课题一---局域网.doc

课题一 局域网的访问控制之ACL标准访问控制列表


假设你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部PC1可以对财务部门PC3进行访问。
课题设计要求图
课题要求、目标
课题要求：销售部门PC2不能对财务部门PC3进行访问，但经理部PC1可以对财务部门PC3进行访问。需要预先规划好每个网络的IP地址，以及每个路由器中每个接口需要配置的信息，并对照要求配置。
课题目标：验要求学生掌握访问控制列表的配置，理解ACL的执行过程；能够根据ACL设计安全的网络。

理论基础
访问控制列表ACL介绍
ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。
访问控制列表分类：
号码式
命名式
标准号码式访问控制列表
标准命名访问控制列表
扩展号码式访问控制列表
扩展命名访问控制列表
访问控制列表的分类
标准访问控制列表利用源IP地址来做过滤决定，配置简单，但应用场合有限，不能够进行复杂条件的过滤；而扩展访问控制列表则可以利用多个条件来做过滤：源IP地址、目标IP地址、网络层的协议字段和传输层的端口号。标准号码式访问控制列表的表号范围为1~99，而扩展号码式访问控制列表的表号范围为100~199。
访问控制列表ACL设置规则
ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

访问控制列表的协议：


从图中可以看出Telnet、FTP、SMTP协议依赖于TCP协议，而TCP协议又依赖于IP协议。因此，如果我们在访问控制列表中只禁止FTP报文通过路由器，那么，其他的报文，如Telnet、SMTP的报文仍然可以通过路由器。下面的扩展访问控制列表就是只禁止依赖于TCP协议的FTP报文通过路由器，其他报文都可以通过路由器。如果没有后面的ep、ftp，所以依赖于TCP协议的报文都不能通过路由器，那么Telnet、SMTP和FTP的报文也就不能通过路由器。

端口分为硬件领域的