資源描述:
《cisco路由器acl配置實(shí)現(xiàn)網(wǎng)絡(luò)安全策略》由會員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1����、Cisco路由器ACL配置實(shí)現(xiàn)網(wǎng)絡(luò)安全策略摘要:隨著中小企業(yè)信息化水平的不斷提高,中小企業(yè)信息安全問題越來越為嚴(yán)重��,針對大型企業(yè)提供的信息安全技術(shù)和設(shè)備�����,雖然能為中小企業(yè)提供相應(yīng)的信息安全能力���,但其專業(yè)性較強(qiáng)�����、成本較高���,增加了中小企業(yè)的負(fù)擔(dān)。ACL技術(shù)即訪問列表控制技術(shù)���,僅需利用路由器即可實(shí)現(xiàn)網(wǎng)絡(luò)安全控制�,成本低廉實(shí)現(xiàn)簡單,能很好的滿足中小企業(yè)信息安全的需要�,具有極高的應(yīng)用價(jià)值。本文以Cisco路由器為例���,就如何通過ACL配置利用路由器實(shí)現(xiàn)網(wǎng)絡(luò)安全策略進(jìn)行探討���,可供中小企業(yè)借鑒。關(guān)鍵詞:Cisco路由器�;ACL配置;網(wǎng)絡(luò)安全���;訪問控中圖分類號:TP
2��、393.08信息化技術(shù)能有利的提升企業(yè)經(jīng)營效率,是整個社會經(jīng)濟(jì)發(fā)展的必由之路����。近年來,我國中小企業(yè)信息化水平得到了極大的提高����,大多數(shù)中小企業(yè)都構(gòu)建起了自身的網(wǎng)絡(luò)系統(tǒng),運(yùn)用計(jì)算機(jī)技術(shù)、同絡(luò)技術(shù)��、信息化技術(shù)進(jìn)行企業(yè)經(jīng)營管理�����,對促進(jìn)我國中小企業(yè)競爭能力的提升起著重要作用�����。1ACL技術(shù)基本原理1.1ACL技術(shù)實(shí)現(xiàn)途徑ACL技術(shù)是利用路由器和交換機(jī)接口的指令列表����,來控制端口進(jìn)出數(shù)據(jù)包的技術(shù)。這種技術(shù)適用于所有被路由協(xié)議之中����,僅需要對訪問控制列表進(jìn)行關(guān)系匹配、條件查詢�����,即可進(jìn)行訪問控制��。這種技術(shù)是一種包過濾技術(shù)��,通過讀取包頭信息與定義好的匹配規(guī)則進(jìn)行比較實(shí)現(xiàn)包
3、過濾���,允許和拒絕相應(yīng)的訪問����,從而達(dá)到訪問控制的需要��。在ACL工作過程中�,當(dāng)收到數(shù)據(jù)包后路由器先對數(shù)據(jù)包進(jìn)行檢查,如果數(shù)據(jù)包可路由則通過訪問控制列表找出接口����,如果該出口沒有被編入ACL則直接從該口送出,如果被編入ACL則進(jìn)行匹配執(zhí)行���,進(jìn)行相應(yīng)的處理�。1.2ACL技術(shù)常見類型目前常用的ACL技術(shù)可分為標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表兩類��,進(jìn)一步可細(xì)分為標(biāo)準(zhǔn)IP訪問控制列表��、擴(kuò)展IP訪問控制列表����、命名IP訪問控制列表三種。標(biāo)準(zhǔn)訪問列表控制級別相對較低�,只根據(jù)分組內(nèi)源地址或一部分進(jìn)行控制,編號范圍在1-99之間����。擴(kuò)展IP訪問控制列表擁有更多匹配項(xiàng),包括源
4�����、地址���、源端口�����、目的地址��、目的端口���、IP優(yōu)先級、協(xié)議類型等�,擴(kuò)充性和靈活性更強(qiáng),其編號在100-199之間���。命名IP訪問控制列表則是以列表名來代替IP編號��,這種方式突破了99個標(biāo)準(zhǔn)列表和100個擴(kuò)展列表的數(shù)目限制���,能直觀的反映訪問列表完成的功能�,擴(kuò)展較為容易�����。1.3ACL技術(shù)實(shí)現(xiàn)規(guī)則在ACL配置中極為靈活���,應(yīng)用中必須注意一些基本規(guī)則����。在權(quán)限賦予中���,只能給予受控對象完成任務(wù)所需的最小權(quán)限���,如果只是滿足部分條件則訪問拒絕。在訪問控制過程中�����,ACL匹配是采用自上而下逐條匹配的方式�,當(dāng)發(fā)現(xiàn)符合條件時則立即執(zhí)行,而不會繼續(xù)對下面的ACL語句進(jìn)行檢測����,因此要保證
5、匹配規(guī)則最靠近受控對象��。在ACL語句中�,默認(rèn)的最后一條是丟充所有不符合條件的數(shù)據(jù)包,采用默認(rèn)丟棄原則��,在實(shí)際應(yīng)用中要根據(jù)需要進(jìn)行修正����,避免造成不必要的問題。同時��,ACL所采用的是包過濾技術(shù)����,其過濾依據(jù)為第三層和第四層包頭信息,對具體個人����、權(quán)限級別等的識別能力不足��,在實(shí)際應(yīng)用中還需要結(jié)合其它訪問權(quán)限控制策略共同進(jìn)行��,而不能僅依靠ACL技術(shù)來進(jìn)行網(wǎng)絡(luò)安全管理��。2Cisco路由器ACL配置實(shí)踐2.1案例簡介某企業(yè)將網(wǎng)絡(luò)結(jié)構(gòu)分為客戶接待和管理層兩部分�����,應(yīng)用企業(yè)內(nèi)部服務(wù)器進(jìn)行企業(yè)信息管理����。企業(yè)內(nèi)部所有接入企業(yè)內(nèi)網(wǎng)的計(jì)算機(jī)都可以聯(lián)網(wǎng)��,客戶接待部計(jì)算機(jī)與管理層計(jì)
6�����、算機(jī)之間��、路由器之間均可以互相訪問��?�?蛻魴C(jī)不能直接訪問企業(yè)內(nèi)部服務(wù)器,管理層可以訪問企業(yè)內(nèi)部服務(wù)器����,但不同管理職能部門,包括如財(cái)務(wù)部���、業(yè)務(wù)部等所的訪問權(quán)限需要進(jìn)行控制,外網(wǎng)對企業(yè)內(nèi)部服務(wù)器的訪問權(quán)限也需要進(jìn)行控制����。該企業(yè)路由器采用Ciscol841,有服務(wù)器一臺,客戶接待部計(jì)算機(jī)8臺�����,管理層計(jì)算機(jī)12臺��,管理層計(jì)算機(jī)分為4個部門����,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如1:12.2ACL配置分析在該企業(yè)中,路由器以端口E0連接行政部�,網(wǎng)段為192.168.1.0;以端口E1連接人事部��,網(wǎng)段為192.168.2.0;以端口E2連接財(cái)務(wù)部,網(wǎng)段為192.168.3.0;以端口E
7��、3連接后勤部���,網(wǎng)段為192.168.4.0�����;以端口E4連接客戶接待部�,網(wǎng)段為192.168.5.0����;以端口E5連接服務(wù)器,網(wǎng)段為192.168.6.0�����。路由器E0-E5端口IP地址分別為192.168.1.1�、192.168.2.1、192.168.3.1���、192.168.4.1�����、192.168.5.1���、192.168.6.1�����。其中����,行政部計(jì)算機(jī)三臺����,IP地址分別為192.168.1.11���、192.168.1.12����、192.168.1.13;人事部計(jì)算機(jī)兩臺���,IP地址分別為192.168.2.11�����、192.168.2.12�����;財(cái)務(wù)部計(jì)算機(jī)四臺�,IP地
8、址分別為192.168.3.11���、192.168.3.12�、192.168.3.13���、192.168.3.14����;后勤部計(jì)算
