文档介绍:编号
毕业论文
题目
ACL在校园网中的应用
学生姓名
学号
系部
专业
班级
指导教师
顾问教师
二O一一年十月
摘要
随着网络技术的飞速发展,校园网络的规模不断扩大,网络在为学校提供现代化教育技术和教育资源共享的平台, 为学生和老师之间提供更多的交流渠道, 丰富了校园文化, 但网络互联也导致了部门之间数据保密性降低,影响了部门安全, 因此, 校园网络建设需考虑部门之间的访问控制和网络设备的安全。如管理人员可登陆网络设备或访问其他部门并可自由访问互联网; 对学生或其他部门访问互联网的时间、内部相互访问的控制。因此,笔者提出采用访问控制列表(Access Control List,ACL)访问控制策略, 以满足校园网络安全的要求。ACL(Access Control Lists访问控制列表)是应用于路由器和交换机接口的指令列表,用来控制端口进出的数据包。是CISCO IOS提供的访问技术,初期只近支持在路由器上使用,近期已扩展到三层,二层交换机。ACL就是一系列由源地址,目的地址,端口号等决定的允许和拒绝条件集合。通过匹配报文中的信息与访问控制列表参数可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制"。
关键词: ACL 控制策略校园网网络安全
目录
摘要 I
第一章论述 1
1
1
课题研究的意义 1
第二章ACL原理概述 2
2
ACL的基本原理 2
2
3
3
ACL的匹配顺序 6
7
ACL 3P原则 7
正确放置ACL 8
ACL 的特性 9
第三章 ACL的配置 11
. 配置标准ACL 11
扩展ACL的配置 11
扩展ACL的配置实例 12
ACL配置原则 12
第四章ACL 在校园网中的应用 14
论述 14
ACL 在校园网中的应用 14
ACL的设计 16
第五章总结 22
致谢 23
参考文献 24
第一章论述
随着IP网络的飞速发展,网络QOS(Qaulity of Service,服务质量)和网络安全越来越被ISP重视。对数据流实现较精确的识别和控制,成为服务质量提高的有一个基本要求。在通信设备中,如果能根据报文的封装信息的特征配置过滤规则,并对经过报文的封装信息进行识别,就可以较精确的识别出具有相同特征的一条或一组数据流。针对此规则在配置一个数据流量控制方案,网络设备就可以较精确的对某条流实行控制了。ACL(access Control List)就这样应运而生了。它实现了报文的过滤和控制功能。本文研究的内容就是:ACL怎样在校园网中发挥作用的。
课题研究的意义
研究ACL,可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,通信流量。
第二章ACL原理概述
TCP/IP 协议中数据包具有数据包由IP 报头、TCP/UDP 报头、数据组成,IP 报头中包含上层的协议端口号、源地址、目的地址,TCP/UDP 报头包含源端号、目的端口,设备信息。ACL(访问控制列表)利用这些信息来定义规则,通过一组由多条deny(拒绝)和permit(允许)语句组成的条件列表,对数据包进行比较、分类,然后根据条件实施过滤。———如果满足条件,则执行给定的操作;如果不满足条件,则不做任何操作继续测试下一条语句。
ACL的基本原理
ACL使用包过滤技术,在路由器上读取第二层,第三层及第四层包头中的信息源地址,目的地址,源端口和目的端口等。根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
在网络中,ACL不但可以让网管员用来制定网络策略,对个别用户或特定数据流进行控制;也可以用来加强网络的安全屏蔽作用。从简单的Ping of Death攻击、TCP Syn攻击,到更多样化更复杂的黑客攻击,ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力,网络设备