網(wǎng)絡(luò)安全畢業(yè)論文

1、<p><b>　　目 錄</b></p><p>　　摘 要- 1 -</p><p>　　1 ACL的概述- 2 -</p><p>　　1.1 ACL的作用- 2 -</p><p>　　1.2 ACL的工作原理- 2 -</p><p>　　1.3 AC

2、L分類- 2 -</p><p>　　1.3.1 標(biāo)準(zhǔn)的ACL- 2 -</p><p>　　1.3.2 擴(kuò)展ACL- 3 -</p><p>　　1.3.3 命名ACL- 4 -</p><p>　　1.3.4 基于時間ACL- 4 -</p><p>　　1.3.5 動態(tài)ACL- 5 -</

3、p><p>　　1.3.6 自反ACL- 5 -</p><p>　　2 企業(yè)園區(qū)內(nèi)部網(wǎng)絡(luò)的分析- 6 -</p><p>　　2.1 企業(yè)園區(qū)網(wǎng)絡(luò)拓?fù)? 6 -</p><p>　　2.2 企業(yè)內(nèi)部的IP劃分情況- 7 -</p><p>　　3 企業(yè)園區(qū)內(nèi)部網(wǎng)絡(luò)的安全分析- 8 -</p>

4、;<p>　　4 ACL的具體應(yīng)用- 8 -</p><p>　　4.1 路由器和交換機(jī)- 8 -</p><p>　　4.2 財務(wù)部- 8 -</p><p>　　4.3 軟件開發(fā)部- 9 -</p><p>　　4.4 網(wǎng)站設(shè)計(jì)部- 9 -</p><p>　　4.5 人事部- 10

5、 -</p><p>　　4.6 管理服務(wù)器- 10 -</p><p>　　5 小結(jié)- 10 -</p><p>　　參考文獻(xiàn)- 12 -</p><p>　　致 謝- 13 -</p><p><b>　　摘 要</b></p><p>　　隨著

6、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)在為園區(qū)提供資源共享的平臺, 為之間提供更多的交流管道, ,但網(wǎng)絡(luò)互聯(lián)也導(dǎo)致了部門之間數(shù)據(jù)保密性降低,影響了部門安全, 因此, 企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)需考慮部門之間的訪問控制和網(wǎng)絡(luò)設(shè)備的安全。ACL（Access Control Lists訪問控制列表）就是一系列由源地址，目的地址，端口號等決定的允許和拒絕條件集合。ACL是應(yīng)用于路由器、三層、二層交換機(jī)。通過匹配報文中的信息與訪問控制列表參數(shù)可以過

7、濾發(fā)進(jìn)和發(fā)出的信息包的請求，實(shí)現(xiàn)對路由器和網(wǎng)絡(luò)的安全控制"。實(shí)驗(yàn)中主要對于在企業(yè)管理中需要避免各個部門之間網(wǎng)絡(luò)的相互影響，限定終端用戶的訪問區(qū)域之在本部門Vlan和特定的服務(wù)器Vlan之內(nèi)?？梢苑乐共《就ㄟ^路由器從外網(wǎng)進(jìn)入，也可以防止內(nèi)部的病毒通過路由器向外傳染病毒，同時在中心交換機(jī)上劃分的VLAN也可以防止病毒在子網(wǎng)之間的傳播。</p><p>　　關(guān)鍵詞： ACL 控制 網(wǎng)絡(luò)安全</p&

8、gt;<p><b>　　1 ACL的概述</b></p><p>　　隨著大規(guī)模開放式網(wǎng)絡(luò)的開發(fā)，網(wǎng)絡(luò)面臨的威脅也就越來越多。網(wǎng)絡(luò)安全問題成為網(wǎng)絡(luò)管理員最為頭疼的問題。一方面，為了業(yè)務(wù)的發(fā)展，必須允許對網(wǎng)絡(luò)資源的開發(fā)訪問；另一方面，又必須確保數(shù)據(jù)和資源的盡可能安全。網(wǎng)絡(luò)安全采用的技術(shù)很多，而通過訪問控制列表（ACL）可以對數(shù)據(jù)流進(jìn)行過濾，是實(shí)現(xiàn)基本的網(wǎng)絡(luò)安全手段之一。<

9、/p><p>　　1.1 ACL的作用</p><p>　　網(wǎng)絡(luò)中的節(jié)點(diǎn)資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對資源節(jié)點(diǎn)的訪問，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。</p><p>　　1.2 ACL的工作原理</p><p>

10、;　　訪問控制列表簡稱為ACL，它使用包過濾技術(shù)，在路由器上讀取第3層及第4層包頭中的信息，如源地址、目的地址、源埠和目的埠等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。其中標(biāo)準(zhǔn)控制列表只讀取數(shù)據(jù)包中的源地址信息，而擴(kuò)展訪問控制列表則還會讀取數(shù)據(jù)包中的目的地址、源埠、目的端口和協(xié)議類型等信息。ACL判斷數(shù)據(jù)包是否符合所定義的規(guī)則，符合要求的數(shù)據(jù)包允許其到達(dá)目的地址進(jìn)入網(wǎng)絡(luò)內(nèi)部，不符合規(guī)則的則丟棄，同時通知數(shù)據(jù)包發(fā)送端，數(shù)

11、據(jù)包未能成功通過路由器。通過ACL，可以簡單的將不符合規(guī)則要求的危險數(shù)據(jù)包拒之門外，使其不能進(jìn)入內(nèi)部網(wǎng)絡(luò)。</p><p>　　1.3 ACL分類</p><p>　　1.3.1 標(biāo)準(zhǔn)的ACL</p><p>　　當(dāng)我們要想阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者充許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者想要拒絕某一協(xié)議簇的所有通信流量時，可以使用標(biāo)準(zhǔn)訪問控制列表來實(shí)現(xiàn)

12、這一目標(biāo)。標(biāo)準(zhǔn) ACL使用源地址進(jìn)行數(shù)據(jù)包過濾，將對整個TCP/IP協(xié)議生效，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址的所有通信流量通過路由器的接口。</p><p>　　標(biāo)準(zhǔn)ACL其格式如下：</p><p>　　access-list access-list-number { permit | deny } source [ source-wildcard ]</p>

13、<p>　　access-list-number：編號的范圍適用數(shù)字1-99/1300-1999，該列表號不必按照任何特殊順序，這表明該access-list語句是一個普通的標(biāo)準(zhǔn)型IP訪問列表語句。list number參數(shù)具有雙重功能: （1）定義訪問列表的操作協(xié)議; （2）通知IOS在處理access-list語句時，把相同的list number參數(shù)作為同一實(shí)體對待。正如本文在后面所討論的，擴(kuò)展型IP訪問列表也是通過l

14、ist number而表現(xiàn)其特點(diǎn)的。</p><p>　　permit | deny ：設(shè)置執(zhí)行的動作，是允許還是拒絕。</p><p>　　source：指定源地址?？梢允且慌_主機(jī)或者一個網(wǎng)段。</p><p>　　source-wildcard ：源地址的反屏蔽。</p><p>　　當(dāng)設(shè)置完訪問控制列表的ACE時，還必須把它應(yīng)用到界面上

15、才能使其生效，其格式如下：</p><p>　　ip access-group access-list-number {in |out}</p><p>　　將訪問控制列表應(yīng)用于接口，訪問組在配置時要求指定其應(yīng)用是in還是out模式，該選項(xiàng)in和out代表著訪問控制列表對于接口來說使用的方式，其中，out表示訪問控制列表用于所有輸出數(shù)據(jù)包， 到來的分組首先被路由到出站接口，并在將其傳輸出去

16、之前根據(jù)出站訪問列表對其進(jìn)行處理。</p><p>　　一種調(diào)用訪問控制列表的命令是access-class ，該命令用于控制到達(dá)路由器或者由路由器虛擬終端線路發(fā)起的telnet會話，而不進(jìn)行數(shù)據(jù)包過濾，命令格式如下：</p><p>　　access-calss access-list-number {in|out}</p><p>　　命令access-clas

17、s 對于路由器傳輸?shù)膖elnet流量不起作用，它僅影響到達(dá)路由器以及路由器發(fā)起的會話。</p><p>　　1.3.2 擴(kuò)展ACL</p><p>　　擴(kuò)展型IP訪問列表在數(shù)據(jù)包的過濾方面增加了不少功能和靈活性。IP擴(kuò)展訪問列表可以根據(jù)IP上層協(xié)議號、源IP位址、目的IP位址、源TCP/UDP端口號、目的TCP/UDP端口號、TCP標(biāo)志、ICMP消息類型和代碼、TOS優(yōu)先級、IP分片標(biāo)志

18、等屬性對數(shù)據(jù)包進(jìn)行過濾，即可以對同一地址允許使用某些協(xié)議通信流量通過，而拒絕使用其它協(xié)議的流量通過，他可以更精確的過濾流量。</p><p>　　擴(kuò)展型IP訪問列表的通用格式如下：</p><p>　　access-list access-list-number [dynamic dynamic-name [timeout minutes]] { permit | deny}protoco

19、l source source-wildcard destination destination-wildcard [precedence precedence][tos tos][log|log-input][time-range time-range-name][operator opera] [established][fragment]</p><p>　　access-list-number：擴(kuò)展AC

20、L適用數(shù)字100-199或者2000—2699 </p><p>　　dynamic：表示這個列表時一個動態(tài)訪問控制列表。</p><p>　　timeout：定義了一個臨時條目在一個動態(tài)列表中保留的最大時間。</p><p>　　protocol：協(xié)議類型，，其中包括IP、TCP、UDP和ICMP等等由于IP頭部傳送TCP、UDP、路由協(xié)議和ICMP協(xié)議，所以在訪

21、問列表的語句中，IP協(xié)議的級別比其它協(xié)議更為重要。</p><p>　　source source-wildcard ：源地址和反屏蔽，</p><p>　　destination destination-wildcard：目標(biāo)地址和反屏蔽。如果主機(jī)的反屏蔽是0.0.0.0那么可以寫成：host ip地址 這樣的格式。如果地址是 0.0.0.0 255.255.255.255可以寫成

22、any。</p><p>　　precedence：ip報頭中的優(yōu)先級字段，范圍是0-7，</p><p>　　tos：ip報頭中的服務(wù)類型。范圍是0-15</p><p>　　log：任何訪問控制列表后都可以加上一個log關(guān)鍵詞，它起日志的作用。一旦訪問列表作用于某個接口，那么包括關(guān)鍵詞"log"的語句將記錄那些滿足訪問列表中"per

23、mit"和"deny"條件的資料包。第一個通過接口并且和訪問列表語句匹配的數(shù)據(jù)包將立即產(chǎn)生一個日志信息。后續(xù)的數(shù)據(jù)包根據(jù)記錄日志的方式，或者在控制臺上顯示日志，或者在內(nèi)存中記錄日志。通過Cisco IOS的控制臺命令可以選擇記錄日志方式。</p><p>　　log-input：如果在擴(kuò)展ACL最后加上log-input，則不僅會保存流量信息，還會將數(shù)據(jù)包通過的端口信息也進(jìn)行保存&l

24、t;/p><p>　　time-range：定義一個時間列表。</p><p>　　operator operan ：操作選項(xiàng)。等于 (eq)、不等于 (neq)、大于 (gt) 和小于 (lt)。 </p><p>　　1.3.3 命名ACL</p><p>　　對于每臺路由器，798個標(biāo)準(zhǔn)訪問列表或者799個擴(kuò)展訪問列表，看上去已經(jīng)足夠了。

25、但是有些情況（比如動態(tài)訪問列表）可能就不夠了，從IOS 11.2 開始提供的命名訪問列表打破了這種限制，命名ACL允許對訪問控制列表允許訪問控制列表進(jìn)行標(biāo)識時使用一些描述性的名稱，而不是像以前那樣僅一個無描述作用的號碼，描述名可以使數(shù)量龐大的訪問列表更加便于管理。</p><p>　　1.3.4 基于時間ACL</p><p>　　隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化，從IOS 12.0開始，思

26、科（CISCO）路由器新增加了一種基于時間的訪問列表。通過它，可以根據(jù)一天中的不同時間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時間的訪問列表，就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中，加入有效的時間范圍來更合理有效地控制網(wǎng)絡(luò)。它需要先定義一個時間范圍，然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。并且，對于編號訪問表和名稱訪問表都適用 。</p><p>　　基于時間的訪問控制列表的格

27、式：</p><p>　　基于時間的訪問控制列表由兩部分組成，第一部分是定義時間段，第二部分是用擴(kuò)展訪問控制列表定義規(guī)則。這里我們主要講解下定義時間段，具體格式如下：</p><p>　　time-range 時間段名稱</p><p>　　absolute start [小時：分鐘] [日 月 年] [end] [小時：分鐘] [日 月 年]</p&g

28、t;<p>　　例如：time-range softer absolute start 0:00 1 may 2005 end 12:00 1 june 2005</p><p>　　意思是定義了一個時間段，名稱為softer，并且設(shè)置了這個時間段的起始時間為2005年5月1日零點(diǎn),結(jié)束時間為2005年6月1日中午12點(diǎn)。</p><p>　　1.3.5 動態(tài)ACL<

29、/p><p>　　動態(tài)ACL是Cisco IOS 的一種安全特性，它使用戶能在防火墻中臨時打開一個缺口，而不會破壞其它已配置了的安全限制。</p><p>　　lock-and-key動態(tài)ACL使用IP動態(tài)擴(kuò)展ACL過濾IP流量。當(dāng)配置了lock-and-key動態(tài)ACL之后，臨時被拒絕掉的IP流量可以獲得暫時性的許可。 lock-and-key動態(tài)ACL臨時修改路由器接口下已經(jīng)存在的ACL，

30、來允許IP流量到達(dá)目標(biāo)設(shè)備。之后lock-and-key動態(tài)ACL把接口狀態(tài)還原。</p><p>　　通過lock-and-key動態(tài)ACL獲得訪問目標(biāo)設(shè)備權(quán)限的用戶，首先要開啟到路由器的telnet會話。接著lock-and-key動態(tài)ACL自動對用戶進(jìn)行認(rèn)證。如果認(rèn)證通過，那么用戶就獲得了臨時性的訪問權(quán)限。</p><p>　　1.3.6 自反ACL</p><

31、p>　　自反ACL是自動駐留的，暫時的，基于會話的過濾器，允許根據(jù)上層會話信息對IP分組進(jìn)行過濾，如果某臺路由器允許通過網(wǎng)絡(luò)內(nèi)部向外網(wǎng)的主機(jī)初始發(fā)起一個會話，那么自反訪問控制列表就允許返回的會話數(shù)據(jù)流，自反列表和擴(kuò)展命名的Ipv4訪問列表一起使用。只能由內(nèi)部網(wǎng)絡(luò)始發(fā)的，目的地是不能主動訪問源，外部網(wǎng)絡(luò)的響應(yīng)流量可以進(jìn)入，由外部網(wǎng)絡(luò)始發(fā)的流量如果沒有明確的允許，是禁止進(jìn)入的。</p><p>　　自反ACL可

32、以基于上層信息過濾IP流量?？梢允褂米苑碅CL實(shí)現(xiàn)流量的單向穿越。自反ACL只能通過命名擴(kuò)展ACL來定義。</p><p>　　Configuring Reflexive ACL </p><p>　　配置自反ACL的步驟如下：</p><p>　?。?）定義命名擴(kuò)展ACL：</p><p>　　BitsCN(config)#ip acces

33、s-list extended {name}</p><p>　　（2）定義自反ACL：</p><p>　　BitsCN(config-ext-nacl)#permit {protocol} any any reflect {name} [timeout seconds]</p><p>　?。?）嵌套自反ACL：</p><p>　　Bi

34、tsCN(config-ext-nacl)#evaluate {name}</p><p>　?。?）應(yīng)用自反ACL：</p><p>　　BitsCN(config-if)#ip access-group {name} {in|out}</p><p>　　（5）全局定義自反ACL的超時時間?？蛇x：</p><p>　　BitsCN(con

35、fig)#ip reflexive-list timeout {seconds}</p><p>　　2 企業(yè)園區(qū)內(nèi)部網(wǎng)絡(luò)的分析</p><p>　　傳統(tǒng)意義上的網(wǎng)絡(luò)安全考慮的是防范外部網(wǎng)絡(luò)對內(nèi)網(wǎng)的攻擊行為，即來自于英特網(wǎng)的攻擊行為。外網(wǎng)安全威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的，威脅都來自于外部，其途徑主要通過內(nèi)外網(wǎng)絡(luò)邊界出口，只要將網(wǎng)絡(luò)邊界處的安全控制措施做好，即可確保整個網(wǎng)絡(luò)的安全。

36、傳統(tǒng)防火墻、入侵檢測、防病毒網(wǎng)關(guān)和VPN設(shè)備都是基于這種思路來設(shè)計(jì)的。 </p><p>　　事實(shí)上，內(nèi)部網(wǎng)絡(luò)并非完全安全可信。內(nèi)部網(wǎng)絡(luò)包含大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備，任何一個部分的安全漏洞或者問題，都可能引發(fā)整個網(wǎng)絡(luò)的癱瘓，威脅既可能來自外網(wǎng)，也可能來自內(nèi)網(wǎng)的任何一個節(jié)點(diǎn)上，實(shí)現(xiàn)一個可管理、可控制和可信任的內(nèi)網(wǎng)已成為維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，充分發(fā)揮信息網(wǎng)絡(luò)效益的必然要求。</p><p&

37、gt;　　2.1 企業(yè)園區(qū)網(wǎng)絡(luò)拓?fù)?lt;/p><p>　　圖2-1 企業(yè)部門劃分圖</p><p>　　圖2-2 企業(yè)ACL功能</p><p>　　2.2 企業(yè)內(nèi)部的IP劃分情況</p><p>　　表2-1 企業(yè)各部門IP劃分</p><p>　　3 企業(yè)園區(qū)內(nèi)部網(wǎng)絡(luò)的安全分析</p><p&

38、gt;　　目前，對企業(yè)內(nèi)部園區(qū)網(wǎng)絡(luò)的常見安全問題有以下幾點(diǎn)： </p><p>　　1）在企業(yè)管理中需要避免各個部門之間網(wǎng)絡(luò)的相互影響，限定終端用戶的訪問區(qū)域之在本部門Vlan和特定的服務(wù)器Vlan之內(nèi)。 </p><p>　　2）防止內(nèi)網(wǎng)已有病毒在網(wǎng)絡(luò)上的擴(kuò)散傳播，控制并減少病毒侵害的范圍。 </p><p>　　3）防止未經(jīng)授權(quán)的非法終端設(shè)備接入網(wǎng)絡(luò)，對網(wǎng)絡(luò)中的

39、設(shè)備進(jìn)行管理。 </p><p>　　4 ACL的具體應(yīng)用</p><p>　　4.1 路由器和交換機(jī)</p><p>　　在企業(yè)的路由器中設(shè)置ACL可以提高安全性。在網(wǎng)絡(luò)傳輸中限制傳輸?shù)念愋停岣咝阅?，減少網(wǎng)絡(luò)漏洞，能防止內(nèi)部的攻擊，如各種木馬程序和蠕蟲病毒的攻擊。通過對病毒進(jìn)行分析，了解病毒主要是通過TCP的135、136、137、138、445、4444埠

40、，UDP的69、135、136、445埠來發(fā)動攻擊的。路由器作為內(nèi)部計(jì)算機(jī)的跨網(wǎng)訪問的通道，可以將這些埠限制掉，便可以防止病毒通過路由器從外網(wǎng)進(jìn)入，也可以防止內(nèi)部的病毒通過路由器向外傳染病毒，同時在中心交換機(jī)上劃分的VLAN也可以防止病毒在子網(wǎng)之間的傳播。</p><p>　　Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168

41、.6.2 eq 135</p><p>　　Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 136</p><p>　　Router(config)#access-list 101 deny tcp host 192.168.4.3 host 192.168.6.2 eq 137<

42、;/p><p>　　Router(config)#access-list 101 permit ip any any</p><p>　　Router(config)#int e0/0</p><p>　　Router(config-if)#ip access-group 101 in</p><p><b>　　4.2 財務(wù)部<

43、/b></p><p>　　由于財務(wù)部的數(shù)據(jù)庫服務(wù)器上面的數(shù)據(jù)是比較機(jī)密的，不是任何人都可以訪問上面的數(shù)據(jù)，這時就要用到訪問控制列表ACL，在列表中規(guī)定哪些主機(jī)可以訪問財務(wù)部數(shù)據(jù)庫服務(wù)器，并且此列表外的主機(jī)要想訪問財務(wù)部服務(wù)器時，就會被路由器過濾掉</p><p>　　Router(config)#access-list 101 deny ip 192.168.1.0 0.0.0.2

44、55 192.168.4.0 0.0.0.255</p><p>　　Router(config)#access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255</p><p>　　Router(config)#access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168

45、.4.0 0.0.0.255</p><p>　　Router(config)#access-list 101 permit ip any any</p><p>　　禁止人事部、軟件開發(fā)部、網(wǎng)站設(shè)計(jì)部訪問財務(wù)部。</p><p>　　4.3 軟件開發(fā)部</p><p>　　由于軟件開發(fā)部需要編寫大量程序，大部分時間用于編程，但有時候需要上

46、網(wǎng)搜索數(shù)據(jù)。所以利用基于時間的ACL來限制上網(wǎng)的時間。只允許軟件開發(fā)部192.168.3.0網(wǎng)段的員工在周一到周五下午三點(diǎn)到五點(diǎn)訪問服務(wù)器192.168.5.13上的FTP資源，其它工作時間不能下載該FTP資源。</p><p><b>　　路由器配置命令：</b></p><p>　　Router#show clock</p><p>　　R

47、outer#clock set</p><p>　　Router(config)#time-range worktime //定義時間段名稱為worktime</p><p>　　Router(config-time-rang)#absolute start 15:00 end 17:00</p><p>　　Router(config-time-rang)# pe

48、riodic weekdays monday to firday periodic weekend 15:00 to 17:00 //定義具體時間范圍為每周一到周五的三點(diǎn)到五點(diǎn)。</p><p>　　Router(config-time-rang)#periodic weekdays monday to firday //是定義工作日。Router(config)#access-list 101 deny

49、tcp any 192.168.5.13 0.0.0.0 eq ftp timerange aaa//禁止在時間段aaa范圍內(nèi)訪問192.168.5.13的FTP服務(wù)。</p><p>　　Router(config)#access-list 101 permit ip any any //容許其它時間段和其它條件下的正常訪問。</p><p>　　int E1//進(jìn)入E1埠。</

50、p><p>　　Router(config-if)# ip access-group 101 out //輸出方向。</p><p>　　基于時間的ACL比較適合于時間段的管理，通過上面的設(shè)置，192.168.3.0的用戶就只能在周一到周五下午三點(diǎn)到五點(diǎn)訪問服務(wù)器的FTP資源，其它時間均不能訪問</p><p><b>　　4.4 網(wǎng)站設(shè)計(jì)部</b>

51、;</p><p>　　負(fù)責(zé)企業(yè)的主要工作，為客戶設(shè)計(jì)其要求的網(wǎng)站。在這里，員工是不允許上網(wǎng)的，但是其又需要不斷地與客戶交流。所以，部門內(nèi)必須設(shè)置特定的主機(jī)，與客戶進(jìn)行遠(yuǎn)程交流。這里利用ACL在主交換機(jī)上設(shè)置一臺特定主機(jī)能過訪問外網(wǎng)并能過telnet。Router(config)#access-list 1 permit host 192.168.2.2 </p><p>　　Router

52、(config)#access-list 1 deny any int s0/0 </p><p>　　Router(config)#ip access-group 1 out line vty 0 4 </p><p>　　Router(config)#access-list 1 in</p><p><b>　　4.5 人事部</b><

53、;/p><p>　　人事部主要負(fù)責(zé)人事招聘，需要經(jīng)常上網(wǎng)了解網(wǎng)上人力資源，了解各種人才對企業(yè)的需求。所以，在工作期間，可能會有人上QQ、玩游戲、下載檔等，造成企業(yè)流量浪費(fèi)。所以，限制他們一些其它類型的數(shù)據(jù)流量，而有Email的數(shù)據(jù)流量被允許，這樣就可以限制該企業(yè)內(nèi)部對外部網(wǎng)絡(luò)的訪問，只允許員工接收外部郵件，訪問一些固定的網(wǎng)址</p><p>　?。?）用ACL來禁止QQ，QQ登陸使用時8000

54、埠（TCP/UDP）</p><p>　　Router(config)#access-list 101 deny udp any any eq 8000</p><p>　　禁止QQ流量；Router(config)#access-list 101 permit udp</p><p>　　any any//允許過濾后所有UDP流量；</p><

55、p>　　Router(config)#accesslist 101 permit tcp any any //允許過濾后所有TCP流量；</p><p>　　Router(config)#access-list 101 permit ip any any //允許過濾后所有IP流量。</p><p>　　Router(config)#Int e0/0</p><

56、p>　　Router(config)#Ip access-group 101 in</p><p>　?。?）利用ACL限制BT下載</p><p>　　Router(config)#access-list 101 deny tcp any any rang 6881 6890</p><p>　　Router(config)#access-list 101

57、deny tcp any rang 6881 6890 any</p><p>　　Router(config)#access-liat 101 permit ip any any</p><p>　　4.6 管理服務(wù)器</p><p>　　主要用來管理和限制各個部門之間的訪問權(quán)限，便于管理者管理和及時了解企業(yè)數(shù)據(jù)信息。通過在管理服務(wù)器上設(shè)置ACL，管理者可以訪問

58、所有的部門，自由訪問Internet，而其它部門則沒有權(quán)限訪問管理服務(wù)器。</p><p>　　Router(config)#access-list 101 permit ip 192.168.5.0 0.0.0.255 any</p><p>　　Router(config)#access-list 101 deny any</p><p>　　這樣，企業(yè)管理者可

59、訪問所有部門并能自由上網(wǎng)，所有部門不能夠訪問該企業(yè)的管理服務(wù)器等功能。</p><p><b>　　5 小結(jié)</b></p><p>　　本文主要介紹了ACL的工作原理，列舉出了幾種ACL在網(wǎng)絡(luò)當(dāng)中的具體應(yīng)用，這在一定程度上可以幫助網(wǎng)絡(luò)管理人員更加靈活、方便的應(yīng)對網(wǎng)絡(luò)控制及網(wǎng)絡(luò)安全中所出現(xiàn)的問題。訪問控制列表時網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源

60、不被非法使用和訪問。</p><p>　　在具體的網(wǎng)絡(luò)應(yīng)用中實(shí)現(xiàn)了防止內(nèi)部的病毒通過路由器向外傳染病毒，在各個VLAN間也可以防止病毒在子網(wǎng)間的傳播。管理服務(wù)器的管理者可以訪問所有部門，自由訪問Internet，而其它部門則沒有權(quán)限訪問管理服務(wù)器。這樣企業(yè)管理者就可以對所有部門進(jìn)行訪問和管理并能自由上網(wǎng)。實(shí)現(xiàn)了禁止人事部、軟件開發(fā)部、網(wǎng)站設(shè)計(jì)部訪問財務(wù)部。對一些部門在規(guī)定的一些時間內(nèi)不能上網(wǎng)或娛樂等采用基于時間的

61、ACL進(jìn)行了限制。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 原峰山,陳立德. 網(wǎng)絡(luò)管理與安全. 清華大學(xué)出版社</p><p>　　[2] 諸曄.用ACL實(shí)現(xiàn)系統(tǒng)的安全訪問控制[J].計(jì)算機(jī)應(yīng)用與軟件.2005.22(3):111-114</p><p>　　[3] 范萍,李罕偉.基于A

62、CL 的網(wǎng)絡(luò)層訪問權(quán)限控制技術(shù)研究[J].華東交通大學(xué)學(xué)報.2004.21(4):89-92</p><p>　　[4] 網(wǎng)絡(luò)安全性設(shè)計(jì) Merike kaeo,CCIE #1287 著 人民郵電出版社 100-105</p><p>　　[5] 郭自龍.訪問控制列表在網(wǎng)絡(luò)管理中的應(yīng)用.[M].北京：清華大學(xué)出版社，2004</p><p>　　[6] Saadat

63、 Malik .網(wǎng)絡(luò)安全原理與實(shí)踐指南 [M].北京：人民郵電出版社，1982.20-29．</p><p>　　[7] Jihnson. 思科網(wǎng)絡(luò)技術(shù)學(xué)院教程. [M] .北京：人民出版社，2009.50-61.</p><p>　　[8]唐子蛟，李紅蟬．基于ACL的網(wǎng)絡(luò)安全管理的應(yīng)用研究[J]．四川理工學(xué)院學(xué)報(自然科學(xué)版)，2009，22(1)：48—51．</p>

64、<p>　　[9]范萍，李罕偉．基于ACL的網(wǎng)絡(luò)層訪問權(quán)限控制技術(shù)研究[J]．華東交通大學(xué)學(xué)報，2004，21(4)：89—92．</p><p>　　[10]陳衛(wèi)榮．Ciseo路由器訪問控制列表配置實(shí)現(xiàn)第一道網(wǎng)絡(luò)安全屏障[J]．武麥學(xué)院學(xué)報，2008，27(5)：印一64．</p><p><b>　　致 謝</b></p><p

65、>　　通過這一階段的努力，我的畢業(yè)論文《企業(yè)園區(qū)內(nèi)部網(wǎng)絡(luò)ACLS的基本應(yīng)用》終于完成了，這也意味著我三年的大學(xué)生活即將結(jié)束。在大學(xué)階段，我在學(xué)習(xí)上和思想上都受益非淺，這除了自身的努力外，與各位老師、同學(xué)和朋友的關(guān)心、支持和鼓勵是分不開的。</p><p>　　在本論文的寫作過程中，我的講師xx老師傾注了大量的心血，從寫作提綱到初稿定稿，一遍又一遍地指出每稿中的具體問題，嚴(yán)格把關(guān)，循循善誘，在此我表示衷心感謝