1、毕 业 论 文(设计)论文(设计)题目:基于ACL的校园网络安全策略系 别: 专 业: 学 号: 姓 名: 指导教师: 时 间: 毕 业 论 文(设 计) 开 题 报 告系别:计算机与信息科学系 专业:计算机科学与技术学 号 姓 名论文(设计)题目基于ACL的校园网络安全策略命题来源教师命题 学生自主命题 教师课题选题意义(不少于300字): 本选题的目的是配置以ACL为核心、安全可靠的校园网络。随着网络的高速发展,网络的普及也越来越平民化,网络的安全问题也越来越引起人们的重视,在现实生活中我们每天都在面对各种各样的病毒,木马,非法入侵,基于这些现状我们必须有一套安全可靠的防护措施。高校校园网
2、的安全是一个庞大的系统工程,需要全方位防范。防范不仅是被动的,更要主动进行,只有这样,才能取得主动权,使网络避免有意无意的攻击。ACL即访问控制列表,它是工作在OSI参考模型三层以上设备,通过对数据包中的第三、四层中的包头信息按照给定的规则进行分析,判断是否转发该数据包。基于ACL的网络病毒的过滤技术在一定程度上可以比较好的保护局域网用户免遭外界病毒的干扰,是一种比较好的中小型局域网网络安全控制技术。研究综述(前人的研究现状及进展情况,不少于600字): ACL的全称是控制访问列表:Acces Conttol List,控制访问起源于20世纪60年代,是一种重要的信息安全技术。所谓访问控制,就
3、是通过某种途径显示地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的ACL是CISCO IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方法都可能有细微的差别。CISCO路由器中有两种常用的控制访问列表,一种是标准访问列表,另一种是扩展访问列表。随着网络技术的发展和用户需求的变化,从IOS 12.0开始,CISCO路由器新增加了一种基于时
4、间的访问控制。 ACL的介绍,主要包括以下几点:(1) ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预选定义好的规则对包进行过滤,从而达到访问控制目的。(2) ACL的主要功能就是一方面保护资源节点,组织非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。(3) 在实施ACL的过程中,应当遵循如下两个基本原则。 最小特权原则:只给受控对象完成任务必须的最小权限。 最靠近受控对象原则:所有的网络层访问权限控制尽可能离受控对象最近。 (4)ACL过滤的依据是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性
5、,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end 的权限控制目的,需要和系统级及应用级的访问控制权限结合使用。研究的目标和主要内容(不少于400字)本选题基于ACL为主,同时搭配NAT和虚拟局域网技术,其中采用虚拟局域网技术和建立ACL列表控制保障整个校园网络的安全运行,NAT在合理减少合法地址需求的同时还可以隐藏内部真实的网络地址,减低黑客入侵的成功率,使校园网运作在一个安全稳定的环境下。本选题研究内容如下:(1) ACL的发展,现状和将来,详细介绍ACL的概念,原理,工作流程,分类和局限性。(2) 详细说明ACL的匹配顺序,创建出一个控制访问列表的简
6、单示例,并详细说明控制访问列表的配置任务和放置控制访问列表的正确位置。(3)配置各种类型的访问控制列表,比如基本访问控制列表,高级访问控制列表,基于接口的访问控制列表,基于以太网MAC地址的访问控制列表并完成删除控制列表的操作。(4)完成时间段的控制访问列表配置,访问控制列表的显示和调试。(5)简述校园网的特点及其所面临的安全问题及解决办法。(6)搭建配置校园网的环境,配置校园网的控制访问列表实例。(7)对配置好控制访问列表的校园网的安全性能进行测试。拟采用的研究方法a)查找并阅读相关资料,了解基本的内容,利用需求分析文档,对整个控制访问策略有个基本的架构。b)搜寻实验用的文件文档集和研究过程
7、中用到的各种工具软件。c)根据已有的资料并搜寻到的各种软件工具进行分析、设计。d)采用DynamipsGUI、gns3、Cisco Packet Tracer 5.3等工具完成整个策略的编写与测试。研究工作的进度安排2010年11月24号11月29号与指导老师沟通交流,完成毕业论文选题。2010年12月12号12月19号搜集资料,查阅文献,完成开题报告。l2010年12月20号2011年1月1日 完成文献综述2011年1月2号1月15号 定出基于ACL技术的校园网络安全的需求分析文档2011年1月16号1月30号 整理相关资料并完成概要和详细设计2011年2月1号3月30号 进行校园局域网的相
8、关配置和必要性测试l2011年4月1号4月15号 后期的联机调试和测试l2011年4月16号4月30号 总结毕业设计的整个过程,完成毕业设计论文初稿2011年5月1号5月30号 修改毕业论文定稿,打印装订,参加答辩参考文献目录(作者、书名或论文题目、出版社或刊号、出版年月日或出版期号)1 郭自龙.访问控制列表在网络管理中的应用.M.北京:清华大学出版社,20042 周星,张震等.网络层访问控制列表的应用J.河南大学学报,2004,20(5):56-583 付国瑜,黄贤英,李刚.带入侵检测系统的网络安全研究J.重庆工学院学报,2005,25(8):26-304 仇国阳.路由器的“防火”功能研究J
9、.苏州大学学报(工科版),2004,36(6):45-495 斯桃枝,姚驰甫.路由与交换技术M.北京:北京大学出版社,20086 谢希仁. 计算机网络 第五版M.北京:电子工程出版社,20087 兰少华,杨余旺,吕建勇.TCP/IP网络与协议M.北京:清华大学出版社,20098 甘刚.网络设备配置与管理M.北京:清华大学出版社,20079(美)Cisco System公司 Cisco Networking Academy Program 著,清华大学,北京大学,北京邮电大学,华南理工大学思科网络学院译思科网络技术学院教程(第一、二学期)(第三版)M北京:人民邮电出版社,2006指导教师意见该生
10、的选题基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网运作在一个安全稳定的环境下,技术上比较新颖,难度适中,也有实用价值,工作量符合要求,同意开题。 签名: 年 月 日教研室主任意见同意指导教师意见,同意开题。 签名: 年 月 日目 录摘要1关键词1前言11 基本功能、原理与局限性12 访问控制列表概述22.1 访问控制列表的分类32.2 访问控制列表的匹配顺序32.3 访问控制列表的创建32.4 通配符掩码52.5 正确放置ACL63 访问控制列表的配置63.1 访问控制列表配置73.1.1 配置标准访问控制列表73.1.2 配置扩展访问控制列表73.1.3配置命名访问
11、控制列表83.1.4 删除访问控制列表93.2基于时间段的访问控制列表配置103.3 访问控制列表的显示和调试114 校园网ACL配置实例114.1 搭建配置环境124.2 校园网ACL实际用例135 小结16参考文献:16Abstract16Keywords16致谢17 基于ACL的校园网络安全策略计算机科学与技术专业 指导老师 摘要随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程,需要全方位的防范。防范不仅是被动的,更要主动进行。
12、本文基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网运作在一个安全稳定的环境下。关键词ACL;校园网;网络安全策略;访问控制列表 前言自从产生了网络,随之而来的就是网络的安全问题。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的非法数据从外部侵入内部Intranet,也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取,将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备,是保证网络安全的第一关,而在路由器上设置控制访问列表(ACL)可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议,通过灵
13、活地增加访问控制列表,ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。1 基本功能、原理与局限性基本原理:入站数据包进入路由器内,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。接下来选择路由器接口,进入接口后使用ACL。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义
14、好的规则对包进行过滤,从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息,而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。图1 ACL工作原理功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源
15、节点的访问,另一方面限制特定的用户节点所能具备的访问权限。局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。2 访问控制列表概述 访问控制列表(Acess Control List,ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。在
16、这里,只介绍IP协议的ACL。 ACL的作用1. ACL可以限制网络流量、提高网络性能。2. ACL提供对通信流量的控制手段。 3. ACL是提供网络安全访问的基本手段。 4. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。2.1 访问控制列表的分类目前有两种主要的ACL:标准ACL和扩展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。IP标准访问控制列表编号:199或13001999IP扩展访问控制列表编号:100199或200026992.2 访问控制列表的匹配顺序ACL的执行顺序
17、是从上往下执行,Cisco IOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。在写ACL时,一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句图2 ACL的匹配顺序2.3 访问控制列表的创建标准ACL命令的详细语法1 创建ACL定义例如:Router(config)#access-list 1 permit 10.0.0.0 0.255.255.2552应用于接口例如:Router(config-if)#ip access-group 1 ou
18、t扩展ACL命令的详细语法1. 创建ACL定义例如:accell-list101 permit host 10.1.6.6 any eq telnet2. 应用于接口例如:Router(config-if)#ip access-group 101 out下面更详细的介绍扩展ACL的各个参数: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port
19、 established log表1 扩展ACL参数描述参数参数描述access-list-number访问控制列表表号permit|deny如果满足条件,允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型,如IP、TCP、UDP、ICMP等Source and destination分别用来标识源地址和目的地址source-mask通配符掩码,跟源地址相对应destination-mask通配符掩码,跟目的地址相对应operator lt,gt,eq,neq(小于,大于,等于,不等于) operand一个端口号established如果数据包使用一个已建立连接,便可允许TC
20、P信息通过表2 常见端口号端口号(Port Number)20文件传输协议(FTP)数据21文件传输协议(FTP)程序23远程登录(Telnet)25简单邮件传输协议(SMTP)69普通文件传送协议(TFTP)80超文本传输协议(HTTP)53域名服务系统(DNS)标准ACL与扩展ACL的比较:图3 标准ACL与扩展ACL的比较2.4 通配符掩码通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示“不检查(忽略)相应的位”。IP地址掩码的作用:区分网络为和主机位,使用的是与运算。0和任何数相乘都得0,1和任何数相乘都得任何数。通配符掩码:把需要准确匹配的位设为0,其他位为1,进行
21、或运算。1或任何数都得1,0或任何数都得任何数。特殊的通配符掩码:1.Any0.0.0.0 255.255.255.2552.Host172.16.30.28 0.0.0.0Host 172.16.30.282.5 正确放置ACL ACL通过制定的规则过滤数据包,并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的。但是网络能否有效地减少不必要的通信流量,同时达到保护内部网络的目的,将ACL放置在哪个位置也十分关键。假设存在着一个简单的运行在TCP/IP协议的网络环境,分成4个网络,设置一个ACL拒绝从网络1到网络4的访问。根据减少不必要通信流量的准则,应该把ACL放置于被拒绝的网
22、络,即网络1处,在本例中是图中的路由器A上。但如果按这个准则设置ACL后会发现,不仅是网络1与网络4不能连通,网络1与网络2和3也都不能连通。回忆标准ACL的特性就能知道,标准ACL只检查数据包的中的源地址部分,在本例子中,凡是发现源地址为网络1网段的数据包都会被丢弃,造成了网络1不能与其他网络联通的现象。由此可知,根据这个准则放置的ACL不能达到目的,只有将ACL放置在目的网络,在本例子中即是网络4中的路由器D上,才能达到禁止网络1访问网络4的目的。由此可以得出一个结论,标准访问控制列表应尽量放置在靠近目的端口的位置。在本例子中,如果使用扩展ACL来达到同样的要求,则完全可以把ACL放置在网
23、络1的路由器A上。这是因为扩展访问控制列表不仅检查数据包中的源地址,还会检查数据包中的目的地址、源端口、目的端口等参数。放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段,则会丢弃这个数据包,而检查出数据包的目的地址是指向网络2和3的网段,则会让这个数据包通过。既满足了减少网络通信流量的要求,又达到了阻挡某些网络访问的目的。由此,可以得出一个结论,扩展访问控制列表应尽量放置在靠近源端口的位置。图4 正确设置ACL编辑原则:标准ACL要尽量靠近目的端扩展ACL要尽量靠近源端3 访问控制列表的配置3.1 访问控制列表配置3.1.1 配置标准访问控制列表以下是标准访问列表的常
24、用配置命令。跳过简单的路由器和PC的IP地址设置1.配置路由器R1的标准访问控制列表R1(config)#access-list 1 deny 172.16.1.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#access-list 2 permit 172.16.3.1 0.0.0.2552.常用实验调试命令在PC1网络所在的主机上ping 2.2.2.2,应该通,在PC2网络所在的主机上ping 2.2.2.2,应该不通,在主机PC3上Telnet 2.2.2.2,应该成功。 Outgoing access list is
25、not set Inbound access list is 1以上输出表明在接口S2/0的入方向应用了访问控制列表1。3.1.2 配置扩展访问控制列表相比基本访问控制列表,扩展访问控制列表更加复杂,不仅需要读取数据包的源地址,还有目的地址、源端口和目的端口。图5 用扩展ACL检查数据包扩展访问控制列表的常见配置命令。1.配置路由器R1R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www2.常用调试命令分别在访问路由器R2的Telnet和WWW服务,然后查看访问控制列表100:R1#show
26、 ip access-lists 100Extended IP access list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www 3.1.3配置命名访问控制列表命名ACL是IOS11.2以后支持的新特性。命名ACL允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL,命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。它提供的两个主要优点是:解决ACL的号码不足问题;可以自由的删除ACL中的一条语句,而不必删除整个ACL。命名ACL的主要不足之处在于无法实现
27、在任意位置加入新的ACL条目。语法为:Router(config)#ip access-list standard | extended name名字字符串要唯一Router(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions 允许或拒绝陈述前没有表号可以用“NO”命令去除特定的陈述Router(config-if)# ip
28、 access-group name in | out 在接口上激活命名ACL例如:ip access-list extend server- protectpermit tcp 10.1.0.0 0.0.0.255 host 10.1.2.21 eq 1521int vlan 2ip access-group server- protect命名ACL还有一个很好的优点就是可以为每个ACL取一个有意义的名字,便于日后的管理和维护。最后是命名ACL常用配置命令。1 在路由器R1上配置命名的标准ACLR1(config)#ip access-list standard standR1(config
29、-std-nacl)#deny 172.16.1.0 0.0.0.255R1(config-std-nacl)#permit any创建名为stand的标准命名访问控制列表2 在路由器R1上查看命名访问控制列表R1#show ip access-lists Standard IP access list 1 deny 172.16.1.0 0.0.0.255 permit any (110 match(es)3 在路由器R1配置命名的扩展ACL R1(config)#ip access-list extended ext1R1(config-ext-nacl)#permit tcp 172.1
30、6.1.0 0.0.0.255 host 2.2.2.2 eq www创建名为ext1的命名扩展访问控制列表4 在路由器R1和R3上查看命名访问控制列表R1#show access-lists Extended IP access list ext1 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www3.1.4 删除访问控制列表删除ACL的方法十分简单,只需在ACL表号前加“NO”就可以了,例如:R2(config)#no access-list 1 输入这个命令后,ACL表号为1和2的ACL内所有的条目都会被删除。标准和扩展的ACL只能删除
31、整个ACL条目,不能删除个别条目。命名ACL与标准和扩展ACL不同,它可以删除个别的控制条目。例如:no permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521在“permit tcp 10.0.0.0 0.0.255.255 host 10.1.2.21 eq 1521”前加“no”即可删除这条ACL语句条目,之后可以重新写入新的条目3.2基于时间段的访问控制列表配置使用标准访问控制列表和扩展访问控制列表就可以应付大部分过滤网络数据包的要求了。不过在实际的使用中总会有人提出一些较为苛刻的要求,这是就还需要掌握一些关于ACL的高级技巧。基于
32、时间的访问控制类别就属于高级技巧之一。基于时间的访问控制列表的用途:可能一些单位或者公司会遇到这样的情况,要求上班时间不能使用QQ或者浏览某些网站,或者不能在上班时间使用某些应用,只有在下班或者周末才可以。对于这种情况,仅仅通过发布通知不能彻底杜绝员工非法使用的问题,这时基于时间的访问控制列表就应运而生了。基于时间的访问控制列表的格式;基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。这里主要解释下定义时间段,具体格式如下:time-range 时间段格式absolute start 小时:分钟 日 月 年 end 小时:分钟 日 月 年例如:ti
33、me-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。还可以定义工作日和周末,具体要使用periodic命令。将在下面的配置实例中详细介绍。基于时间的ACL配置常用命令R1(config)#time-range time /定义时间范围R1(config-time-range)#periodic weekdays 8:00 to 18:00R1(config)#access-l
34、ist 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time常用实验调试命令 用“clock set”命令将系统时间调整到周一至周五的8:00-18:00范围内,然后在Telnet路由器R1,此时可以成功,然后查看访问控制列表111:R1#show access-listsExtended IP access list 111 10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (active) 用“clock set”命令
35、将系统时间调整到8:00-18:00范围之外,然后Telnet路由器R1,此时不可以成功,然后查看访问控制列表111:R1#show access-listsExtended IP access list 111 10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (inactive) show time-range:该命令用来查看定义的时间范围。R1#show time-rangetime-range entry: time (inactive) periodic weekdays 8:00 to 18:0
36、0 used in: IP ACL entry 以上输出表示在3条ACL中调用了该time-range。3.3 访问控制列表的显示和调试在特权模式下,使用“show access-lists ”可以显示路由器上设置的所有ACL条目;使用“show access-list acl number”则可以显示特定ACL号的ACL条目;使用“show time-range”命令可以用来查看定义的时间范围;使用“clear access-list counters”命令可以将访问控制列表的计数器清零。4 校园网ACL配置实例校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互
37、连接起来,形成校园园区内部的Intranet系统,对外通过路由设备接入广域网。包过滤技术和代理服务技术是当今最广泛采用的网络安全技术,也就是我们通常称的防火墙技术。防火墙可以根据网络安全的规则设置允许经过授权的数据包进出内部网络,同时将非法数据包挡在防火墙内外,最大限度地阻止黑客攻击。包过滤技术以访问控制列表的形式出现,一个设计良好的校园网络访问控制列表不仅可以起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。本实验通过模拟校园网环境,配置校园网路由器中的ACL,达到模拟校园ACL配置的目的。通过模拟环境的实验,还可以模拟各种网络攻击,模
38、拟特定目的端口数据包的发送,检验配置的ACL命令的可行性。4.1 搭建配置环境校园网拓扑图如图6所示图6 校园网拓扑图表3 校园网的VLAN及IP地址规划VLAN号VLAN名称IP网段默认网关说明VLAN1-192.168.0.0/24192.168.0.254管理VLANVLAN 10JWC192.168.1.0/24192.168.1.254教务处VLANVLAN 20XSSS192.168.2.0/24192.168.2.254学生宿舍VLANVLAN 30CWC192.168.3.0/24192.168.3.254财务处VLANVLAN 40JGSS192.168.4.0/24192.
39、168.4.254教工宿舍VLANVLAN 50ZWX192.168.5.0/24192.168.5.254中文系VLANVLAN 60WYX192.168.6.0/24192.168.6.254外语系VLANVLAN 70JSJX192.168.7.0/24192.168.7.254计算机系VLANVLAN 100FWQQ192.168.100.0192.168.100.254服务器群VLAN具体的VLAN设置方法及网络联通设置在这里不在冗述,重点放在ACL的设置上。4.2 校园网ACL实际用例首先是设置校园网内部三层交换机上的ACL。规定只有在财务处VLAN 30内的主机可以访问财务处VL
40、AN 30,其他的教学单位部门可以互访;学生宿舍和教工宿舍VLAN可以互访,并且可以访问除了财务处和教务处外的其他教学单位。所有VLAN都可以访问服务器群VLAN。财务处ACL设置Multilayer Switch1(config)#ip access-list extended CWCMultilayer Switch1(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 any 教工宿舍ACL设置与学生宿舍ACL设置同理在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。接下来是对连接外网的路由器添加ACL。屏蔽简单网络管理协议(
41、SNMP)利用这个协议,远程主机可以监视、控制网络上的其他网络设备。它有两种服务类型:SNMP和SNMPTRAP。R1(config)#ip access-list extended netR1(config-ext-nacl)#deny udp any any eq 161对外屏蔽远程登录协议TelnetR1(config-ext-nacl)#deny tcp any any eq 23对外屏蔽其他不安全的协议和服务这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)
42、端口111。R1(config-ext-nacl)#deny tcp any any range 512 514防止DoS攻击DoS攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。R1(config-ext-nacl)#deny udp any any eq 7R1(config)#int f0/0R1(config-if)#no ip directed-broadcast最后一行的设置禁止子网内广播保护路由器安全作为内网、外网间屏障的路由器,保护自身安全
43、的重要性也是不言而喻的。为了阻止黑客入侵路由器,必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址使用Telnet访问并配置路由器,内部其他部分的主机都不能用Telnet访问和配置路由器。R1(config)#access-list 1 permit 192.168.100.0 0.0.0.255R1(config)#line vty 0 4R1(config-line)#access-class 1 inR1(config-line)#password ciscoR1(config-line)#enable password cisco系统测试当校园网环境建成后,应对校园网的整体
44、运行情况做一下细致的测试和评估。大致包含以下测试:对相同VLAN内通信进行测试、对不同VLAN内的通信进行测试、对内部网的ACL进行测试、对广域网接入路由器上的ACL进行测试。测试相同VLAN内通信添加一台财务处VLAN30的主机,与VLAN30的用PING命令测试联通性。PCping 192.168.3.111Pinging 192.168.3.111 with 32 bytes of data:Reply from 192.168.3.111: bytes=32 time=47ms TTL=128成功联通测试不同VLAN间通信1.使用VLAN30内的主机与学生宿舍VLAN20用PING命令测试联通性PCping 192.168.2.168Pinging 192.168.2.168 with 32 bytes of data:Request timed out.连接失败,证明ACL设置成功。2.使用学生宿舍内主机PING教务处主机PCping 192.168.1.168Pinging 192.168.1.168 with 32 bytes of data:Request timed out.连接失败,证明ACL设置成功。测试路由器ACL1.内部网络使用服务器群Telnet路由器PCtelnet 192.168.0.254Trying