• <input id="zdukh"></input>
  • <b id="zdukh"><bdo id="zdukh"></bdo></b>
      <b id="zdukh"><bdo id="zdukh"></bdo></b>
    1. <i id="zdukh"><bdo id="zdukh"></bdo></i>

      <wbr id="zdukh"><table id="zdukh"></table></wbr>

      1. <input id="zdukh"></input>
        <wbr id="zdukh"><ins id="zdukh"></ins></wbr>
        <sub id="zdukh"></sub>
        公務員期刊網 論文中心 正文

        ACL在網絡安全的應用仿真

        前言:想要寫出一篇引人入勝的文章?我們特意為您整理了ACL在網絡安全的應用仿真范文,希望能給你帶來靈感和參考,敬請閱讀。

        ACL在網絡安全的應用仿真

        摘要:acl作為熱門的網絡技術之一,被廣泛應用于網絡管理領域中。文章結合企業(yè)對網絡的常用訪問控制需求,并利用思科PacketTracer仿真,模擬了ACL在網絡安全中的應用。

        關鍵詞:ACL;網絡安全;仿真

        1ACL概述

        1.1ACL基本概念

        訪問控制列表(AccessControlList,ACL),工作在OSI參考模型的第3層,用于通過建立的訪問規(guī)則對進出網絡中的數據包進行訪問控制,進而達到對網絡的控制和保護目的。訪問控制列表每條語句組成一個規(guī)則,決定數據包的運行通過或拒絕通過。ACL可分為標準的訪問控制列表和擴展的訪問控制列表兩類,標準的訪問控制列表基于源地址做過濾策略,適應場合有限,不能進行復雜的條件過濾。擴展的訪問控制列表可通過源IP地址、目的IP地址、端口號、協議等諸多信息來規(guī)定數據包的處理動作,對經過的數據流進行判斷、分類和過濾。通過訪問控制列表可以實現控制網絡流量,提高網絡性能;提供訪問權限,實現訪問控制等功能,是目前重要的安全保護技術,被廣泛應用于互聯網。

        1.2ACL工作原理

        ACL可以工作在路由器、交換機等網絡設備上,主要采用數據包過濾技術。以路由器為例,當數據包到達路由器的轉發(fā)端口時,首先判斷該端口是否有ACL,沒有則直接轉發(fā);如果有則匹配ACL的轉發(fā)規(guī)則,根據轉發(fā)規(guī)則來決定數據包permit或deny;如果permit,則直接轉發(fā);如果deny則丟棄該數據包并向數據源發(fā)送目標不可達的ICMP報文或終止TCP的連接請求。

        1.3ACL使用原則

        在配置和使用ACL時由于每個接口、每個方向、每種協議只能設置一個ACL,同時ACL按順序比較,直找到符合條件的那條以后就不再繼續(xù)比較,因此應注意以下3點原則。(1)最小權限原則:即只給予受控對象完成任務所必須的最小權限。(2)最靠近受控對象原則:即所有的網絡層訪問權限控制要盡量距離受控對象最近。(3)默認丟棄原則:即每個訪問控制列表最后都隱含了一條denyany規(guī)則。

        2ACL在網絡安全中應用場景設計為研究

        ACL在網絡安全中的應用,這里設計如下的企業(yè)應用場景。某企業(yè)有管理部、員工部、財務部3個部門,另企業(yè)架設了自己的FTP服務和Web服務器。其中VLAN10模擬管理部,VLAN20模擬員工部,VLAN30模擬財務部,VLAN40模擬服務器區(qū)。www1,www2模擬外網的Web服務器,PC3模擬未授權的網絡。為仿真ACL的網絡隔離、網絡保護、訪問控制等安全功能,提出如下網絡安全需求:(1)內網、外網都可以訪問企業(yè)的Web服務器,但FTP服務器只能被校內訪問。(2)管理部可以訪問員工部、財務部,但員工部不能訪問財務部。(3)管理部可以訪問外網www1和www2服務器,員工部只能訪問www1,而財務部拒絕訪問一切外網[1]。

        3ACL關鍵配置

        鑒于篇幅有限,本部分配置僅為ACL配置部分的關鍵代碼。(1)限制外網對FTP的訪問,仿真保護特定的內網目標。Router(config)#access-list101denytcpanyhost192.168.4.2eq21Router(config)#access-list101permitipanyanyRouter(config)#ints1/0Router(config-if)#ipaccess-group101in(2)管理部可以訪問員工部、財務部,但員工部不能訪問財務部,仿真內網的訪問控制。Switch(config)#access-list1permit192.168.1.00.0.0.255Switch(config)#access-list1deny192.168.2.00.0.0.255Switch(config)#access-list1permitanySwitch(config)#intvlan30Switch(config-if)#ipaccess-group1out(3)管理部可以訪問外網www1和www2服務器,員工部只能訪問www1,而財務部拒絕訪問一切外網,仿真外放的訪問控制和隔離。Router(config)#access-list102permitip192.168.1.00.0.0.255anyRouter(config)#access-list102permittcp192.168.2.00.0.0.255host222.222.222.2eq80Router(config)#access-list102denyip192.168.2.00.0.0.255anyRouter(config)#access-list102denyip192.168.3.00.0.0.255anyRouter(config)#access-list102permitipanyanyRouter(config)#intf0/0Router(config-if)#ipaccess-group102inRouter#showipaccess-lists102ExtendedIPaccesslist102permitip192.168.1.00.0.0.255any(15match(es))permittcp192.168.2.00.0.0.255host222.222.222.2eqwww(5match(es))denyip192.168.2.00.0.0.255any(12match(es))denyip192.168.3.00.0.0.255anypermitipanyany(47match(es))

        4仿真結果驗證

        無ACL時內網和外網都可正常訪問內網的FTP;配置ACL后的內網可正常訪問,PC3則無法訪問,實現了保護內網FTP目的。無ACL時,內網都可正常訪問財務部;配置ACL后,員工部PC1訪問被阻斷,實現了內網訪問控制目標。無ACL時,內網都能正常訪問外網的www1和www2;配置ACL后,PC0仍能正常訪問,而PC1只能正常訪問www1,PC2無法訪問www1、www2,實現了訪問控制和財務網絡隔離目標。

        5結語

        此次ACL的網絡安全應用的仿真實驗充分證明了ACL對網絡安全起到很好的控制和保護作用,但是ACL也具有一定的局限性,無法達到對所有節(jié)點的權限控制,所以在網絡安全中可以結合其他技術一起達到網絡安全防御的作用。

        [參考文獻]

        [1]石峰.訪問控制列表ACL在校園網中的作用分析[J].電腦知識與技術,2017(33):70-71.

        作者:梁賓 單位:九州職業(yè)技術學院

        无码人妻一二三区久久免费_亚洲一区二区国产?变态?另类_国产精品一区免视频播放_日韩乱码人妻无码中文视频
      2. <input id="zdukh"></input>
      3. <b id="zdukh"><bdo id="zdukh"></bdo></b>
          <b id="zdukh"><bdo id="zdukh"></bdo></b>
        1. <i id="zdukh"><bdo id="zdukh"></bdo></i>

          <wbr id="zdukh"><table id="zdukh"></table></wbr>

          1. <input id="zdukh"></input>
            <wbr id="zdukh"><ins id="zdukh"></ins></wbr>
            <sub id="zdukh"></sub>
            色综合天天综合网中文 | 亚洲成色在线综合网站 | 日韩天堂一区二区三区 | 这里只有精品99久久 | 最新日韩一区二区综合另类 | 亚洲人成网站999久久久综合 |