路由器防病毒acl应用研究.doc

路由器防病毒ACL应用研究2010年12月中国制造业信息化第39卷第23期路由器防病毒ACL应用研究石景山(南京航空航天大学信息中心,江苏南京210016)摘要:以CISC~)路由器为例,介绍了ACL定义及应用方法,着重对具有病毒过滤功能的ACI进行了分析研究,并给出了在校园网中的应用实例,:路由器;防病毒;访问控制列表中图分类号::A文章编号:1672—1616(2010)23—0050—05计算机病毒自出现之日起,,病毒也有了更快捷,,安全问题更为突出,安全管理更为复杂困难,主要表现有:普遍存在的计算机系统的漏洞,计算机蠕虫与病毒泛滥,外来的系统人侵与攻击等恶意破坏行为,内部用户攻击行为,垃圾邮件及不良信息的传播等….作为网络管理人员,既要保证校园网正常的网络应用,,安装并及时升级防病毒软件之外,在网络层面,可以在路由器上利用ACL(AccessControlList,访问控制列表),关闭具有病毒特征的TCP或UDP端口,以阻断病毒通过路由器进一步传播,,一个ACL是允许和拒绝条件语句的一个有序集合,它们作用于数据包的IP地址,(包括物理端口或VLAN).ACL根据功能可以分为:标准ACL,扩展ACL,动态ACL,基于时间的ACL,自反ACL,基于上下文的ACL[2].,,传输层协议(TCP,IJ1)P)和应用端口号的过滤,可以提供比标准ACL更细致,,在校园网中,边界路由器可以对来自Intemet的数据流,用扩展ACL控制对内部服务器和应用的访问;扩展ACL还可以用在内部路由器上,:access—list[1istnumber][permitIdeny][protocoLl[sourceaddresssource,wildcardlany][sourceport][destinationaddressdestination—wildcardfany][destinationport].[option][1og]扩展ACL语句是按顺序操作的,,数据包就按该语句的”permit”或”deny”,才认为该行被匹配,,就立即接着检查扩展ACL中的下一行语句[.:,,为了将ACL应用于快速以太网接口0/0,必收稿日期:2010—11,10作者简介:石景山(1966一),男,江苏盐城人,南京航空航天大学信息中L,Cg~,工学硕士,主要从事网络管理等工作.?应用研究?石景山路由器防病毒ACL应用研究51须使用如下命令定义此接口:O/ess—group命令来定义ACL所应用的接口方向,其格式如下所示:ess—group[1istnumber][inIout]listnumber标识ACL,而关键字in或out则指明ACL所使用的方向,:2/ess——————list101denyipanyany在本例中,先定义3条扩展ACL语句,再定义ACL应用的千兆以太网接口2/1,ess-,增加了对ACL的简化定义,可以定义一个字符串作为扩展ACL的名称:ess—list{standardlextended}name(其他字段略