利用访问控制列表提高网络安全及实例.docx

《利用访问控制列表提高网络安全及实例.docx》由会员分享，可在线阅读，更多相关《利用访问控制列表提高网络安全及实例.docx（5页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第5页 共5页利用访问控制列表提高网络安全及实例禹龙 田生伟（新疆大学网络中心，新疆 乌鲁木齐 830046）摘要：本文以cisco路由器为例，结合实际网络结构，详细介绍了如何利用访问控制列表来提高网络安全性能。关键词：网络安全 包过滤 access-listStrengthening the security of network by using access control list and instanceYulong(network of center of Xinjiang University ,Xinjiang

2、Urumqr 830046)Abstract: With cisco router and according the material network structure , how to strengthen the security of network by using access control list is discussed in detail.Keywords : security of network packet filtering access-list1 引言网络安全问题一般包括网络系统安全和数据安全。网络系统安全是防止网络系统遭到未经授权的非法访问、存取或破坏；数

3、据安全主要是防止重要、敏感数据被窃取等。网络安全的防护手段多种多样，例如，密码技术、安全协议、防火墙、安全WEB服务器等等。但是，单纯依靠防御是不够的，我们必须重视网络的整体安全。实际上，每一种设备对网络的安全管理方面都有一定的作用，完全可以结合整个网络的拓扑结构和网络设备的特性制定多层次、全方位的安全解决方案，通过网络路由过滤、虚拟子网的划分、服务器实时监控、口令和访问权限的限制等多项技术，最大可能的保障网络安全。2 通过路由器提高网络安全性 路由器工作在tcp/ip模型的第三层（即网络层），是Intranet和Internet的连接处，是信息出入的必经之路，对网络的安全具有举足轻重的作用。

4、而现在大多商业路由器都提供了基于协议、IP等标准的包过滤的能力，能有效地防止外部用户对局域网的安全访问，同时可以限制网络流量，也可以限制局域网内的用户或设备使用网络资源。下面我们以Cisco路由器为例，讨论如何利用路由器来提高网络的安全性。2.1数据包过滤 简而言之，基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫作包过滤（packet filtering）。包过滤路由器可以通过检查数据流中每个数据包的源地址、目的地址、所有的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。当然，利用路由器实现的数据包过滤安全机制不需要增加任何额外的费用。 Cisco路由器是通过访问

5、列表access-list命令来完成包过滤规则的设置，故包过滤器又被称为访问控制列表（Access Control List）。它将访问列表定义为应用于Internet 地址的一系列允许和拒绝条件的组合。2.2访问列表的基本概念 Cisco访问列表缺省进行静态分组过滤，其提供了标准访问列表和扩展访问列表。标准访问列表的语法如下：access-list 1-99 permit|deny address wildcard-mask 扩展访问列表的语法如下：access-list 100-199 permit|deny protocol source source-mask destination

6、destination-mask operator port est (short for establish if applicable)其中，protocol为协议，如TCP、IP、UDP、ICMP等；因为IP封装TCP、UDP和ICMP包，所以它可以用来与其中任一种协议匹配。Operator 有效操作符为： It(小于)，gt(大于)，eq(等于)，neq(不等于)。Est参数表示将检测数据包中TCP标志，防止不可信主机对建立TCP会话的要求，而允许已建立TCP会话的数据包通过。TCP标志是用来表示TCP包的类型，如：打开连接包(SYN=1,ACK=0),打开连接确认包(SYN=1,AC

7、K=1), 打开连接确认包的确认（SYN=0,ACK=1）。1)SYN=1,ACK=0（打开连接）SERVERCLIENT 2)SYN=1,ACK=1（打开连接确认） 3)SYN=0,ACK=1（确认打开连接确认）TCP打开连接 从上图可以看出，SYN=1,ACK=0这种情况只发生在一个系统要建立与另一个系统的连接时。分组过滤利用这个独特的标志设置控制TCP会话，只要阻止了初始连接请求，就无法建立两个系统之间的对话。2.3 利用访问列表实现安全控制实例 2.3.1实例网络模型主机n主机1Cisco7206Internet (202.112.0.22/30)S0E0(202.201.252.10

8、/24)OA-serverWWW-serverDNS-serverMail-server202.201.252.1TELNEET-serverFTP-server202.201.252.3202.201.252.4202.201.252.22.3.2实现步骤及方法以下我们建立的access-list 101将应用于 cisco7206 的s0接口上，并且是对进入的包进行过滤(in)。1.防地址欺骗对进入的包进行过滤可以阻止一类叫做地址欺骗的攻击，即从外部端口进入的包是不可能来自于内部网络的。Access-list 101 deny ip 202.201.252.0 0.0.0.255 any

9、2.对访问DNS-server、telnet-server 的控制为了允许外部主机向DNS-server发出DNS查询，必须让目标地址指向服务器1且UDP端口为53的数据包通过。由于两个DNSserver交换信息时，用源和目标端口号53 ，而不象许多其它服务一样用大于1023的答复端口。Access-list 101 permit udp any host 202.201.252.1 eq 53Access-list 101 permit tcp any host 202.201.252.1 eq telnet 3.对访问MAIL-server 的控制access-list 101 permi

10、t tcp any host 202.201.252.2 eq smtpaccess-list 101 permit tcp any host 202.201.252.2 eq pop34.对WWW、FTP server 的访问控制access-list 101 permit tcp any host 202.201.252.3 eq wwwaccess-list 101 permit tcp any host 202.201.252.3 eq 21access-list 101 permit tcp any host 202.201.252.3 eq 20其中，端口21用来传输FTP命令，而

11、端口20 用来传输数据。5.建立网络连接由于没有限制内部主机和服务器对外部的访问，所以必须让外部服务器返回的数据答复包进入，此时，返回包的目的端口号都将大于1023。Access-list 101 permit tcp any eq 20 202.201.252.0 0.0.0.255 gt 1023Access-list 101 permit tcp any 202.201.252.0 0.0.0.255 gt 1023 establish由于内部主机使用外部FTP-server时，返回的数据没有置ack位的，所以上面两条语句不能颠倒。 6.对OA-server的访问控制因为OA-serve

12、r为供局域网内部使用的办公自动化系统，所以不允许外部访问access-list 101 deny ip any host 202.201.252.47.保护内部所有winx环境的机器现在微软采取了netbios over TCP/IP的方法来解决通过IP地址搜索主机的问题, 使用的是445,139,137,138几个端口。为了防止外部对内部机器的搜索和共享，应该在路由器上拒绝进入内部的搜索请求包。access-list 101 deny tcp any any 4458.保护路由器不允许外部通过telnet 和 snmp来访问路由器本身。Access-list 101 deny ip any

13、host 202.112.0.22 eq 23 Access-list 101 deny ip any host 202.201.252.10 eq 1619.阻止探测要阻止向内的探测，最常见的命令是ping过滤如下：access-list 101 deny icmp any any echo 10.拒绝一切不必要的UDP通信流access-list 101 deny udp any any11.隐含拒绝cisco访问表的处理过程是从上到下进行匹配检测，并且在访问表的最后总由一个隐含的”deny all”表项。这样，所有不能和显式表项匹配的数据包都会自动被拒绝。从上述步骤可以分析出：第6至第1

14、0步的所有表项可以综合成一条，即：access-list 101 deny ip any any 因为这正好是隐含的deny all表项，所以可以不用写成显式表项。12限制局域网内用户使用网络资源在一些单位经常会有限制局域网内的用户使用网络资源的要求，例如希望局域网内的机器只能访问一些免费的网址，而不能访问收费的网址。对于这种要求，我们学校以前是通过代理服务器进行限制的，随着用户数量的增大，代理服务器的瓶颈显得更为严重。我们把这种限制转移到路由器上去做，效果很好。以下建立的access-list 102 将应用于cisco7206 的E0接口上，并且是对进入的包进行过滤(in)。(假设需要限制

15、的主机是：202.201.252.128-202.201.252.254)access-list 102 permit ip 202.201.252.128 0.0.0.127 x.x.x.x y.y.y.yx.x.x.x为允许访问的外部网络。access-list 102 deny ip 202.201.252.128 0.0.0.127 any access-list 102 permit ip any any 2.3.3利用反射性访问表实现安全控制从上面的访问列表的控制中，我们可以看出，能进入到网络内部的数据包只有允许进入的数据请求包，和所有的数据答复包，这样看来内部网络似乎已经很安全了

16、，但是由于静态分组过滤没有维护状态，单纯依赖于对TCP标志的检测，因此不能保证允许进入的通信流就是合法的数据答复，例如无法阻止FIN扫描这一类的攻击。而动态分组过滤弥补了这个漏洞，它用一个连接表监视通信对话的状态，而不止是利用标志设置，这使路由器能更好地进行通信流量控制。在IOS 11.2以后，cisco路由器支持反射性访问表（reflexive access list）,其适用于任何IP传输。使用反射性访问表时，路由器生成所有活动对话的动态状态表，提供了远远优于静态过滤的通信控制，增强了安全可靠性。下面仍以上述2.3.1中的网络模型为例，给出使用反射性访问表进行安全控制的实现方法： ip a

17、ccess-list extended filterin deny ip 202.201.252.0 0.0.0.255 any permit udp any host 202.201.252.1 eq 53 reflex dnsfilter permit tcp any host 202.201.252.1 eq 23 reflex telfilter permit tcp any host 202.201.252.2 eq 25 reflex smtfilter permit tcp any host 202.201.252.2 eq 110 reflex popfilter permit

18、 tcp any host 202.201.252.3 eq 80 reflex httfilter permit tcp any host 202.201.252.3 eq 20 reflex ftpdatafilterpermit tcp any host 202.201.252.3 eq 21 reflex ftpfilterevaluate filterallip access-list extended filteroutpermit ip 202.201.252.0 0.0.0.255 any reflect filterallevaluate dnsfilterevaluate

19、telfilterevaluate smtfilterevaluate popfilterevaluate httfilterevaluate ftpdatafilterevaluate ftpfilter最后，应该把上述反射访问表都应用于cisco7206的s0接口上：ip access-group filterout out ip access-group filterin in 。2.3.4减少潜在危险1 一些DOS攻击经常会利用路由器上开启的一些小服务，例如echo,discard等，所以建议在路由器接口上关闭这些服务：no service udp-small-servesno ser

20、vice tcp-small-servesno service fingerno ip directed-broadcastno cdp runno snmp2.源路由选择使用数据链路层的信息，已穿越过了网络层，所以就有可能允许攻击者为本地网上的数据指定不正确的路由，所以应禁止使用源路由选择：no ip source-route3.攻击者利用ICMP重定向来对路由器进行重定向，将本应送到正确目标的信息重定向到他们指定的机器，从而获得不应有的访问权，所以应该在外部网络进入路由器的接口（本例指cisco 7206的s0口）上禁止ICMP重定向： no ip redirects4.cisco路由器局域网接口在缺省情况下开启代理ARP，虽然这是一个有用的特性，但它也会引起一定的问题，例如可能导致不必要主机之间的通信。所以应关闭此功能:no ip proxy-arp3.小结 通过以上配置，使路由器完成了一定的防火墙功能，提高了网络的安全性。 参考文献：Gilbert Held Kent Hundley 著，Cisco安全体系结构作者简介： 禹龙（1974-）女，讲师，主要研究方向：网络技术及应用。 田生伟(1973-) 男, 讲师 , 主要研究方向: 网络应用及网络安全第 5 页 共 5 页