通常允許、拒絕的是完整的協(xié)議,如圖1.2.1;其語(yǔ)句格式為:
Step1:Router(config)# access-list access-list-number {permit|deny} source [mask]
Step2: Router(config-if)# ip access-group access-list-number {in | out}
其中access-list-number值為1-99 或1300-1999。
圖1.2.1
1.2.2 擴(kuò)展IP訪問(wèn)控制列表
擴(kuò)展IP訪問(wèn)控制列表比標(biāo)準(zhǔn)IP訪問(wèn)控制列表具有更多的匹配項(xiàng),包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。編號(hào)范圍是從100到199或從2000到2699的訪問(wèn)控制列表是擴(kuò)展IP訪問(wèn)控制列表。擴(kuò)展IP訪問(wèn)控制列表檢查源地址和目的地址,通常允許、拒絕的是某個(gè)特定的協(xié)議,如圖1.2.2;其語(yǔ)句格式為:
Step1:Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ]
Step2: Router(config-if)# ip access-group access-list-number {in | out}
其中access-list-number值為100-199或2000-2699
圖1.2.2
1.2.3 命名的IP訪問(wèn)控制列表
命名的IP訪問(wèn)控制列表是以列表名代替列表編號(hào)來(lái)定義IP訪問(wèn)控制列表,同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表,定義過(guò)濾的語(yǔ)句與編號(hào)方式中相似。命名的IP訪問(wèn)控制列表最大的一個(gè)優(yōu)點(diǎn)就是管理起來(lái)非常方便,如果用的是標(biāo)準(zhǔn)或擴(kuò)展的訪問(wèn)控制列表,如:
access-list 7 permit 192.168.10.1
access-list 7 permit 192.168.10.5
access-list 7 permit 192.168.10.6
想刪除第二條即:access-list 7 permit 192.168.10.5 ,在標(biāo)準(zhǔn)或擴(kuò)展的訪問(wèn)控制列表會(huì)把以7為編號(hào)的所有條目都刪除,管理起來(lái)不方便。因此我們引入了命名的IP訪問(wèn)控制列表,其格式為:
Step1:Router(config)#ip access-list {standard|extended} name
Router(config{std-|ext-}nacl)#{permit|deny}{source[source-wildcad]|any}
Step2: Router(config-if)# ip access-group name {in | out}
此時(shí)想在下列列表中刪除deny udp 172.16.0.0 0.0.255.255 any lt 1024就不會(huì)把整條列表刪除掉了:
ip access-list extended MyACL
permit tcp 172.16.0.0 0.0.255.255 any eq 23
deny udp 172.16.0.0 0.0.255.255 any lt 1024
Router(config{ ext-}nacl)#no deny udp 172.16.0.0 0.0.255.255 any lt 1024
1.3訪問(wèn)控制列表工作機(jī)制
訪問(wèn)列表的編號(hào)指明了使用何種協(xié)議的訪問(wèn)列表,每個(gè)端口、每個(gè)方向、每條協(xié)議只能對(duì)應(yīng)于一條訪問(wèn)列表,問(wèn)列表的內(nèi)容決定了數(shù)據(jù)的控制順序 ,具有嚴(yán)格限制條件的語(yǔ)句應(yīng)放在訪問(wèn)列表所有語(yǔ)句的最上面,在訪問(wèn)列表的最后有一條隱含聲明:deny any,因此每一條正確的訪問(wèn)列表都至少應(yīng)該有一條允許語(yǔ)句,先創(chuàng)建訪問(wèn)列表,然后應(yīng)用到端口上。
入棧應(yīng)用(in):經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過(guò)濾;出棧應(yīng)用(out):設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過(guò)濾。訪問(wèn)列表不能過(guò)濾由路器自己產(chǎn)生的數(shù)據(jù),比如廣播、組播等。工作機(jī)制流程圖如圖1.3
圖1.3
2 ACL在校園網(wǎng)中的應(yīng)用
2.1 學(xué)生上網(wǎng)權(quán)限設(shè)置
學(xué)校機(jī)房與學(xué)生宿舍、圖書(shū)閱覽室是學(xué)生從網(wǎng)上獲取自己感興趣的信息重要場(chǎng)所,那么在沒(méi)有老師在旁邊監(jiān)督,怎樣才能讓學(xué)生健康地從網(wǎng)上獲取資源,并且讓他們?cè)谏硇纳系玫浇】档匕l(fā)展,成為了我們需要面臨的重要問(wèn)題。
所謂“沒(méi)有規(guī)矩,不成方圓”,我們必須為學(xué)生們?cè)O(shè)置一個(gè)權(quán)限,讓他們“綠色上網(wǎng)”,在網(wǎng)絡(luò)上獲取信息的同時(shí)也讓他們身心得到健康地發(fā)展。
因此,在學(xué)生機(jī)房我們可以限制QQ,網(wǎng)絡(luò)BT下載,網(wǎng)絡(luò)游戲及一些不良信息網(wǎng)站;而在學(xué)生宿舍則也時(shí)段性的限制,合理開(kāi)放使用時(shí)間并且網(wǎng)絡(luò)中心人員全程監(jiān)控;圖書(shū)閱覽室則應(yīng)該塔建專用的局域網(wǎng)數(shù)字信息平臺(tái),不能讓學(xué)生訪問(wèn)互聯(lián)網(wǎng)。如,學(xué)生機(jī)房里的網(wǎng)段為172.16.0.0,我們想限制學(xué)生機(jī)房里上QQ,那么可以在中心機(jī)房的核心交換機(jī)里設(shè)置ACL,下列是使用擴(kuò)展ACL對(duì)QQ限制的部分配置清單:
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.73 eq 443
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.73 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.206 eq 443
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.206 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.7 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.49.7 eq 443
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.38.246 eq www
access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 219.133.38.247 eq www
access-list 101 permit ip any any
2.2 學(xué)校各部門(mén)之間訪問(wèn)控制
在學(xué)校各部門(mén)的之間訪問(wèn)控制也顯然很重要,比如溫江區(qū)東大街第二小學(xué)網(wǎng)絡(luò)訪問(wèn)控制基本網(wǎng)絡(luò)架構(gòu)是:有數(shù)據(jù)網(wǎng)絡(luò)中心,兩個(gè)學(xué)生機(jī)房,其它各教師辦公室,校長(zhǎng)辦公室,財(cái)務(wù)處。
校長(zhǎng)和財(cái)務(wù)處的IP地址為固定,分別為10.110.6.88與10.110.6.89。其中訪問(wèn)控制的規(guī)則是:不允許其它部門(mén)訪問(wèn)校長(zhǎng)辦公室,財(cái)務(wù)處只有校長(zhǎng)辦公室可以訪問(wèn)。要實(shí)現(xiàn)這些基本功能我們運(yùn)用了命名IP訪問(wèn)控制列表,部分配置清單如下:
ip access-list extended denytoxiaozhang
deny ip any host 10.110.6.88
!
ip access-list extended permitxiaozhangtocaiwuchu
permit ip host 10.110.6.88 any
permit ip host 10.110.6.89 any
最后將訪問(wèn)控制列表應(yīng)用于接口:
interface FastEthernet 0/11
description to-xiaozhang
switchport access vlan 6
ip access-group denytoxiaozhang in
!
interface FastEthernet 0/13
description to-caiwu
switchport access vlan 6
ip access-group permitxiaozhangtocaiwu in
2.3 封閉特定端口防范病毒
很多學(xué)校的PC和服務(wù)器的普通安全配置,是沒(méi)有能力對(duì)付zero-day型的攻擊和侵入行為的, 比如: 蠕蟲(chóng)感染、黑客攻擊、木馬、后門(mén)軟件、間諜軟件(Spyware) 、網(wǎng)絡(luò)小偷(鍵盤(pán)標(biāo)記軟件)、廣告軟件(Adware)的侵入等等 。
一些網(wǎng)絡(luò)設(shè)備本身就不安全,沒(méi)有抗蠕蟲(chóng)和抗黑客攻擊的能力;只有路由器和交換機(jī)這些中轉(zhuǎn)設(shè)備具有安全能力,安全問(wèn)題才有可能得到解決。
因此,為了保護(hù)業(yè)務(wù)資產(chǎn)不受信息偷竊和泄密的威脅,確保應(yīng)用系統(tǒng)的可用性,客戶信息的保密,資產(chǎn)不被非法窺探,提升安全策略部署的準(zhǔn)確性和速度,高度的可視性以監(jiān)控端到端的安全,封閉一些特定的端口來(lái)有效防范病毒。
我們?cè)诰W(wǎng)絡(luò)中心的核心交換機(jī)上做了ACL封閉一些特定的端口來(lái)有效防范病毒。
ip access-list extended ANTI-VIRUS
deny tcp any any eq 136
deny tcp any any eq 4444
deny tcp any any eq 27665
deny tcp any any eq 16660
deny tcp any any eq 6711
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any any eq 31335
deny udp any any eq 27444
permit ip any any
最后在連接到辦公室的網(wǎng)絡(luò)接口口上運(yùn)用ACL規(guī)則即可:
interface FastEthernet 0/13
description to-bangong
ip access-group ANTI-VIRUS in
2.4 教師合法使用IP控制
隨著信息技術(shù)在中小學(xué)校的應(yīng)用與普及,在全區(qū)推進(jìn)深入了教育現(xiàn)代化進(jìn)程,不斷提高了教師的信息素養(yǎng),教師運(yùn)用信息技術(shù)能力越來(lái)越強(qiáng),他們不斷探索新知識(shí)的欲望也在增加,對(duì)網(wǎng)絡(luò)知識(shí)也有所理解,部分老師喜歡改動(dòng)IP地址或試探用網(wǎng)絡(luò)攻擊工具做攻擊試驗(yàn),這使在局域網(wǎng)內(nèi)出現(xiàn)了IP地址沖突, ARP攻擊導(dǎo)致有些老師上不了網(wǎng),甚至嚴(yán)重情況下可能導(dǎo)致整個(gè)校園網(wǎng)處于半癱瘓狀態(tài)。
下面的ACL有效限制了兩種MAC-IP綁定的ARP消息,并阻止其他任何MAC地址宣稱擁有這兩個(gè)IP的所有權(quán)。例如,現(xiàn)在兩位老師的計(jì)算機(jī)MAC地址分別為00-d0-b7-11-13-14,00-d0-00-ea-43-fc,對(duì)他們兩臺(tái)機(jī)子分別綁定IP 192.168.2.1與192.168.2.2。
綁定后只要他們改變計(jì)算機(jī)的網(wǎng)卡IP或?qū)S酶淖僊AC地址設(shè)置就會(huì)被限制轉(zhuǎn)發(fā)流量,導(dǎo)致不用正常訪問(wèn)資源。 實(shí)現(xiàn)配置如下:
Switch>(enable)set security acl ip ACL-95 prmit arp-inspection host 192.168.2.1 00-d0-b7-11-13-14
Switch>(enable)set security acl ip ACL-95 deny arp-inspection host 192.168.2.1 any log
Switch>(enable)set security acl ip ACL-95 prmit arp-inspection host 192.168.2.2 00-d0-00-ea-43-fc
Switch>(enable)set security acl ip ACL-95 deny arp-inspection host 192.168.2.2 any log
Switch>(enable)set security acl ip ACL-95 prmit arp-inspection any any
Switch>(enable)set security acl ip ACL-95 prmit ip any any
Switch>(enable)commit security acl ACL-95
2.5 用ACL進(jìn)行入口/出口過(guò)濾
入口/出口過(guò)慮與通常所說(shuō)的防火墻防護(hù)有所不同,是在你網(wǎng)絡(luò)的不同部分過(guò)濾掉未被使用的網(wǎng)絡(luò)過(guò)程。入口指進(jìn)入你組織機(jī)構(gòu)的流量,出口指的是離開(kāi)組織機(jī)構(gòu)的流量。包括RFC 1918地址過(guò)濾、不可路由網(wǎng)絡(luò)等。目前很多組織機(jī)構(gòu)在內(nèi)部使用RFC 1918尋址,而使用NAT來(lái)訪問(wèn)公共internet。保留的RFC 1918地址是:
10.0.0.0——10.255.255.255(10/8前綴)
172.16.0.0——172.31.255.255(172.16/12前綴)
192.168.0.0——192.168.255.255(192.168/16前綴)
RFC 1918過(guò)濾的基本思想是,你沒(méi)有理由從網(wǎng)絡(luò)外部看到RFC 1918尋址。所以在基本的internet設(shè)計(jì)中,你應(yīng)該在RFC 1918尋址越過(guò)你的防火墻或WAN路由器之前阻止它們。
除了RFC 1918尋址外,還有其他很多未被使用的網(wǎng)絡(luò)。如:
0.0.0.0/18——該網(wǎng)絡(luò)指的是本網(wǎng)絡(luò)上的主機(jī)。
127.0.0.0/8——該子網(wǎng)是地址127.0.0.1的主位置,即localhost,或者你的本機(jī)。
224.0.0.0/4——這是一個(gè)多播范圍。
2.6設(shè)置包過(guò)濾防止“死亡之PING”攻擊
ICMP回應(yīng)請(qǐng)求與ICMP回應(yīng)回復(fù)便以ping 命令的消息類型使用而聞知。ICMP回應(yīng)消息的格式具有標(biāo)準(zhǔn)的8字節(jié)的ICMP報(bào)送信息,后面的數(shù)據(jù)段長(zhǎng)度可變,并且包含任何類型的數(shù)據(jù)。某些大小的ping數(shù)據(jù)包造成老的操作系統(tǒng)崩潰,這種攻擊被稱為“死亡之ping”。我們可以有ACL過(guò)濾這些消息,拒絕其他任何ICMP消息。
結(jié)束語(yǔ)
網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的問(wèn)題,要考慮安全層次、技術(shù)難度及經(jīng)費(fèi)支出等因素,ACL應(yīng)用于學(xué)校校園網(wǎng)是比較經(jīng)濟(jì)的做法。當(dāng)然,隨著安全技術(shù)的不斷發(fā)展,主動(dòng)防御、自防御的理念、技術(shù)將貫穿到整個(gè)安全領(lǐng)域中。
因此在經(jīng)費(fèi)允許的情況下盡可能提高系統(tǒng)的安全性和可靠性;保持網(wǎng)絡(luò)原有的性能特點(diǎn),即對(duì)網(wǎng)絡(luò)協(xié)議和傳輸具有很好的透明性;易于操作、維護(hù),并便于自動(dòng)化管理,而不增加或少增加附加操作;盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu), 便于系統(tǒng)結(jié)構(gòu)及功能的擴(kuò)展。
【參考文獻(xiàn)】
[1]. 魏大新、李育龍.Cisco網(wǎng)絡(luò)技術(shù)教程[M].電子工業(yè)出版社.2004
[2]. 劉曉輝.網(wǎng)絡(luò)硬件安裝與管理[M].電子工業(yè)出版社.2005
[3]. 梅森(Mason,A.G.)李逢天等譯.Cisco安全虛擬專用網(wǎng)絡(luò)[M]. 1999
[4]. 蘇金樹(shù).Cisco網(wǎng)絡(luò)高級(jí)IP路由技術(shù)[M].機(jī)械工業(yè)出版社.1999
[5]. 余志洪.Cisco路由器配置[M].機(jī)械出版社.2000
[6]. [美] Sean Convery CCIE NO.4232 著 王迎春 謝琳 江魁 譯 網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M] 2000
![[舒華跑步機(jī)]跑步機(jī)品牌高層指導(dǎo)工作](../../2012/image/8/W444.jpg)
