欢迎来到天天文库
浏览记录
ID:24057086
大小:52.00 KB
页数:4页
时间:2018-11-12
《基于acl的企业园区网络安全设计》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基于ACL的企业园区网络安全设计:该文介绍了ACL技术的工作原理、分类、特性;分析了企业园区X络的特点和存在安全问题;最后给出了通过建立ACL规则来X络的安全性的方法。 关键词:企业园区X;X络安全;ACL(访问控制列表) :TP393:A:1009-3044(2011)17-4026-02 随着信息技术的飞速发展,电子政务、电子商务、企业信息化建设取得了显著成效,园区X络也已经被广泛的应用到企业日常工作、管理中去。与此同时X络安全问题日益突出,安全保密建设任务更加紧迫,如何切实有效的对终端用户的X络访问范围、权限加以控制,对病毒、木
2、马的泛滥加以限制成为企业园区X络安全建设的面临的重要课题。 近年来由于三层交换设备在企业园区X络中的广泛应用,通过ACL(AccessControlList,访问控制列表)进行数据流控制实现X络安全,变得具有普遍意义。 1ACL技术介绍 1.1ACL的工作原理 TCP/IP协议中数据包具有数据包由IP报头、TCP/UDP报头、数据组成,IP报头中包含上层的协议端口号、源地址、目的地址,TCP/UDP报头包含源端号、目的端口,设备信息。(如图1) ACL利用这些信息来定义规则,通过一组由多条deny(拒绝)和permit(允许)语句
3、组成的条件列表,对数据包进行比较、分类,然后根据条件实施过滤。——如果满足条件,则执行给定的操作;如果不满足条件,则不做任何操作继续测试下一条语句。(如:图2) 1.2ACL的分类 ACL的分类根据X络厂商及设备IOS版本的不同存在一定的差别,但按照规则的功能一般ACL可以划分以下三种: 1)标准ACL:仅使用数据包的源IP地址作为条件来定义规则。 2)扩展ACL:既可使用数据包的源IP地址,也可使用目的IP地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型等其他第3层和第4层报头中的其他字段来定义规则。 3)基于以太
4、帧的ACL:可根据数据包的源MAC地址、目的MAC地址、以太帧协议类型等其他以太X帧头信息来定义规则。 1.3ACL的特性 1)每条ACL应当至少包含一条允许语句,否则将拒绝所有流量。 2)ACL被创建后并不是马上生效,只有在被应用到接口时才会过滤流量。 3)ACL只过滤通过设备的流量,而不过滤本设备所产生的流量。 4)将标准ACL尽可能放置在靠近目的地址的位置,将扩展ACL尽可能放置在靠近在源地址的位置,以避免不必要的流量占用X络带宽。 5)避免在核心层设备上大量使用ACL,这将大量占用设备的处理能力。 2企业园区X络安全实
5、例 2.1典型企业园区X络 在典型企业园区X络环境中,X络依照三层架构建设及接入层、汇聚层、核心层,各部门通过Vlan划分为多个子X络。终端用户主要应用为OA系统、电子邮件以及部门打印机。(如图3) 2.2企业园区X络所面临的安全问题 传统意义上的X络安全考虑的是防范外部X络对内X的攻击行为,即来自于英特X的攻击行为。外X安全威胁模型假设内部X络都是安全可信的,威胁都来自于外部,其途径主要通过内外X络边界出口,只要将X络边界处的安全控制措施做好,即可确保整个X络的安全。传统防火墙、入侵检测、防病毒X关和VPN设备都是基于这种思路来设
6、计的。 事实上,内部X络并非完全安全可信。内部X络包含大量的终端、服务器和X络设备,任何一个部分的安全漏洞或者问题,都可能引发整个X络的瘫痪,威胁既可能来自外X,也可能来自内X的任何一个节点上,实现一个可管理、可控制和可信任的内X已成为维护企业X络系统正常运行,充分发挥信息X络效益的必然要求。 目前,对企业内部园区X络的常见安全问题有以下几点: 1)在企业管理中需要避免各个部门之间X络的相互影响,限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。 2)防止内X已有病毒在X络上的扩散传播,控制并减少病毒侵害的范围。
7、 3)防止未经授权的非法终端设备接入X络,对X络中的设备进行。 2.3ACL策略实现 对于企业园区X中的上述问题,以Cisco三层交换机为例设配置ACL策略,实现安全防范。 1)企业园区X络各部门Vlan收敛于核心交换机,因此在核心交换机上使用扩展ACL实现Vlan指定访问。 Sitany192.168.254.00.0.0.255//允许目的地址为服务器区域地址段 Sitipanyany//允许任意主机之间的访问 Sacaccess-listextendedf0/1//建立命名为f0/1的ACL Sac)#permitany
8、hostH.H.H//允许任意地址访问MAC地址为H.H.H的主机 Sac)#permithostH.H.Hany//允许MAC地址为H.H.H的主机访问任意地址 Sacac
此文档下载收益归作者所有