ACL在计算机实验室的应用与研究

1、ACL在计算机实验室的应用与研究摘要：访问控制列表ACL（access-control-list）在网络安全方面发挥着重要的作用，能够灵活地对进入或离开路由器接口的分组进行过滤，这有助于控制网络流量，限制某些用户或设备访问网络。本文介绍了访问控制列表的工作流程和使用规范，并结合实验室网络通过配置ACL策略来提高实验室的网络安全。关键词：访问控制列表；ACL；网络安全；网络管理现代的网络通过使用路由技术，正在不断地把不同种类的网络连接起来，也带来了很多负面影响。因此我们需要一种简单有效的方法来管理这个网络的数据流量。最简单、方便且易于理解和使用的，就是访问控制列表。访问控制列表可以允许或者拒绝数

2、据包通过路由器，从而达到对数据包进行过滤的目的。通过这种对数据流进行控制的手段，可以有效保护敏感的设备或者数据，使它们不受到未经验证的访问的攻击，实现一定的安全策略。1.访问控制列表访问控制列表简称为ACL，它使用数据包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对数据包进行过滤，从而达到访问控制的目的。1.1 访问控制列表的工作流程由于访问控制列表是用来过滤数据流量的技术，所以它一定是被放置在接口上使用的。同时，由于在接口上数据流量是有进接口（in）和出接口（out）两个方向的，所以在接口上使用访问控制列表也有进（in）和出（

3、out）两个方向。进方向的访问控制列表负责过滤进入接口的数据流量，出方向的访问控制列表负责过滤从接口发出的数据流量。对于路由器的接口来说，在同一个接口上，每种被路由协议的访问控制列表（如IP协议的访问控制列表、IPX协议的访问控制列表，等等）都可以配置两个，一个是进方向的（in），一个是出方向的（out）。进方向的和出方向的访问控制列表的工作流程如图1-1和图1-2所示。1.2定义访问控制列表时所应遵循的规范 访问控制列表的列表号指出了是哪种协议的访问控制列表。 一个访问控制列表的配置是没协议、没接口、没方向的。 访问控制列表的语句顺序决定了对数据包的控制顺序。 最有限制性的语句应该放在访问控

4、制列表语句的首行。 在将访问控制列表应用到接口之前，一定要先建立访问控制列表。 访问控制列表的语句不能被逐条地删除，只能一次性地删除整个访问控制列表。 在访问控制列表的最后，有一条隐含的全部拒绝的命令，所以在访问控制列表里一定至少要有一条允许的语句。 访问控制列表只能过滤穿过路由器的数据流量，不能过滤路由器本身发出的数据包。2.访问控制列表在网络管理的应用图2是诚毅学院机房网络拓扑图，路由器使用以太网接口E0连接到学院的服务器机房（网段为/24），使用以太网端口E1连接到学生实验室（网段为/24/24），使用以太网端口E2

5、连接到教师办公室（网段为/24），使用串口S0连接到校园网。WWW服务器是提供给学生学习使用的，该服务器部署了两个网上自主学习系统，一个是计算机教学网络自主学习平台，一个是外研社大学英语教学管理平台；Ftp服务器主要是提供给学院教师存放办公资料的。因此，我们针对该网络，利用ACL技术构建以下的网络安全策略。2.1 禁止局域网病毒传播虽然我们可以禁止某些病毒使用的端口来阻止病毒传播，不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效，毕竟未知病毒使用的端口是我们无法估计的，而且随着防范病毒数量的增多会造成访问控制列表规则过多，在一定程度上影响了网络访问的速度

6、。因此，我们可以通过反向ACL来解决以上问题。学生实验室所在网段(/24)有电脑中毒，为了防止病毒传播到服务器所在网段（/24）,配置的ACL命令如下：access-list 101 permit tcp 55 eq wwwaccess-list 101 permit tcp 55 55 establishedinterface e0 进入E0端口ip access-group 101

7、out设置完毕后病毒就不会轻易的从传播到的服务器区了。因为病毒要想传播都是主动进行TCP连接的，由于路由器上采用反向ACL禁止了网段的TCP主动连接，因此病毒无法顺利传播。同时也保证学生实验室的电脑可以正常访问WWW服务。2.2 保护路由器安全2.2.1 屏蔽简单网络管理协议（SNMP）利用这个协议，远程主机可以监视、控制网络上的其他网络设备。它有两种服务类型：SNMP和SNMPTRAP。access-list 101 deny udp any any eq snmpaccess-list 101 deny udp any

8、 any eq snmptrapaccess-list 101 permit ip any any2.2.2 对外屏蔽远程登录协议Telnetaccess-list 101 deny tcp any 55 eq 23 2.3通过ACL监控网络流量为了能实时监控服务器机房网络的使用情况，我们可以有效的记录ACL流量信息，第一时间的了解访问服务器的网络流量以及病毒的传播方式。如何保存访问控制列表的流量信息，我们可以在扩展ACL规则最后加上LOG命令。实现方法：log 0 为路由器指定一个日志服务器地址，该地址为

9、0access-list 101 permit tcp any eq www log 在希望监测的扩展ACL最后加上LOG命令，这样就会把满足该条件的信息保存到指定的日志服务器0中。如果在扩展ACL最后加上log-input，则不仅会保存流量信息，还会将数据包通过的端口信息也进行保存。使用LOG记录了满足访问控制列表规则的数据流量就可以完整的查询整个网络哪个地方流量大，哪个地方有病毒了。因此更加有效的保障服务器的正常运行。3.结语ACL通过对网络数据流量的控制，过滤掉有害的数据包，达到执行安全策略的目的，成为实现防火墙的重要手段，

10、加强了实验室的网络安全。但是ACL是使用包过滤技术来实现的，运用不当可能造成网络资源的浪费，降低网络效率。因此，必须结合网络的实际情况，正确配置ACL策略，既保护了网络安全，又提高网络性能。参考文献:【1】Steve McQuerry，CCIE #6108CCNA 自学指南：Cisco 网络设备互联（第二版）（M）北京: 人民邮电出版社，2004.【2】 (美)Douglas Jacobson著.网络安全基础(M).北京：电子工业出版社，2011.【3】魏大新，李青龙,强振海Cisco网络工程案例精粹（M）北京：电子工业出版社，2007.【4】 William Stallings著. 网络安全基础：应用与标准(M).北京：清华大学出版社，2011.【5】 (美) Odom WMcDonald. R.思科网络技术学院教程CCNA 2路由器与路由基础（M）. 北京: 人民邮电出版社