基于時(shí)間的訪(fǎng)問(wèn)控制列表的應(yīng)用研究
2010-12-31 00:00:00宋玲
考試周刊 2010年39期
摘 要: 基于時(shí)間的訪(fǎng)問(wèn)控制列表是在特定時(shí)間段對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進(jìn)行過(guò)濾的一種技術(shù),在實(shí)際工作中有著非常廣泛的應(yīng)用。本文作者結(jié)合其校園網(wǎng)中的實(shí)際應(yīng)用,以銳捷3750交換機(jī)為例,結(jié)合實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),介紹了基于時(shí)間的訪(fǎng)問(wèn)控制列表的使用方法。
關(guān)鍵詞: 訪(fǎng)問(wèn)控制列表 基于時(shí)間 應(yīng)用
1.訪(fǎng)問(wèn)控制列表
訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪(fǎng)問(wèn)控制涉及的技術(shù)比較廣,包括入網(wǎng)訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制及屬性控制等多種手段。
訪(fǎng)問(wèn)控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕,可以由類(lèi)似于源地址、目的地址、端口號(hào)等的特定指示條件來(lái)決定。
訪(fǎng)問(wèn)控制列表(ACL)是網(wǎng)絡(luò)防御的前沿陣地,它提供了一種可以控制通過(guò)路由器和交換機(jī)不同接口的信息流的機(jī)制。通過(guò)訪(fǎng)問(wèn)控制列表來(lái)管理信息流,以達(dá)到指定相應(yīng)的網(wǎng)絡(luò)策略。這種策略通過(guò)描述安全、時(shí)間等條件來(lái)反映流量的優(yōu)先權(quán)。
2.幾種常見(jiàn)的訪(fǎng)問(wèn)控制列表
(1)標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表。
一個(gè)標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表匹配IP包中的源地址或源地址中的一部分,可對(duì)匹配的包采取拒絕或允許兩個(gè)操作。編號(hào)范圍是從1到99的訪(fǎng)問(wèn)控制列表是標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表。
(2)擴(kuò)展IP訪(fǎng)問(wèn)控制列表。
擴(kuò)展IP訪(fǎng)問(wèn)控制列表比標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表具有更多的匹配項(xiàng),包括協(xié)議類(lèi)型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。編號(hào)范圍是從100到199的訪(fǎng)問(wèn)控制列表是擴(kuò)展IP訪(fǎng)問(wèn)控制列表。
(3)命名的IP訪(fǎng)問(wèn)控制列表。
所謂命名的IP訪(fǎng)問(wèn)控制列表是以列表名代替列表編號(hào)來(lái)定義IP訪(fǎng)問(wèn)控制列表,同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表,定義過(guò)濾的語(yǔ)句與編號(hào)方式中相似。
3.基于時(shí)間的訪(fǎng)問(wèn)控制列表
基于時(shí)間的訪(fǎng)問(wèn)列表是在原來(lái)標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表和擴(kuò)展訪(fǎng)問(wèn)列表中加入有效的時(shí)間范圍來(lái)更合理、有效地控制網(wǎng)絡(luò)的。它先定義一個(gè)時(shí)間范圍,然后在原來(lái)的各種訪(fǎng)問(wèn)列表的基礎(chǔ)上應(yīng)用它,對(duì)于編號(hào)訪(fǎng)問(wèn)列表和名稱(chēng)訪(fǎng)問(wèn)列表均適用。
4.應(yīng)用舉例
我院網(wǎng)絡(luò)(1)(2)班教室里,每人一臺(tái)電腦,接入交換機(jī)與一臺(tái)RG3750交換機(jī)相連,可以全天候訪(fǎng)問(wèn)Internet。但是,部分學(xué)生在上課時(shí)間還在上網(wǎng),不注意聽(tīng)講,影響了上課效果。于是,我想到利用基于時(shí)間的訪(fǎng)問(wèn)控制列表對(duì)兩班教室進(jìn)行上網(wǎng)控制,即只有課外時(shí)間才能上網(wǎng),上課時(shí)間網(wǎng)絡(luò)會(huì)自動(dòng)中斷,下課后又會(huì)自動(dòng)開(kāi)啟,以減少管理負(fù)擔(dān)。
基于時(shí)間的訪(fǎng)問(wèn)控制列表的配置步驟通常是以下幾點(diǎn)。
(1)定義時(shí)間段及時(shí)間范圍。
【配置命令】
Switch
absolute:該命令用來(lái)指定絕對(duì)時(shí)間范圍。它后面緊跟start和end兩個(gè)關(guān)鍵字。在兩個(gè)關(guān)鍵字后面的時(shí)間要以24小時(shí)制和“hh:mm(小時(shí):分鐘)”表示,日期要按照“日/月/年”形式表示。這兩個(gè)關(guān)鍵字也可以都省略。如果省略start及其后面的時(shí)間,表示與之相聯(lián)系的permit或deny語(yǔ)句立即生效,并一直作用到end處的時(shí)間為止;若省略end及其后面的時(shí)間,表示與之相聯(lián)系的permit或deny語(yǔ)句在start處表示的時(shí)間開(kāi)始生效,并且永遠(yuǎn)發(fā)生作用(當(dāng)然,如把訪(fǎng)問(wèn)列表刪除了的話(huà)就不會(huì)起作用了)。
periodic:主要以星期為參數(shù)來(lái)定義時(shí)間范圍。它的參數(shù)主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個(gè)或者幾個(gè)的組合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。
【配置命令】
Switch
Switch
(2)ACL自身的配置,即將詳細(xì)的規(guī)則添加到ACL中。
Switch
Permit 192.168.81.0.0.0.255 time-rang free
Permit 192.168.82.0.0.0.255 time-rang free
Deny any
網(wǎng)絡(luò)(1)班IP地址為192.168.81.x,網(wǎng)絡(luò)(2)班IP地址為192.168.82.x。
(3)宣告ACL,將設(shè)置好的ACL添加到相應(yīng)的端口中。
Switch(config)#interface range fastEthernet0/1
Switch(config-if)#ip access-group net in
其中f0/1為網(wǎng)絡(luò)(1)班接入口,f0/2為網(wǎng)絡(luò)(2)班接入口。
(4)配置系統(tǒng)時(shí)間
至此,基于時(shí)間的訪(fǎng)問(wèn)控制列表就配置完畢了,但是路由器或交換機(jī)的時(shí)間是否準(zhǔn)確,也是一個(gè)非常關(guān)鍵的問(wèn)題。所以,我們還須對(duì)交換機(jī)系統(tǒng)時(shí)間進(jìn)行設(shè)置。
clock set hh:mm:ss day month year
【配置命令】
Switch#clock set 10:23:02 10 3 2010
基于時(shí)間的訪(fǎng)問(wèn)控制列表的應(yīng)用非常多,譬如有的公司要求其員工在上班時(shí)間內(nèi)不能使用QQ、MSN等聊天軟件,但在休息時(shí)間可以正常訪(fǎng)問(wèn);學(xué)校宿舍區(qū)要求夜里11∶00以后斷網(wǎng),以督促學(xué)生按時(shí)休息,等等。如果網(wǎng)絡(luò)管理員能熟練運(yùn)用基于時(shí)間的訪(fǎng)問(wèn)控制列表,就可以使工作事半功倍。
參考文獻(xiàn):
[1]禹龍等.利用訪(fǎng)問(wèn)控制列表提高網(wǎng)絡(luò)安全及實(shí)例[J].微計(jì)算機(jī)信息.
[2]王淵明等.基于時(shí)間的訪(fǎng)問(wèn)控制列表的應(yīng)用.山東通信技術(shù),2005,(1).
