【正文】 Network Security Policy。 5 小結(jié) 本文所介紹的校園網(wǎng) ACL 設(shè)置滿足了校園網(wǎng)用戶的實(shí)際需要，保證了校園網(wǎng)內(nèi)部的安全，并能達(dá)到防止了外部入侵的目的。 測(cè)試相同 VLAN 內(nèi)通信 添加一臺(tái)財(cái)務(wù)處 VLAN30 的主機(jī)，與 VLAN30 的用 PING 命令測(cè)試聯(lián)通性。 R1(config)accesslist 1 permit R1(config)line vty 0 4 R1(configline)accessclass 1 in R1(configline)password cisco R1(configline)enable password cisco R1(configextnacl)deny udp any any eq 7 ?? R1(config)int f0/0 R1(configif)no ip directedbroadcast 最后一行的設(shè)置禁止子網(wǎng)內(nèi)廣播 對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議 Tel R1(configextnacl)deny tcp any any eq 23 搭建配置環(huán)境 校園網(wǎng)拓?fù)鋱D如圖 6 所示 圖 6 校園網(wǎng)拓?fù)鋱D 表 3 校園網(wǎng)的 VLAN及 IP地址規(guī)劃 VLAN 號(hào) VLAN 名稱 IP 網(wǎng)段 默認(rèn)網(wǎng)關(guān) 說明 VLAN1 VLAN 10 JWC VLAN 20 XSSS VLAN 30 CWC 13 VLAN 40 JGSS VLAN 50 ZWX VLAN 60 WYX VLAN 70 JSJX VLAN 100 FW 服務(wù)器群 VLAN 具體的 VLAN 設(shè)置方法 及網(wǎng)絡(luò)聯(lián)通設(shè)置 在這里不在冗述， 重點(diǎn)放在 ACL 的設(shè)置上。防火墻可以根據(jù)網(wǎng)絡(luò)安全的規(guī)則設(shè)置允許經(jīng)過授權(quán)的數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)，同時(shí)將非法數(shù)據(jù)包擋在防火墻內(nèi)外，最大限度地阻止黑客攻擊。 R1show timerange timerange entry: time (inactive) periodic weekdays 8:00 to 18:00 used in: IP ACL entry 以上輸出表示在 3 條 ACL 中調(diào)用了該 timerange。這里主要解釋下定義時(shí)間段，具體格式如下： timerange 時(shí)間段格式 absolute start [小時(shí)：分鐘 ] [日 月 年 ] [end] [小時(shí)：分鐘 ] [日 月 年 ] 例如： timerange softer absolute start 0:00 1 may 2021 end 12:00 1 june 2021 意思是定義了一 個(gè)時(shí)間段，名稱為 softer，并且設(shè)置了這個(gè)時(shí)間段的起始時(shí)間為2021 年 5月 1日零點(diǎn)，結(jié)束時(shí)間為 2021 年 6 月 1 日中午 12 點(diǎn)。對(duì)于這種情況，僅僅通過發(fā)布通知不能徹底杜絕員工非法使用的問題，這時(shí)基于時(shí) 間的訪問控制列表就應(yīng)運(yùn)而生了。不過在實(shí)際的使用中總會(huì)有人提出一些較為苛刻的要求，這是就還需要掌握一些關(guān)于 ACL的高級(jí)技巧。 1 在路由器 R1上配置命名的標(biāo)準(zhǔn) ACL R1(config)ip accesslist standard stand R1(configstdnacl)deny R1(configstdnacl)permit any 創(chuàng)建名為 stand 的標(biāo)準(zhǔn)命名訪問控制列表 2 在路由器 R1上查看命名訪問控制列表 R1show ip accesslists Standard IP access list 1 deny permit any (110 match(es)) ?? 3 在路由器 R1配置命名的擴(kuò)展 ACL R1(config)ip accesslist extended ext1 R1(configextnacl)permit tcp host eq 創(chuàng)建名為 ext1 的命名擴(kuò)展訪問控制列表 4 在路由器 R1和 R3 上查看命名訪問控制列表 R1show accesslists Extended IP access list ext1 permit tcp host eq 刪除訪問控制列表 10 刪除 ACL 的方法十分簡(jiǎn)單，只需在 ACL表號(hào)前加“ NO”就可以了，例如： R2(config)no accesslist 1 輸入這個(gè)命令后， ACL 表號(hào)為 1 和 2 的 ACL 內(nèi)所有的條目都會(huì)被刪除。允許或拒絕陳述前沒有表號(hào) 它提供的兩個(gè)主要優(yōu)點(diǎn)是： ① 解決 ACL 的號(hào)碼不足問題； ② 可以自由的刪除 ACL 中的一條語(yǔ)句，而不必刪除整個(gè) ACL。 配置擴(kuò)展 訪問控制列表 相比基本訪問控制列表，擴(kuò)展訪問控制列表更加復(fù) 雜，不僅需要讀取數(shù)據(jù)包的源地址，還有目的地址、源端口和目的端口。 標(biāo)準(zhǔn) ACL 要盡量靠近目的端 既滿足了減少網(wǎng)絡(luò)通信流量的要求，又達(dá)到了阻擋某些網(wǎng)絡(luò)訪問的目的。由此可以得出一個(gè)結(jié)論，標(biāo)準(zhǔn) 訪問 控制列表應(yīng)盡量放置在靠近目的端口的位置。根據(jù)減少不必要通信流量的準(zhǔn)則，應(yīng)該把 ACL 放置于被拒絕的網(wǎng)絡(luò)，即網(wǎng)絡(luò) 1 處，在本例中 是圖中的 路由器 A 上。 1 或任何數(shù)都得 1， 0 或任何數(shù)都得任何數(shù)。 IP 地址掩碼的作用：區(qū)分網(wǎng)絡(luò)為和主機(jī)位，使用的是與運(yùn)算。 擴(kuò)展 ACL 命令的詳細(xì)語(yǔ)法 1. 創(chuàng)建 ACL 定義 例如 ： accelllist101 permit host any eq tel 2. 應(yīng)用于接口 例如： Router(configif)ip accessgroup 101 out IP擴(kuò)展訪問控制列表編號(hào)： 100～ 199 或 2021～ 2699 訪問控制列表的匹配順序 ACL 的執(zhí)行順序是從上往下執(zhí)行， Cisco IOS 按照各描述語(yǔ)句在 ACL 中的順序，根據(jù)各描述語(yǔ)句的判斷條件，對(duì)數(shù)據(jù)包進(jìn)行檢查。 訪問控制列表的分類 目前有兩種主要的 ACL： 標(biāo)準(zhǔn) ACL 和擴(kuò)展 ACL。 ACL 的作用 1. ACL 可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能 。因此，要達(dá)到 end to end 的權(quán)限控制目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問權(quán)限控制結(jié)合使用。 通過 ACL，可以簡(jiǎn)單的將不符合規(guī)則要求的危險(xiǎn)數(shù)據(jù)包拒之門外，使其不能進(jìn)入內(nèi)部網(wǎng)絡(luò)。接下來選擇路由器接口，進(jìn)入接口后使用 ACL。 路由器作為 Intra 和 Inter 的網(wǎng)間互連設(shè)備，是保證網(wǎng)絡(luò)安全的第一關(guān) ,而在路由器上設(shè)置 控制訪問列表（ ACL）可以很好的解決這些 網(wǎng)絡(luò)安全 問題。本文基于 ACL為主，建立 ACL列表控制和保障 整個(gè)校園網(wǎng)的安全運(yùn)行，使 校園網(wǎng)運(yùn)作在一個(gè)安全穩(wěn)定的環(huán)境下。 簽名： 年 月 日 教研室主任意見 同意指導(dǎo)教師意見，同意開題 。 d）采用 DynamipsGUI、 gns Cisco Packet Tracer 工具完成整個(gè) 策略 的編寫與測(cè)試 。 （ 7）對(duì)配置好控制訪問列表的校園網(wǎng)的安全性能進(jìn)行測(cè)試。 （ 3）配置各種類型的訪問控制列表，比如基本訪問控制列 表，高級(jí)訪問控制列表，基于接口的訪問控制列表，基于以太網(wǎng) MAC地址的訪問控制列表??并完成刪除控制列表的操作。因此，要達(dá)到 end to end 的權(quán)限控制目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問控制權(quán)限結(jié)合使用。 （ 3） 在實(shí)施 ACL的過程中，應(yīng)當(dāng)遵循如下兩個(gè)基本原則。 CISCO路由器中有兩種常用的控制訪問列表，一種是標(biāo)準(zhǔn)訪問列表，另 一種是擴(kuò)展訪問列表。所謂訪問控制，就是通過某種途徑顯示地準(zhǔn)許或限制訪問能力及范圍，從而限制對(duì)關(guān)鍵資源的訪問，防止非法用戶入侵或者合法用戶的不慎操作造成破壞。防范不僅是被動(dòng)的，更要主動(dòng)進(jìn)行，只有這樣 ， 才 能取得主動(dòng)權(quán)，使網(wǎng)絡(luò)避免有意無意的攻擊。 畢 業(yè) 論 文（設(shè)計(jì)） 論文（設(shè)計(jì)）題目 ： 基于 ACL的校園網(wǎng)絡(luò)安全策略 系 別： 專 業(yè)： 學(xué) 號(hào)： 姓 名：