ACL实现网络安全.docVIP

ACL实现网络安全 : 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近年来已经扩展到三层交换机，部分必威体育精装版的二层交换机如2950之类也开始提供ACL的支持,只不过支持的特性不是那么完善而已. 大多的安全管理程序都能很好地使用防火墙，过滤路由器和其它的防御工具来保护它们的网络免于受到外部黑客的袭击。然而，对于网络的最大的敌人莫过于内部的攻击。内部的访问控制列（ACLs）可以帮助保护网络安全免遭内部危害。 【关键字】: 包过滤、服务器监听、客户端发送、路由器、访问控制列表 ?一、?? ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的 二、???ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限 三、?: 1、定义标准包过滤规则，在全局配置状态下access-list 标识号码deny(禁止)或permit(允许)源地址通配符,或定义扩展包过滤规则access-list 标识号码deny或permit 协议标识 源地址 通配符 目地地址 通配符。 可以在指定范围内任选一个标识号码定义相应的包过滤规则。通配符也为32位二进制数字，并与相应的地址一一对应。路由器将检查与通配符中的“ 0”（2进制）位置一样的地址位，对于通配符中“1”（2进制）位置一致的地址位将忽略不检查。 一个包过滤规则可以包含一系列检查条件，即可以用同一标识号码定义一系列access-list语句，路由器将从最先定义的条件开始依次检查，如数据包满足某个条件，路由器将不再执行下面的包过滤条件，如果数据包不满足规则中的所有条件，Cisco路由器缺省为禁止该数据包，即丢掉该数据包。 2、在需要包过滤功能的端口，引出包过滤规则 ip access-group包过滤规则标识号in或out，其中in 表示对进入该端口的数据包进行检查，out表示对要从该端口送出的数据包进行检查。如不进行步骤(二)的配置，则所定义的包过滤规则根本不会执行。 3、由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 标准的 IP Access-list1 - 99 标准的Ip Access-list只对数据包中的IP源地址进行检查限制,若要应用一个标准的IP Access-list,建议将其配置在一个目的端的路由器上. 扩展的IP Access-list100-199 当要对目的地址,高层协议,高层服务等进行过滤,则需要配置扩展的IP Access-list .一般在一个源端的路由器上进行此配置.其中,在配置完access-list type后要选一个协议,在这里如果选了IP,这将表示路由器不会对高层的协议或服务进行过滤.所以IP一般要慎选. 四、如何在内部服务器和客户端使用访问控制列表保护网络不会遭到各种各样的袭击: 路由器和交换机中的内部ACLs可以在安全构件中提供另外的工具。在网络中限制传输的类型可以提高性能，减少弱点，防止内部攻击、特洛伊木马和蠕虫病毒的繁衍。开发内部的ACLs的基本规则：客户端发出，服务器监听。 1、服务器监听 除非创建一个脚本来在服务器上运行，否则就是使用服务器来控制其它的服务器或连接（eg:一个服务器终端或一个打印机服务器），服务器不建立连接，它们从客户端的机器上相应服务需求。所以，当开发ACLs的时候，首先要确定每个服务器是干什么的，并且要知道哪个客户需要访问这些信息。例如，如果在运行一个内部的，非SSL的网络服务，可以把访问列表置于访问网络服务的端口处，并且只允许TCP的80端口可以访问。但是，如果这个服务器是范围控制器（DC），就需要允许一系列的端口可以访问这个服务器，从而可以进行客户身份鉴定和登陆服务。 在Windows NT的DC，需要允许： NetBIOS 名称： UDP 端口 137 NetBIOS 网络登陆和浏览：UDP 端口 138 NetBIOS 会话：TCP端口 139 远程程序调用(RPC): TCP端口 135 或对于Windows 2000的DC，需要允许： Kerberos authentication: UDP/TCP 端口 88 RCP: TCP端口 135 轻量级目录访问协议(LDAP): UDP/TCP端口 389 微软路径服务：TCP端口 445 DAP 全局目录：TCP端口3268 (如果DC保持着全局