資源描述:
《訪問控制列表在校園網(wǎng)中的應用》由會員上傳分享��,免費在線閱讀��,更多相關內容在學術論文-天天文庫�。
1�、XXXXXX職業(yè)技術學院畢業(yè)設計報告設計題目訪問控制列表在校園網(wǎng)中的應用系別專業(yè)年級班別學號學生姓名指導教師提交日期:年月日22訪問控制列表在校園網(wǎng)中的應用摘要:隨著計算機和互聯(lián)網(wǎng)的高速發(fā)展����,人們能夠隨時通過互聯(lián)網(wǎng)了解到世界各地的信息。而對于學校來說��,校園網(wǎng)則肩負著教學資源共享����、培養(yǎng)學生各方面能力的重任,因此對校園網(wǎng)進行有效管理就是目前各大院校師生的共同愿望��。校園網(wǎng)的安全是一個龐大的系統(tǒng)工程��,需要全方位的防范,而ACL技術的出現(xiàn)帶給了人們對校園網(wǎng)進行有效管理的信心��。本文基于ACL為主,建立ACL
2�、列表控制和保障整個校園網(wǎng)的安全運行���,使校園網(wǎng)運作在一個安全穩(wěn)定的環(huán)境下。關鍵字:ACL�����;訪問控制列表�;校園網(wǎng)�����;網(wǎng)絡安全22目錄前言41ACL的概述41.1ACL的基本原理41.2ACL的主要功能61.3ACL的分類61.4ACL的執(zhí)行過程61.5ACL的3P原則71.6ACL的放置82ACL的創(chuàng)建和配置72.1標準ACL的基本語法82.2擴展ACL的基本語法92.3命名式ACL的基本語法92.4刪除ACL102.5基于時間的ACL的基本用法103校園網(wǎng)ACL的配置實例123.1搭建配置環(huán)境123
3���、.2實現(xiàn)全網(wǎng)互通143.3用ACL控制病毒163.4限制數(shù)據(jù)流流向173.5應用服務的訪問控制173.6上網(wǎng)時間的訪問控制193.7保護服務武器204結束語22參考文獻235致謝2422前言目前,在大部分大��、中�、小學的校園中�����,校園網(wǎng)資源的設備正在扮演非常重要的角色����,一方面,校園網(wǎng)能夠在很大程度上協(xié)助教師分擔和改進大量計算機課程的授課�����,另一方面,校園網(wǎng)也是對學生進行多方面教育和培訓的重要手段�。但是��,近年來����,隨著很多學校進行擴招以及機房的加建���,校園網(wǎng)的網(wǎng)絡規(guī)模呈現(xiàn)著不斷上升的狀況,以及難以滿足廣大師
4、生應用需求的現(xiàn)象也不斷增多��,加上網(wǎng)絡互聯(lián)也導致了部門之間數(shù)據(jù)保密性降低��,影響了部門安全�����。因此,校園網(wǎng)絡監(jiān)視需考慮部門之間的訪問控制和網(wǎng)絡設備的安全�����。如管理人員可登陸網(wǎng)絡設備或訪問其他部門并可自由訪問互聯(lián)網(wǎng)���;對學生或其他部門訪問互聯(lián)網(wǎng)的時間���、內部相互訪問的控制�。作為目前最為先進、有效的網(wǎng)絡安全管理技術手段��,ACL技術在校園網(wǎng)管理中的應用無疑是一種非常行之有效的方法�。因為它不僅可以很好地杜絕網(wǎng)絡安全隱患��,還可以省去購買硬件防火墻的開支��。1ACL的概述訪問控制列表ACL(AccessControlLi
5���、st)是一種對經(jīng)過路由器的數(shù)據(jù)流進行判斷、分類和過濾的技術�。它是一系列包含源地址����、目的地址��、端口號等信息的語句的集合�����,每條語句稱之為一個規(guī)則(rule),它規(guī)定對到達數(shù)據(jù)包的處理動作���。通過匹配數(shù)據(jù)包中的信息與訪問控制列表的規(guī)則可以過濾數(shù)據(jù)包�����,實現(xiàn)對交換路由設備和網(wǎng)絡的安全控制�����。1.1ACL的基本原理ACL是一組命令�����,用來控制進入或離開接口的流量,可以為流過網(wǎng)絡的流量提供一個基本級別的安全保護���。它的工作原理是查看數(shù)據(jù)包的第三層或者第四層信息,通過讀取數(shù)據(jù)包的這些信息�����,ACL按照事先設置好的一套規(guī)則
6���、來決定如何處理數(shù)據(jù)包,是將它們轉發(fā)到目的地���,還是丟棄該數(shù)據(jù)包��。創(chuàng)建了ACL后,可以將其綁定到路由器的入口或出口���,圖1顯示了一個將ACL應用到接口上的流入流量的例子�。在該例中���,當接口收到數(shù)據(jù)包時,IOS首先確定ACL是否被應用到了該接口。如果沒有���,IOS正常地路由該數(shù)據(jù)包,如果有��,IOS處理ACL�。從第一條語句開始,將條件和數(shù)據(jù)包內容作比較�����,如果沒有匹配�����,IOS處理列表中的下一條語句�����,如果有匹配�����,則執(zhí)行操作:允許22(permit)或拒絕(deny)�����。如果IOS查遍了整個ACL也沒有找匹配,則丟棄
7�����、數(shù)據(jù)包��。對于輸出ACL�����,過程是相似的,流程圖如圖2所示�����。當IOS接收到數(shù)據(jù)包時��,首先將數(shù)據(jù)包路由到輸出接口。然后IOS檢查在接口上是否有ACL輸出�����,如果沒有����,IOS將數(shù)據(jù)包排在隊列中��,發(fā)送出接口�。否則,數(shù)據(jù)包通過與ACL條目進行比較被處理��。221.2ACL的主要功能①限制網(wǎng)絡數(shù)據(jù)流以提高網(wǎng)絡性能②提供流量控制③提供基本的網(wǎng)絡訪問安全④在路由器接口上決定轉發(fā)或阻止哪些類型的數(shù)據(jù)流⑤控制客戶端可訪問網(wǎng)絡的哪些區(qū)域⑥允許或拒絕主機訪問網(wǎng)絡服務1.3ACL的分類目前主要有三種ACL[1]:標準ACL����、擴
8��、展ACL和基于時間的ACL。標準的ACL[2]使用1-99或1300~1999之間的數(shù)字作為表號�����,擴展的ACL使用100-199或2000~2699之間的數(shù)字作為表號����。這兩種ACL的區(qū)別[3]是:標準ACL只檢查數(shù)據(jù)包的源地址;擴展ACL既檢查數(shù)據(jù)包的源地址��,也檢查數(shù)據(jù)包的目的地址���,同時還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號以及其他參數(shù)���。網(wǎng)絡管理員可以使用標準ACL阻止來自某一網(wǎng)絡的所有通信流量,或者允許來自某一特定網(wǎng)絡的所有通信流量�,或者拒絕某一協(xié)議(比如IP)的所有通信陸良�����。擴展ACL比標準
