資源描述:
《訪問控制列表在校園網(wǎng)中的應(yīng)用》由會員上傳分享�����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫���。
1����、XXXXXX職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)報(bào)告設(shè)計(jì)題目訪問控制列表在校園網(wǎng)中的應(yīng)用系別專業(yè)年級班別學(xué)號學(xué)生姓名指導(dǎo)教師提交日期:年月日22訪問控制列表在校園網(wǎng)中的應(yīng)用摘要:隨著計(jì)算機(jī)和互聯(lián)網(wǎng)的高速發(fā)展����,人們能夠隨時(shí)通過互聯(lián)網(wǎng)了解到世界各地的信息����。而對于學(xué)校來說���,校園網(wǎng)則肩負(fù)著教學(xué)資源共享�����、培養(yǎng)學(xué)生各方面能力的重任�����,因此對校園網(wǎng)進(jìn)行有效管理就是目前各大院校師生的共同愿望���。校園網(wǎng)的安全是一個(gè)龐大的系統(tǒng)工程,需要全方位的防范�����,而ACL技術(shù)的出現(xiàn)帶給了人們對校園網(wǎng)進(jìn)行有效管理的信心�。本文基于ACL為主,建立ACL列表控制和保障整個(gè)校園網(wǎng)的安全運(yùn)行,使
2���、校園網(wǎng)運(yùn)作在一個(gè)安全穩(wěn)定的環(huán)境下�����。關(guān)鍵字:ACL���;訪問控制列表�����;校園網(wǎng)��;網(wǎng)絡(luò)安全22目錄前言41ACL的概述41.1ACL的基本原理41.2ACL的主要功能61.3ACL的分類61.4ACL的執(zhí)行過程61.5ACL的3P原則71.6ACL的放置82ACL的創(chuàng)建和配置72.1標(biāo)準(zhǔn)ACL的基本語法82.2擴(kuò)展ACL的基本語法92.3命名式ACL的基本語法92.4刪除ACL102.5基于時(shí)間的ACL的基本用法103校園網(wǎng)ACL的配置實(shí)例123.1搭建配置環(huán)境123.2實(shí)現(xiàn)全網(wǎng)互通143.3用ACL控制病毒163.4限制數(shù)據(jù)流流向173.5
3����、應(yīng)用服務(wù)的訪問控制173.6上網(wǎng)時(shí)間的訪問控制193.7保護(hù)服務(wù)武器204結(jié)束語22參考文獻(xiàn)235致謝2422前言目前,在大部分大��、中��、小學(xué)的校園中����,校園網(wǎng)資源的設(shè)備正在扮演非常重要的角色����,一方面��,校園網(wǎng)能夠在很大程度上協(xié)助教師分擔(dān)和改進(jìn)大量計(jì)算機(jī)課程的授課�����,另一方面�,校園網(wǎng)也是對學(xué)生進(jìn)行多方面教育和培訓(xùn)的重要手段。但是���,近年來��,隨著很多學(xué)校進(jìn)行擴(kuò)招以及機(jī)房的加建��,校園網(wǎng)的網(wǎng)絡(luò)規(guī)模呈現(xiàn)著不斷上升的狀況���,以及難以滿足廣大師生應(yīng)用需求的現(xiàn)象也不斷增多,加上網(wǎng)絡(luò)互聯(lián)也導(dǎo)致了部門之間數(shù)據(jù)保密性降低�����,影響了部門安全。因此�����,校園網(wǎng)絡(luò)監(jiān)視需考慮部
4���、門之間的訪問控制和網(wǎng)絡(luò)設(shè)備的安全��。如管理人員可登陸網(wǎng)絡(luò)設(shè)備或訪問其他部門并可自由訪問互聯(lián)網(wǎng)�;對學(xué)生或其他部門訪問互聯(lián)網(wǎng)的時(shí)間���、內(nèi)部相互訪問的控制。作為目前最為先進(jìn)�、有效的網(wǎng)絡(luò)安全管理技術(shù)手段,ACL技術(shù)在校園網(wǎng)管理中的應(yīng)用無疑是一種非常行之有效的方法����。因?yàn)樗粌H可以很好地杜絕網(wǎng)絡(luò)安全隱患,還可以省去購買硬件防火墻的開支���。1ACL的概述訪問控制列表ACL(AccessControlList)是一種對經(jīng)過路由器的數(shù)據(jù)流進(jìn)行判斷����、分類和過濾的技術(shù)。它是一系列包含源地址����、目的地址、端口號等信息的語句的集合�,每條語句稱之為一個(gè)規(guī)則(rule)
5、�����,它規(guī)定對到達(dá)數(shù)據(jù)包的處理動(dòng)作����。通過匹配數(shù)據(jù)包中的信息與訪問控制列表的規(guī)則可以過濾數(shù)據(jù)包,實(shí)現(xiàn)對交換路由設(shè)備和網(wǎng)絡(luò)的安全控制���。1.1ACL的基本原理ACL是一組命令�����,用來控制進(jìn)入或離開接口的流量��,可以為流過網(wǎng)絡(luò)的流量提供一個(gè)基本級別的安全保護(hù)����。它的工作原理是查看數(shù)據(jù)包的第三層或者第四層信息,通過讀取數(shù)據(jù)包的這些信息����,ACL按照事先設(shè)置好的一套規(guī)則來決定如何處理數(shù)據(jù)包,是將它們轉(zhuǎn)發(fā)到目的地��,還是丟棄該數(shù)據(jù)包�。創(chuàng)建了ACL后,可以將其綁定到路由器的入口或出口��,圖1顯示了一個(gè)將ACL應(yīng)用到接口上的流入流量的例子�����。在該例中�,當(dāng)接口收到數(shù)據(jù)包
6、時(shí),IOS首先確定ACL是否被應(yīng)用到了該接口��。如果沒有��,IOS正常地路由該數(shù)據(jù)包���,如果有,IOS處理ACL���。從第一條語句開始����,將條件和數(shù)據(jù)包內(nèi)容作比較,如果沒有匹配�,IOS處理列表中的下一條語句,如果有匹配���,則執(zhí)行操作:允許22(permit)或拒絕(deny)�����。如果IOS查遍了整個(gè)ACL也沒有找匹配��,則丟棄數(shù)據(jù)包��。對于輸出ACL�,過程是相似的�����,流程圖如圖2所示���。當(dāng)IOS接收到數(shù)據(jù)包時(shí)���,首先將數(shù)據(jù)包路由到輸出接口�。然后IOS檢查在接口上是否有ACL輸出�����,如果沒有����,IOS將數(shù)據(jù)包排在隊(duì)列中,發(fā)送出接口��。否則����,數(shù)據(jù)包通過與ACL條目進(jìn)行
7、比較被處理����。221.2ACL的主要功能①限制網(wǎng)絡(luò)數(shù)據(jù)流以提高網(wǎng)絡(luò)性能②提供流量控制③提供基本的網(wǎng)絡(luò)訪問安全④在路由器接口上決定轉(zhuǎn)發(fā)或阻止哪些類型的數(shù)據(jù)流⑤控制客戶端可訪問網(wǎng)絡(luò)的哪些區(qū)域⑥允許或拒絕主機(jī)訪問網(wǎng)絡(luò)服務(wù)1.3ACL的分類目前主要有三種ACL[1]:標(biāo)準(zhǔn)ACL、擴(kuò)展ACL和基于時(shí)間的ACL����。標(biāo)準(zhǔn)的ACL[2]使用1-99或1300~1999之間的數(shù)字作為表號�,擴(kuò)展的ACL使用100-199或2000~2699之間的數(shù)字作為表號�。這兩種ACL的區(qū)別[3]是:標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址���;擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址�����,也檢查
8����、數(shù)據(jù)包的目的地址�,同時(shí)還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號以及其他參數(shù)�。網(wǎng)絡(luò)管理員可以使用標(biāo)準(zhǔn)ACL阻止來自某一網(wǎng)絡(luò)的所有通信流量,或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量�,或者拒絕某一協(xié)議(比如IP)的所有通信陸良。擴(kuò)展ACL比標(biāo)準(zhǔn)
