1、 信息工程学院 路由与交换技术课程设计报告 题目: 访问控制 ACL 在企业内的应用 专业:信息管理与信息系统 班级:10 级 姓名: xxx 学号:xxxxxxxxxx 完成时间: 2013 年 7 月 3 日 指导教师: xxx 一、选题目的和意义 选题的目的: ACL 技术在路由器中被广泛采用,它是一种基于包过滤的流控制 技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包 检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL 通常应用在企业的出口控制上,可以通过实施 ACL,可以有效的部署 企业网络出网策略。随着局域网内部网络资源的增加,一些企业已经开 始使用 AC
2、L 来控制对局域网内部资源的访问能力,进而来保障这些资 源的安全性。 ACL 技术可以有效的在三层上控制网络用户对网络资源的访问,它 可以具体到两台网络设备间的网络应用, 也可以按照网段进行大范围的 访问控制管理,为网络应用提供了一个有效的安全手段。 一方面,采用 ACL 技术,网络管理员需要明确每一台主机及工 作站所在的 IP 子网并确认它们之间的访问关系,适用于网络终端数量 有限的网络。对于大型网络,为了完成某些访问控制甚至不得不浪费很 多的 IP 地址资源。同时,巨大的网络终端数量,同样会增加管理的复 杂度和难度。另一方面,维护 ACL 不仅耗时,而且在较大程度上增加路 由器开销。 访问
3、控制列表的策略性非常强, 并且牵涉到网络的整体规划, 它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因 此,是否采用 ACL 技术及在多大的程度上利用它,是管理效益与网络安 全之间的一个权衡。 访问控制列表(Access Control List,ACL) 是路由器和交换机接口的 指令列表,用 来控制端口进出的数据包。 ACL 适用于所有的被路由协议,如 IP、IPX、AppleTalk 等。这 张表 中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了 对某种访问 进行控制。 ACL 可以限制网络流量、提高网络性能;ACL 可 以提供对通信流量的控制手段;ACL 是
4、 提供网络安全访问的基本手段; ACL 可以在路由器端口处决定哪种类型的通信流量被转发或 被阻塞。 目前有两种主要的 ACL:标准 ACL 和扩展 ACL。 标准的 ACL 使 用 1 99 以及 13001999 之间的数字作为表号, 扩展的 ACL 使用 100 199 以及 20002699 之间的数字作为表号。 标准 ACL 可以阻止来自某一网络的所有通信流量, 或者允许来自某 一特定网络的所有通 信流量,或者拒绝某一协议簇(比如 IP)的所有通信 流量。 扩展 ACL 比标准 ACL 提供了更广泛的控制范围。例如,网络管理员 如果希望做到“允许 外来的 Web 通信流量通过,拒绝外来
5、的 FTP 和 Telnet 等通信流量” , 那么, 他可以使用扩展 ACL 来达到目的, 标准 ACL 不能控制这么精确。 路由器工作在网络层,是信息出入的必经之路,能有效的防止外部用户对局 域网的安全访问。同时可以限制网络流量,也可以限制局域网内的用户或设备使 用网络资源。因此,网络路由过滤对网络的安全具有举足轻重的作用。 目前大部分的路由器都是通过访问控制列表技术来允许或拒绝报文通过。 当 路由器的访问控制列表的安全特性被充分利用时,路由器将变成一个有效的、稳 定的、安全的、坚固的防御体系,既能抵御外部的攻击,又能限制内部用户对 外部的非法访问,在很大程度上提高了网络的安全性。因此,可
6、以说访问控制列 表是网络防御外来攻击的第一道关卡。 本文以某企业真实拓扑图为例, 讨论如何利用路由器的访问控制列表技术提 高网络的安全性。 2访问控制列表(ACL) 访问控制列表是应用在路由器接口的指令列表, 这些指令列表用来告诉路由 器哪些数据包可以接收, 哪些数据包需要拒绝。 至于数据包是被接收还是被拒绝, 可以由类似于源地址、目的地址、端VI号、协议等特定指示条件来决定。通过灵 活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入 和流出路由器接口的数据包。 选题的意义: 本次实验主要通过理解上述ACL的意义及功能, 通过自己配置ACL来实现 对任意网段的数 据的阻塞和对任意网段的ping服务进行阻塞, 以达到学会ACL 基本配置, 理解ACL的功能及实 现为目的。本文以某企业真实拓扑图为例,讨 论如何利用路由器的访问控制列表技术提高网络的安全性。 访问控制列表的作用: 各种数据在其上快速通过, 今天的网络就好比一条复杂的高速公路 , 各 种数据在其上快速通过, 为了正确的规划流量,保证网络的畅通
