返回
基于acl的企业园区网络安全设计

基于acl的企业园区网络安全设计

ID:24057086

大小:52.00 KB

页数:4页

时间:2018-11-12

基于acl的企业园区网络安全设计_第1页
基于acl的企业园区网络安全设计_第2页
基于acl的企业园区网络安全设计_第3页
基于acl的企业园区网络安全设计_第4页
资源描述:

《基于acl的企业园区网络安全设计》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于ACL的企业园区网络安全设计:该文介绍了ACL技术的工作原理、分类、特性;分析了企业园区X络的特点和存在安全问题;最后给出了通过建立ACL规则来X络的安全性的方法。  关键词:企业园区X;X络安全;ACL(访问控制列表)  :TP393:A:1009-3044(2011)17-4026-02  随着信息技术的飞速发展,电子政务、电子商务、企业信息化建设取得了显著成效,园区X络也已经被广泛的应用到企业日常工作、管理中去。与此同时X络安全问题日益突出,安全保密建设任务更加紧迫,如何切实有效的对终端用户的X络访问范围、权限加以控制,对病毒、木

2、马的泛滥加以限制成为企业园区X络安全建设的面临的重要课题。  近年来由于三层交换设备在企业园区X络中的广泛应用,通过ACL(AccessControlList,访问控制列表)进行数据流控制实现X络安全,变得具有普遍意义。  1ACL技术介绍  1.1ACL的工作原理  TCP/IP协议中数据包具有数据包由IP报头、TCP/UDP报头、数据组成,IP报头中包含上层的协议端口号、源地址、目的地址,TCP/UDP报头包含源端号、目的端口,设备信息。(如图1)  ACL利用这些信息来定义规则,通过一组由多条deny(拒绝)和permit(允许)语句

3、组成的条件列表,对数据包进行比较、分类,然后根据条件实施过滤。——如果满足条件,则执行给定的操作;如果不满足条件,则不做任何操作继续测试下一条语句。(如:图2)  1.2ACL的分类  ACL的分类根据X络厂商及设备IOS版本的不同存在一定的差别,但按照规则的功能一般ACL可以划分以下三种:  1)标准ACL:仅使用数据包的源IP地址作为条件来定义规则。  2)扩展ACL:既可使用数据包的源IP地址,也可使用目的IP地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型等其他第3层和第4层报头中的其他字段来定义规则。  3)基于以太

4、帧的ACL:可根据数据包的源MAC地址、目的MAC地址、以太帧协议类型等其他以太X帧头信息来定义规则。  1.3ACL的特性  1)每条ACL应当至少包含一条允许语句,否则将拒绝所有流量。  2)ACL被创建后并不是马上生效,只有在被应用到接口时才会过滤流量。  3)ACL只过滤通过设备的流量,而不过滤本设备所产生的流量。  4)将标准ACL尽可能放置在靠近目的地址的位置,将扩展ACL尽可能放置在靠近在源地址的位置,以避免不必要的流量占用X络带宽。  5)避免在核心层设备上大量使用ACL,这将大量占用设备的处理能力。  2企业园区X络安全实

5、例  2.1典型企业园区X络  在典型企业园区X络环境中,X络依照三层架构建设及接入层、汇聚层、核心层,各部门通过Vlan划分为多个子X络。终端用户主要应用为OA系统、电子邮件以及部门打印机。(如图3)  2.2企业园区X络所面临的安全问题  传统意义上的X络安全考虑的是防范外部X络对内X的攻击行为,即来自于英特X的攻击行为。外X安全威胁模型假设内部X络都是安全可信的,威胁都来自于外部,其途径主要通过内外X络边界出口,只要将X络边界处的安全控制措施做好,即可确保整个X络的安全。传统防火墙、入侵检测、防病毒X关和VPN设备都是基于这种思路来设

6、计的。  事实上,内部X络并非完全安全可信。内部X络包含大量的终端、服务器和X络设备,任何一个部分的安全漏洞或者问题,都可能引发整个X络的瘫痪,威胁既可能来自外X,也可能来自内X的任何一个节点上,实现一个可管理、可控制和可信任的内X已成为维护企业X络系统正常运行,充分发挥信息X络效益的必然要求。  目前,对企业内部园区X络的常见安全问题有以下几点:  1)在企业管理中需要避免各个部门之间X络的相互影响,限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。  2)防止内X已有病毒在X络上的扩散传播,控制并减少病毒侵害的范围。 

7、 3)防止未经授权的非法终端设备接入X络,对X络中的设备进行。  2.3ACL策略实现  对于企业园区X中的上述问题,以Cisco三层交换机为例设配置ACL策略,实现安全防范。  1)企业园区X络各部门Vlan收敛于核心交换机,因此在核心交换机上使用扩展ACL实现Vlan指定访问。  Sitany192.168.254.00.0.0.255//允许目的地址为服务器区域地址段  Sitipanyany//允许任意主机之间的访问  Sacaccess-listextendedf0/1//建立命名为f0/1的ACL  Sac)#permitany

8、hostH.H.H//允许任意地址访问MAC地址为H.H.H的主机  Sac)#permithostH.H.Hany//允许MAC地址为H.H.H的主机访问任意地址  Sacac

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。