ACL在校园网中的应用 - 图文

ACL在校园网中的应用

1研究背景

自从产生了网络，随之而来的就是网络的安全问题。随着IP网络的飞速发展，网络QOS（Quality of Service，服务质量）和网络安全越来越被ISP重视。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的非法数据从外部侵入内部Intranet，也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取，将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备，是保证网络安全的第一关,而在路由器上设置访问控制列表（ACL）可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议，通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以起到控制网络流量的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。对数据流实现较精确的识别和控制，成为服务质量提高的又一个基本要求。在通信设备中，如果能根据报文的封装信息的特征配置过滤规则，并对经过报文的封装信息进行识别，就可以较精确的识别出具有相同特征的一条或一组数据流。针对此规则在配置一个数据流量控制方案，网络设备就可以较精确的对某条流量实行控制了。ACL(access Control List)就这样应运而生了。它实现了报文的过滤和控制功能。本文研究的内容就是：ACL怎样在校园网中发挥作用的。

2 基本功能、原理与局限性

基本原理：入站数据包进入路由器内，路由器首先判断数据包是否从可路由的源地址而来，否的话放入数据包垃圾桶中，是的话进入下一步；路由器判断是否能在路由选择表内找到入口，不能找到的话放入数据垃圾桶中，能找到的话进入下一步。接下来选择路由器接口，进入接口后使用ACL。ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息，而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则，符合要求的数据包允许其到达目的地址进入网络内部，不符合规则的则丢弃，同时通知数据包发送端，数据包未能成功通过路

1

ACL在校园网中的应用

由器。通过ACL，可以简单的将不符合规则要求的危险数据包拒之门外，使其不能进入内部网络。

图2-1 ACL工作原理

功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

3 ACL原理概述

3.1概述

TCP/IP 协议中数据包由IP 报头、TCP/UDP 报头、数据组成，IP 报头中包含上层的协议端口号、源地址、目的地址，TCP/UDP 报头包含源端号、目的端口，设备信息。ACL（访问控制列表）利用这些信息来定义规则，通过一组由多条deny（拒绝）和permit（允许）语句组成的条件列表，对数据包进行比较、分类，然后根据条件实施过滤。如果满足条件，则执行给定的操作；如果不满足条件，则不做任何操作继续测试下一条语句。

3.2 ACL的基本原理

2

ACL在校园网中的应用

ACL使用包过滤技术，在路由器上读取第二层，第三层及第四层包头中的信息源地址，目的地址，源端口和目的端口等。根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

在网络中，ACL不但可以让网管员用来制定网络策略，对个别用户或特定数据流进行控制；也可以用来加强网络的安全屏蔽作用。从简单的Ping of Death攻击、TCP Syn攻击，到更多样化更复杂的黑客攻击，ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力，网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。需要指出的是，与速率限制相同，网络设备不仅应该能够执行完整的ACL功能，包括进站和出站，同时也必须强调硬件的处理能力。这样，用户在启动ACL的同时，才不会影响到二层或三层交换设备线速转发数据包的能力。

非法接入、报文窃取、IP地址欺骗、拒绝服务攻击等来自网络层和应用层的攻击常常会耗尽网络资源，让用户网管人员难于应对。针对这些问题，二、三层的访问控制、防火墙技术、入侵检测、身份验证、数据加密、防病毒都提供了有效的解决途径。而在保障网络边际安全方面，访问控制列表（Access Control List，ACL）可以说是最先与安全威胁进行交火的主力军。

ACL是对通过网络接口进入网络内部的数据包进行控制的机制，分为标准ACL和扩展ACL（Extended ACL）两种。标准ACL只对数据包的源地址进行检查，扩展ACL对数据包中的源地址、目的地址、协议以及端口号进行检查。作为一种应用在路由器接口的指令列表，ACL已经在一些核心路由交换机和边缘交换机上得到应用，从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等二层技术，实现对网络的各层面的有效控制。

3.3 ACL的主要功能

1、ACL实现网络流量限制及提高网络性能

例如，如果公司策略不允许在网络中传输视频数据流，就应该配置并应用阻止视频数据流的ACL。这将显著降低网络负载并提高网络性能。 2、ACL提供对通信流量的控制手段

ACL可限制路由选择更新的传输。如果网络状况不需要更新，便可节约带宽。 3、ACL提供网络安全访问的基本安全级别

ACL可允许某台主机访问部分网络，同时阻止另一台主机访问该区域。 4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 例如，ACL可允许电子邮件数据流，但阻止所有Telnet数据流。 5、控制客户端可访问网络的哪些区域。

6、允许或拒绝主机访问网络服务。ACL可允许或拒绝用户访问特定文件类型，如FTP或HTTP。

3

ACL在校园网中的应用

3.4 ACL 3P原则

记住3P 原则，您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL。

每种协议一个ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。

每个方向一个ACL：一个ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。

每个接口一个ACL： 一个ACL只能控制一个接口（例如快速以太网 0/0）上的流量。

ACL 的编写可能相当复杂而且极具挑战性，每个接口上都可以针对多种协议和各个方向进行定义。

3.5使用ACL的指导原则

(1)在位于内部网络和外部网络（如Internet）之间的防火墙路由器中使用ACL。 (2)在位于网络两部分之间的路由器中使用ACL，以控制数据流进出内部网络的特定部分。

(3)在位于网络边缘的边界路由器中配置ACL，这样可在内部网络和外部网络之间或网络中受控度较低的区域和敏感区域之间提供基本缓冲。

(4)在边界路由器接口中，为配置的每种网络协议配置ACL，可在接口上配置ACL以过滤入站数据流、出站数据流或两者。

4 访问控制列表概述

4.1访问控制列表的分类

4.1.1标准ACL

标准ACL是基于源地址的数据包过滤,采用比较源地址的方法来允许/拒绝报文通过.当我们要想阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时。可以使用标准ACL来实现这一目标，检查路由的数据包的源地址，从而允许或拒绝基于网络或子网或主机的IP地址的所有通信流量通过路由器的出口。IP标准访问控制列表编号：1～99或1300～1999。

4.1.2 扩展ACL

扩展ACL是基于目标地址、源地址和网络协议及其端口的数据包过滤，采用

4