论文内容板块

  • 格式:doc
  • 大小:54.37 KB
  • 文档页数:7

1.网络安全概述2.访问控制列表的原理3.访问控制列表的类型4.访问控制列表的特性和特征5.使用访问控制列表阻止未经授权的访问6.访问控制列表的配置原则7.访问控制列表的实际应用(学校网络拓扑)第二章访问控制列表的原理访问控制列表是由一系列语句组成,这些语句主要包括匹配条件和采取的动作(允许或拒绝)两个部分。

访问控制列表应用在路由器的接口上,通过匹配数据包信息和访问控制列表参数来决定允许还是拒绝数据包通过某个接口。

访问控制列表可以分为进站访问控制列表和出站访问控制列表两部分,它们分别对进、出路由器的数据包进行控制,具体有以下三个步骤:(1) 当路由器的接口接收到一个数据包时,它首先检查是否有进站访问控制列表与接口相关联,如果没有,则进入正常的路由选择进程;如果有,则执行访问控制列表的允许或拒绝操作,被拒绝的数据包将会被丢弃,被允许的数据包将进入路由选择状态。

(2) 路由器对通过进站访问控制列表的数据包执行路由选择,如果其路由表中没有到达目标网络的路由,它将丢弃数据包;如果路由表中存在到达目标网络的路由条目,它会将数据包发往合适的出口。

(3) 数据包到达路由器的出口时,路由器检查是否有出站访问控制列表与此接口相关联,如果没有,它直接将数据包发送出去;如果有,它会执行访问控制列表的允许或拒绝操作,被拒绝的数据包将会被丢弃,被允许的数据包将被发送出去。

第三章访问控制列表的类型IP ACL根据功能主要分为两类:标准访问扩展访问访问列表可分为标准访问列表和扩展访问控制列表。

标准访问控制列表只检查数据包的源地址,功能较为单一。

扩展IP访问列表不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等,因此,扩展访问控制列表具有更大的灵活性和可扩充性。

例1-1显示了一个标准访问控制列表的例子例1-1 标准ACLAccess-list 10 deny 150.1.1.0 0.0.0.255这个访问控制列表拒绝源IP地址包含在子网150.1.1.0/24中的流量。

Access-list 命末尾制定的掩码是通配符掩码,这就意味着它与通常用在IP地址中掩码相反。

通配符掩码中的0制定了IP地址中的相应位;对于根据这一访问控制列表来得到匹配,通配符掩码中1所指定IP地址中的相应位不是重要的。

图1-1显示了怎样在路由器接口上处理标准ACL。

为了限制通过接口的流量,在特殊的方向将一个访问组应用到一个接口上,这对于以这种方式打开或者关闭ACL处理来说就是拨动开关。

在给定方向只有一个ACL 可以应用到一个接口上。

图1-1使用标准ACL 来限制通过路由器接口的流量例1-2显示了一个扩展的访问控制列表。

在这个例子中,允许主机100.1.1.1访问端口80(HTTP )的200.1.1.1上的Web 服务器。

但所有其他的流量都遭到拒绝。

扩展访问控制列表中掩码的使用方法与标准访问控制列表中的一样。

一个接口收到分组在分组流方向配置有访问组?不要求ACL 处理转发分组到下一个路由例程根据分组源地址检查ACE ,分组源地址等于ACE 地址吗?检查更多的ACE 吗ACE 条件采用带隐式拒绝的ACE产生ICMP 消息丢弃分组例1-2 扩展ACLAccess-list 100 permit tcp host 100.1.1.1 host 200.1.1.1 eq 80Access-list 100 deny ip host 100.1.1.1 host 200.1.1.1使用代表性的host关键字来代替通配符掩码0.0.0.0扩展访问控制列表使用100到199之间的数字,而标准访问控制列表使用1到99之间的数字。

图1-2显示了怎样在路由器接口上处理扩展ACL。

(插图)第四章访问控制列表的特性和特征这一节描述的是思科路由器上ACLde一些主要特性和特征。

ACE和ACL是这些特性的大部分组成。

1.基于匹配必要性的ACE顺序以自顶向下的方式对ACL进行处理。

当发现一个匹配表向时就停止处理过程。

因此,首先进行指定主机(host-specific)表项的匹配,接下来进行子网匹配,然后是分类网络匹配,最后是ACE的“任意”匹配,以这种方式建立ACE很重要。

如果ACL允许子网的一台特殊主机而不允许该子网的其他主机,并且在该特殊主机表项前已经配置了ACE,那么就首先匹配子网表项并且不处理更多的ACE。

子网ACE应用到一台特殊主机,根据下一个ACE (它永远不会得到处理)该主机将得到允许。

2.基于匹配可能性的ACE顺序ACL以一种自顶向下的方式得到处理,这意味着列在访问控制列表顶端的表项首先得到处理,就像路由器配置中所显示的那样。

如果第一个表项没有与正在受检查的流量相匹配,那就接着处理剩余的表项。

当发现一个匹配时就停止对访问控制列表的处理。

由于ACL具有这一特性,所以对访问控制列表顶端那些更可能得到匹配的表项进行配置是非常有用的。

然而在做这一项工作时一定要记住“基于匹配必要性的ACE顺序”中所描述的内容。

这可以节省一些CPU的开销。

作为头号规则,扩展访问控制列表的性能影响随着访问控制列表中的表项的增加而线性增加。

3.隐式拒绝ACE任何定义好的访问控制列表在ACL配置表项的末尾都有一个隐式的deny all。

这意味着如果访问控制列表中一个标准也没有得到匹配,就考虑拒绝受检查的分组。

该规则的一个例外情况是当引用访问控制列表仅仅是为了没有配置的表项时。

在这种情况下,就认为访问控制列表包含一个单一的permit all表项。

4.分布式环境中的ACL处理当路由器带有一个RSP卡和一个VIP卡时,VIP卡可以进行ACL处理,前提是路由器上配置了dCEF。

但是,如果为了在访问控制列表末未使用log关键字对访问控制列表进行采样而配置日志功能,那么RSP仍然需要处理日志。

5.ACL ACE的增加顺序ACL不是路由器上最容易维护的表项。

为了从访问控制列表中删除一个ACE表项,需要移动整个访问控制列表。

然而,对访问控制列表增加表项却不需要进行这样的调整。

对于大的访问控制列表,在一个文本编辑器中修改列表,在小心删除将要更改的访问控制列表后,剪切/复制/粘贴这些改变通常是一个好主意。

6.对于未定义ACL的permit all ACE如果在使用access-group命令的接口上应用了访问控制列表,但却没有在配置中创建该访问控制列表,那么Cisco IOS就假定访问控制列表包含单个的permit ip any any ACE。

第五章使用访问控制列表阻止未经授权的访问采用ACL的一个基本目的是组织未经授权的访问。

可以以两种基本方式使用ACL来控制访问:可以配置它们来阻止未经授权而访问配置了列表的路由器。

可以配置它们来阻止未经授权而访问位于盒子的上游或者下游的设备。

ACL的基本访问控制功能网络中访问控制列表的基本功能是将对网络资源的访问限制到:一组受限的IP地址访问一组受限的服务。

第六章访问控制列表的配置原则(1)标准访问控制列表应该尽量放置在接近数据流目的地的地方,扩展访问控制列表应该尽量放置在接近数据流源的地方。

(2)最具限制性的语句应该放在访问控制语句的首行,按从特殊到一般的原则安排先后顺序。

(3)新的语句只能被添加到访问控制列表的末尾即不允许将新的语句插入到原有的访问控制列表中(4)在访问控制列表的最后,有一条隐含的“全部拒绝”命令,所以在访问控制列表里至少要有一条“允许”的语句。

(5)访问控制列表只能过滤穿过路由器的数据流量,不能过滤路由器本身发出的数据包。

第六章访问控制列表在网络安全中的具体应用右侧为该单位局域网,左侧为互联网,根据网络安全的实际需要,可以选择下面几种配置访问控制列表的方法:1 TCP 拦截SYN洪水(SYN Flood) 攻击是当前比较流行的DoS( 拒绝服务)与DDoS( 分布式拒绝服务) 攻击方式之一,它利用TCP的缺陷,发送大量的伪造的TCP连接请求,从而使被攻击方资源耗尽的攻击方式。

Web服务器的IP地址为:192.168.1.10/24 , 配置路由器进行TCP 拦截,以保护Web 服务器不受SYN洪水攻击,在拦截模式下,设置最大半连接数的高、低值为500和300,每分钟保持连接数的高、低值分别为500 和300。

配置如下:Router(config)#access-list 100 permit tcp any host 192.168.1.10Router(config)#ip tcp intercept mode interceptRouter(config)#ip tcp intercept max-incomplete high 500Router(config)#ip tcp intercept max-incomplete low 300Router(config)#ip tcp intercept one-minute high 500Router(config)#ip tcp intercept one-minute low 300Router(config)#ip tcp intercept list 1002防止病毒的入侵病毒入侵经常会使用某些特殊端口,如4444、135、139 等,关闭这些端口可有效防止常见病毒、木马的攻击,以下是配置扩展访问控制列表防止Blaster 蠕虫的传播和攻击:Router(config)#access-list 101 deny tcpany any eq 4444Router(config)#access-list 101 deny udpany any eq 69Router(config)#access-list 101 deny tcpany any eq 135Router(config)#access-list 101 deny udpany any eq 135Router(config)#access-list 101 deny tcpRouter(config)#access-list 101 deny udpany any eq 445Router(config)#access-list 101 deny tcpany any eq 593Router(config)#access-list 101 deny udpany any eq 593Router(config)#access-list 101 permit ipany any3只对外开放允许的服务局域网内部的服务器可以配置成提供各种的服务,我们通常只允许外网访问其中的某些服务。

同样以图1为例,假设服务器192.168.1.10 只对外网开放Web 和Ftp 服务,即只向外网开放80、20、21 端口。