返回
cisco路由器acl配置实现网络安全策略

cisco路由器acl配置实现网络安全策略

ID:28444662

大小:81.20 KB

页数:6页

时间:2018-12-10

cisco路由器acl配置实现网络安全策略_第1页
cisco路由器acl配置实现网络安全策略_第2页
cisco路由器acl配置实现网络安全策略_第3页
cisco路由器acl配置实现网络安全策略_第4页
cisco路由器acl配置实现网络安全策略_第5页
资源描述:

《cisco路由器acl配置实现网络安全策略》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Cisco路由器ACL配置实现网络安全策略摘要:随着中小企业信息化水平的不断提高,中小企业信息安全问题越来越为严重,针对大型企业提供的信息安全技术和设备,虽然能为中小企业提供相应的信息安全能力,但其专业性较强、成本较高,增加了中小企业的负担。ACL技术即访问列表控制技术,仅需利用路由器即可实现网络安全控制,成本低廉实现简单,能很好的满足中小企业信息安全的需要,具有极高的应用价值。本文以Cisco路由器为例,就如何通过ACL配置利用路由器实现网络安全策略进行探讨,可供中小企业借鉴。关键词:Cisco路由器;ACL配置;网络安全;访问控中图分类号:TP

2、393.08信息化技术能有利的提升企业经营效率,是整个社会经济发展的必由之路。近年来,我国中小企业信息化水平得到了极大的提高,大多数中小企业都构建起了自身的网络系统,运用计算机技术、同络技术、信息化技术进行企业经营管理,对促进我国中小企业竞争能力的提升起着重要作用。1ACL技术基本原理1.1ACL技术实现途径ACL技术是利用路由器和交换机接口的指令列表,来控制端口进出数据包的技术。这种技术适用于所有被路由协议之中,仅需要对访问控制列表进行关系匹配、条件查询,即可进行访问控制。这种技术是一种包过滤技术,通过读取包头信息与定义好的匹配规则进行比较实现包

3、过滤,允许和拒绝相应的访问,从而达到访问控制的需要。在ACL工作过程中,当收到数据包后路由器先对数据包进行检查,如果数据包可路由则通过访问控制列表找出接口,如果该出口没有被编入ACL则直接从该口送出,如果被编入ACL则进行匹配执行,进行相应的处理。1.2ACL技术常见类型目前常用的ACL技术可分为标准访问控制列表和扩展访问控制列表两类,进一步可细分为标准IP访问控制列表、扩展IP访问控制列表、命名IP访问控制列表三种。标准访问列表控制级别相对较低,只根据分组内源地址或一部分进行控制,编号范围在1-99之间。扩展IP访问控制列表拥有更多匹配项,包括源

4、地址、源端口、目的地址、目的端口、IP优先级、协议类型等,扩充性和灵活性更强,其编号在100-199之间。命名IP访问控制列表则是以列表名来代替IP编号,这种方式突破了99个标准列表和100个扩展列表的数目限制,能直观的反映访问列表完成的功能,扩展较为容易。1.3ACL技术实现规则在ACL配置中极为灵活,应用中必须注意一些基本规则。在权限赋予中,只能给予受控对象完成任务所需的最小权限,如果只是满足部分条件则访问拒绝。在访问控制过程中,ACL匹配是采用自上而下逐条匹配的方式,当发现符合条件时则立即执行,而不会继续对下面的ACL语句进行检测,因此要保证

5、匹配规则最靠近受控对象。在ACL语句中,默认的最后一条是丢充所有不符合条件的数据包,采用默认丢弃原则,在实际应用中要根据需要进行修正,避免造成不必要的问题。同时,ACL所采用的是包过滤技术,其过滤依据为第三层和第四层包头信息,对具体个人、权限级别等的识别能力不足,在实际应用中还需要结合其它访问权限控制策略共同进行,而不能仅依靠ACL技术来进行网络安全管理。2Cisco路由器ACL配置实践2.1案例简介某企业将网络结构分为客户接待和管理层两部分,应用企业内部服务器进行企业信息管理。企业内部所有接入企业内网的计算机都可以联网,客户接待部计算机与管理层计

6、算机之间、路由器之间均可以互相访问。客户机不能直接访问企业内部服务器,管理层可以访问企业内部服务器,但不同管理职能部门,包括如财务部、业务部等所的访问权限需要进行控制,外网对企业内部服务器的访问权限也需要进行控制。该企业路由器采用Ciscol841,有服务器一台,客户接待部计算机8台,管理层计算机12台,管理层计算机分为4个部门,网络拓扑结构如1:12.2ACL配置分析在该企业中,路由器以端口E0连接行政部,网段为192.168.1.0;以端口E1连接人事部,网段为192.168.2.0;以端口E2连接财务部,网段为192.168.3.0;以端口E

7、3连接后勤部,网段为192.168.4.0;以端口E4连接客户接待部,网段为192.168.5.0;以端口E5连接服务器,网段为192.168.6.0。路由器E0-E5端口IP地址分别为192.168.1.1、192.168.2.1、192.168.3.1、192.168.4.1、192.168.5.1、192.168.6.1。其中,行政部计算机三台,IP地址分别为192.168.1.11、192.168.1.12、192.168.1.13;人事部计算机两台,IP地址分别为192.168.2.11、192.168.2.12;财务部计算机四台,IP地

8、址分别为192.168.3.11、192.168.3.12、192.168.3.13、192.168.3.14;后勤部计算

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。