浅谈访问控制列表在学生机房中的应用
2014-10-20邢志伟
摘要:随着网络的发展,网络给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。校园网的安全是一个系统工程,防范不仅是被动的,更要是主动进行。该文基于ACL为主,建立ACL控制列表保障学生机房的安全运行,使校园网运作在一个安全稳定的环境下。
关键词:ACL;学生机房;访问控制列表
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)25-5859-02
现在每个学校都有自己的校园网,网络安全是十分重要的问题,既要防止未经授权的非法数据从外部侵入内部网络,也要防止内部各主机之间的相互攻击。随着校园网络的扩大,一些问题也随之而来,比如学校机房游戏和病毒泛滥、服务器受到攻击、网络拥堵,解决这些问题的方法就是建立一些访问规则,允许访问的可以访问,不许访问的无权访问,访问控制列表ACL可以很好的解决这些问题。
1 访问控制列表ACL
1.1 ACL介绍
ACL是将一些访问规则应用于路由器、三层交换机或者防火墙接口上,使合法的数据包得以通过,非法的数据包被拒绝,从而达到对访问的控制,保障网络安全。
1.2 ACL的分类
1)标准访问列表ACL
标准的ACL只能根据源IP地址进行分类,使用 1-99 以及1300-1999之间的数字作为表号,H3C标准访问列表格式如下:
acl ACL号
rule permit|deny source IP地址 反向子网掩码
2) 扩展访问列表
可以根据源IP地址、目的IP地址、源端口号、目的端口号,协议来进行分类,扩展的ACL使用 100-199以及2000-2699之间的数字作为表号。H3C扩展访问列表格式如下:
acl ACL号
rule permit|deny 协议 定义过滤源主机范围 定义过滤源端口 定义过滤目的主机访问 定义过滤目的端口
3) 命名的访问列表
将标准访问列表或扩展访问列表取个名字,可以对访问列表进行增加、删除操作。格式如下:
acl ACL号 name 名字
1.3 访问列表的定义规范
1) ACL是按着语句的顺序从上向下执行的,所以语句的放置顺序很重要,一旦找到匹配条件的语句就不再检查其他的判断语句了。
2) 在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在 ACL里一定至少有一条“允许”的语句。
3) ACL语句不能被逐条的删除,只能一次性删除整个ACL。
4) 一个ACL的配置可以定义在进口也可以定义在出口方向。
5) 最有限制性的语句应该放在ACL语句的首行。
6) 将标准访问列表要尽可能放置在靠近目的地址的地方
7) 将扩展访问列表要尽量放置在靠近源地址的地方
2 我校校园网的网络设置
2.1学生机房的访问规则
学生机房不允许相互访问,也不能访问教师机,只能访问Web服务器,其它的应用服务器都不让访问,但学生机房的备份服务器可以访问ftp服务器。
2.2 校园网络的拓扑图
Web服务器地址10.60.2.2,Ftp服务器地址10.60.2.3
2.3 三层交换机S7506E配置
建立一个扩展访问列表名字为jifang,规则是可以访问10.60.2.2这台web服务器,四台机房的备份电脑可以访问10.60.2.3这台ftp服务器,其它段的机房、教师电脑及服务器不允许访问,将设置好的ACL添加到相应的vlan中。
[S7506E]acl number 2100 name jifang
[S7506E-acl-adv-2100-jifang]rule 0 permit ip destination 10.60.2.2 0
[S7506E-acl-adv-2100-jifang]rule 1 permit ip source 192.168.3.200 0 destination 10.60.2.3 0
[S7506E-acl-adv-2100-jifang]rule 2 permit ip source 192.168.4.200 0 destination 10.60.2.3 0
[S7506E-acl-adv-2100-jifang]rule 3 permit ip source 192.168.5.200 0 destination 10.60.2.3 0
[S7506E-acl-adv-2100-jifang]rule 4 permit ip source 192.168.6.200 0 destination 10.60.2.3 0
[S7506E-acl-adv-2100-jifang]rule 5 deny ip destination 192.168.0.0 0.0.255.255
[S7506E-acl-adv-2100-jifang]rule 6 deny ip destination 10.60.0.0 0.0.255.255
[S7506E-acl-adv-2100-jifang]rule 7 permit ip
[S7506E-acl-adv-2100-jifang]quit
[S7506E]interface Vlan-interface3
[S7506E-Vlan-interface3]packet-filter name jifang inbound
[S7506E-Vlan-interface3]quit
[S7506E]interface Vlan-interface4
[S7506E-Vlan-interface4]packet-filter name jifang inbound
[S7506E-Vlan-interface4]quit
[S7506E]interface Vlan-interface5
[S7506E-Vlan-interface5]packet-filter name jifang inbound
[S7506E-Vlan-interface5]quit
[S7506E]interface Vlan-interface6
[S7506E-Vlan-interface6]packet-filter name jifang inbound
[S7506E-Vlan-interface6]quit
如果web或ftp服务器没有自己单独的ip地址,也可以单独拒绝服务器的web或ftp服务
例如拒绝vlan4机房登录web服务和ftp服务
[S7506E-acl-adv-2100-jifang]rule 0 deny tcp source 192.168.4.0 0.0.0.255 destination 10.60.2.2 0 destination-port eq www
[S7506E-acl-adv-2100-jifang]rule 1 deny tcp source 192.168.4.0 0.0.0.255 destination 10.60.2.3 0 destination-port eq FTP
[S7506E-acl-adv-2100-jifang]rule 2 deny tcp source 192.168.4.0 0.0.0.255 destination 10.60.2.3 0 destination-port eq ftp-date
通过以上设置就把学生机房隔离开了,相互之间不能影响,一个机房有病毒或游戏就不会传染给其它机房,而每个机房的备份服务器可以访问ftp服务器,从而保证上传或下载一些软件在机房里应用,而学生机房可以正常浏览学校的web网站,这样就保证了学生机房安全独立的运行,从而保证了学校网络的安全运行和正常的教学秩序。
参考文献:
[1] 莫林利.使用ACL技术的网络安全策略研究及应用[J].华东交通大学学报,2009(12).
[2] 蒋理.计算机网络实验操作教程[M].西安:西安电子科技大学出版社,2004:317-319.