《网络工程毕业设计_基于ACL的校园网络安全策略》.doc
《《网络工程毕业设计_基于ACL的校园网络安全策略》.doc》由会员分享,可在线阅读,更多相关《《网络工程毕业设计_基于ACL的校园网络安全策略》.doc(26页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、毕 业 论 文(设计)论文(设计)题目:基于ACL的校园网络安全策略系 别: 专 业: 学 号: 姓 名: 指导教师: 时 间: 毕 业 论 文(设 计) 开 题 报 告系别:计算机与信息科学系 专业:计算机科学与技术学 号 姓 名论文(设计)题目基于ACL的校园网络安全策略命题来源教师命题 学生自主命题 教师课题选题意义(不少于300字): 本选题的目的是配置以ACL为核心、安全可靠的校园网络。随着网络的高速发展,网络的普及也越来越平民化,网络的安全问题也越来越引起人们的重视,在现实生活中我们每天都在面对各种各样的病毒,木马,非法入侵,基于这些现状我们必须有一套安全可靠的防护措施。高校校园网
2、的安全是一个庞大的系统工程,需要全方位防范。防范不仅是被动的,更要主动进行,只有这样,才能取得主动权,使网络避免有意无意的攻击。ACL即访问控制列表,它是工作在OSI参考模型三层以上设备,通过对数据包中的第三、四层中的包头信息按照给定的规则进行分析,判断是否转发该数据包。基于ACL的网络病毒的过滤技术在一定程度上可以比较好的保护局域网用户免遭外界病毒的干扰,是一种比较好的中小型局域网网络安全控制技术。研究综述(前人的研究现状及进展情况,不少于600字): ACL的全称是控制访问列表:Acces Conttol List,控制访问起源于20世纪60年代,是一种重要的信息安全技术。所谓访问控制,就
3、是通过某种途径显示地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的ACL是CISCO IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方法都可能有细微的差别。CISCO路由器中有两种常用的控制访问列表,一种是标准访问列表,另一种是扩展访问列表。随着网络技术的发展和用户需求的变化,从IOS 12.0开始,CISCO路由器新增加了一种基于时
4、间的访问控制。 ACL的介绍,主要包括以下几点:(1) ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预选定义好的规则对包进行过滤,从而达到访问控制目的。(2) ACL的主要功能就是一方面保护资源节点,组织非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。(3) 在实施ACL的过程中,应当遵循如下两个基本原则。 最小特权原则:只给受控对象完成任务必须的最小权限。 最靠近受控对象原则:所有的网络层访问权限控制尽可能离受控对象最近。 (4)ACL过滤的依据是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性
5、,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end 的权限控制目的,需要和系统级及应用级的访问控制权限结合使用。研究的目标和主要内容(不少于400字)本选题基于ACL为主,同时搭配NAT和虚拟局域网技术,其中采用虚拟局域网技术和建立ACL列表控制保障整个校园网络的安全运行,NAT在合理减少合法地址需求的同时还可以隐藏内部真实的网络地址,减低黑客入侵的成功率,使校园网运作在一个安全稳定的环境下。本选题研究内容如下:(1) ACL的发展,现状和将来,详细介绍ACL的概念,原理,工作流程,分类和局限性。(2) 详细说明ACL的匹配顺序,创建出一个控制访问列表的简
6、单示例,并详细说明控制访问列表的配置任务和放置控制访问列表的正确位置。(3)配置各种类型的访问控制列表,比如基本访问控制列表,高级访问控制列表,基于接口的访问控制列表,基于以太网MAC地址的访问控制列表并完成删除控制列表的操作。(4)完成时间段的控制访问列表配置,访问控制列表的显示和调试。(5)简述校园网的特点及其所面临的安全问题及解决办法。(6)搭建配置校园网的环境,配置校园网的控制访问列表实例。(7)对配置好控制访问列表的校园网的安全性能进行测试。拟采用的研究方法a)查找并阅读相关资料,了解基本的内容,利用需求分析文档,对整个控制访问策略有个基本的架构。b)搜寻实验用的文件文档集和研究过程
7、中用到的各种工具软件。c)根据已有的资料并搜寻到的各种软件工具进行分析、设计。d)采用DynamipsGUI、gns3、等工具完成整个策略的编写与测试。研究工作的进度安排2010年11月24号11月29号与指导老师沟通交流,完成毕业论文选题。2010年12月12号12月19号搜集资料,查阅文献,完成开题报告。l2010年12月20号2011年1月1日 完成文献综述2011年1月2号1月15号 定出基于ACL技术的校园网络安全的需求分析文档2011年1月16号1月30号 整理相关资料并完成概要和详细设计2011年2月1号3月30号 进行校园局域网的相关配置和必要性测试l2011年4月1号4月15
8、号 后期的联机调试和测试l2011年4月16号4月30号 总结毕业设计的整个过程,完成毕业设计论文初稿2011年5月1号5月30号 修改毕业论文定稿,打印装订,参加答辩参考文献目录(作者、书名或论文题目、出版社或刊号、出版年月日或出版期号)1 郭自龙.访问控制列表在网络管理中的应用.M.北京:清华大学出版社,20042 周星,张震等.网络层访问控制列表的应用J.河南大学学报,2004,20(5):56-583 付国瑜,黄贤英,李刚.带入侵检测系统的网络安全研究J.重庆工学院学报,2005,25(8):26-304 仇国阳.路由器的“防火”功能研究J.苏州大学学报(工科版),2004,36(6)
9、:45-495 M.北京:北京大学出版社,20086 谢希仁. 计算机网络 第五版M.北京:电子工程出版社,20087 兰少华,杨余旺,吕建勇.TCP/IP网络与协议M.北京:清华大学出版社,20098 甘刚.网络设备配置与管理M.北京:清华大学出版社,20079(美)Cisco System公司 Cisco Networking Academy Program 著,清华大学,北京大学,北京邮电大学,华南理工大学思科网络学院译思科网络技术学院教程(第一、二学期)(第三版)M北京:人民邮电出版社,2006指导教师意见该生的选题基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网
10、运作在一个安全稳定的环境下,技术上比较新颖,难度适中,也有实用价值,工作量符合要求,同意开题。 签名: 年 月 日教研室主任意见同意指导教师意见,同意开题。 签名: 年 月 日目 录摘要1关键词1前言11 基本功能、原理与局限性12 访问控制列表概述22.1 访问控制列表的分类32.2 访问控制列表的匹配顺序32.3 访问控制列表的创建32.4 通配符掩码52.5 正确放置ACL63 访问控制列表的配置63.1 访问控制列表配置73.1.1 配置标准访问控制列表73.1.2 配置扩展访问控制列表7配置命名访问控制列表83.1.4 删除访问控制列表9基于时间段的访问控制列表配置103.3 访问控
11、制列表的显示和调试114 校园网ACL配置实例114.1 搭建配置环境124.2 校园网ACL实际用例135 小结16参考文献:16Abstract16Keywords16致谢17基于ACL的校园网络安全策略计算机科学与技术专业 指导老师 摘要随着网络的高速发展,网络的普及也越来越平民化,在人们的学习和生活的方方面面,网络无孔不入,给人们的学习和生活带来了极大的便利,但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程,需要全方位的防范。防范不仅是被动的,更要主动进行。本文基于ACL为主,建立ACL列表控制和保障整个校园网的安全运行,使校园网运作在一个安全稳定的
12、环境下。关键词ACL;校园网;网络安全策略;访问控制列表 前言自从产生了网络,随之而来的就是网络的安全问题。任何连接上网络的企业、单位、个人都要时刻注意自己的网络安全问题。既要防止未经授权的非法数据从外部侵入内部Intranet,也要防止内部各主机之间的相互攻击,一旦网络瘫痪或者信息被窃取,将会带来巨大的损失。路由器作为Intranet和Internet的网间互连设备,是保证网络安全的第一关,而在路由器上设置控制访问列表(ACL)可以很好的解决这些网络安全问题。访问控制列表适用于所有的路由协议,通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具。一个设计良好的访问控制列表不仅可以
13、起到控制网络流量、流量的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。1 基本功能、原理与局限性基本原理:入站数据包进入路由器内,路由器首先判断数据包是否从可路由的源地址而来,否的话放入数据包垃圾桶中,是的话进入下一步;路由器判断是否能在路由选择表内找到入口,不能找到的话放入数据垃圾桶中,能找到的话进入下一步。接下来选择路由器接口,进入接口后使用ACL。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 其中标准控制列表只读取数据包中的源地址信息,而
14、扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则,符合要求的数据包允许其到达目的地址进入网络内部,不符合规则的则丢弃,同时通知数据包发送端,数据包未能成功通过路由器。通过ACL,可以简单的将不符合规则要求的危险数据包拒之门外,使其不能进入内部网络。图1 ACL工作原理功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。局限性:由于ACL是使用包过滤技术来
15、实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。2 访问控制列表概述 访问控制列表(Acess Control List,ACL)是管理者加入的一系列控制数据包在路由器中输入、输出的规则访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。在这里,只介绍IP协议的ACL。 ACL的作用1. ACL可以限制网络流量、提高网络性能。2.
16、ACL提供对通信流量的控制手段。 3. ACL是提供网络安全访问的基本手段。 4. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。2.1 访问控制列表的分类目前有两种主要的ACL:标准ACL和扩展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。IP标准访问控制列表编号:199或13001999IP扩展访问控制列表编号:100199或200026992.2 访问控制列表的匹配顺序ACL的执行顺序是从上往下执行,Cisco IOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对
17、数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。在写ACL时,一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则,只有这样才能保证不会出现无用的ACL语句图2 ACL的匹配顺序2.3 访问控制列表的创建标准ACL命令的详细语法1 创建ACL定义例如:Router(config)#access-list 1 permit 2应用于接口例如:Router(config-if)#ip access-group 1 out扩展ACL命令的详细语法1. 创建ACL定义例如:accell-list101 permit host .6 any eq telnet
18、2. 应用于接口例如:Router(config-if)#ip access-group 101 out下面更详细的介绍扩展ACL的各个参数: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log表1 扩展ACL参数描述参数参数描述access-list-number访问控制列表表号permit|deny如果满足
19、条件,允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型,如IP、TCP、UDP、ICMP等Source and destination分别用来标识源地址和目的地址source-mask通配符掩码,跟源地址相对应destination-mask通配符掩码,跟目的地址相对应operator lt,gt,eq,neq(小于,大于,等于,不等于) operand一个端口号established如果数据包使用一个已建立连接,便可允许TCP信息通过表2 常见端口号端口号(Port Number)20文件传输协议(FTP)数据21文件传输协议(FTP)程序23远程登录(Telnet)25
20、简单邮件传输协议(SMTP)69普通文件传送协议(TFTP)80超文本传输协议(HTTP)53域名服务系统(DNS)标准ACL与扩展ACL的比较:图3 标准ACL与扩展ACL的比较2.4 通配符掩码通配符掩码是一个32位的数字字符串,0表示“检查相应的位”,1表示“不检查(忽略)相应的位”。IP地址掩码的作用:区分网络为和主机位,使用的是与运算。0和任何数相乘都得0,1和任何数相乘都得任何数。通配符掩码:把需要准确匹配的位设为0,其他位为1,进行或运算。1或任何数都得1,0或任何数都得任何数。特殊的通配符掩码:172.16.30.28 .0H2.5 正确放置ACL ACL通过制定的规则过滤数据
21、包,并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的。但是网络能否有效地减少不必要的通信流量,同时达到保护内部网络的目的,将ACL放置在哪个位置也十分关键。假设存在着一个简单的运行在TCP/IP协议的网络环境,分成4个网络,设置一个ACL拒绝从网络1到网络4的访问。根据减少不必要通信流量的准则,应该把ACL放置于被拒绝的网络,即网络1处,在本例中是图中的路由器A上。但如果按这个准则设置ACL后会发现,不仅是网络1与网络4不能连通,网络1与网络2和3也都不能连通。回忆标准ACL的特性就能知道,标准ACL只检查数据包的中的源地址部分,在本例子中,凡是发现源地址为网络1网段的数据包都
22、会被丢弃,造成了网络1不能与其他网络联通的现象。由此可知,根据这个准则放置的ACL不能达到目的,只有将ACL放置在目的网络,在本例子中即是网络4中的路由器D上,才能达到禁止网络1访问网络4的目的。由此可以得出一个结论,标准访问控制列表应尽量放置在靠近目的端口的位置。在本例子中,如果使用扩展ACL来达到同样的要求,则完全可以把ACL放置在网络1的路由器A上。这是因为扩展访问控制列表不仅检查数据包中的源地址,还会检查数据包中的目的地址、源端口、目的端口等参数。放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段,则会丢弃这个数据包,而检查出数据包的目的地址是指向网络2和3的网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络工程毕业设计_基于ACL的校园网络安全策略 网络工程 毕业设计 基于 ACL 校园 网络安全 策略
限制150内